SUPPRIMER Profils d’administrateur
Profils d’administrateur
Contrôler finement ce que chaque administrateur peut voir et modifier.
Un profil d’administrateur définit les permissions accordées à un compte. Bien conçus, ces profils permettent d’appliquer le principe du moindre privilège et de limiter l’impact d’un compte compromis.
Niveaux d’accès par domaine
Lors de l’attribution des permissions à un profil d’administrateur, vous pouvez définir, pour chaque domaine :
Le profil super_admin
Par défaut, un profil spécial nommé super_admin est utilisé par le compte admin.
admin comparable à un compte superutilisateur (root).Vous n’êtes pas obligé d’utiliser un profil par défaut. Vous pouvez par exemple créer un profil auditor_access avec des permissions en lecture seule.
Override Idle Timeout
L’option Override Idle Timeout permet de remplacer la valeur admintimeout (définie sous config system accprofile) pour chaque profil d’accès.
Vous pouvez configurer les profils pour augmenter le délai d’inactivité et faciliter l’usage du GUI pour la supervision centralisée. Cela se fait profil par profil, afin d’éviter que l’option ne soit définie globalement par inadvertance.
Un périmètre au‑delà du lecture/écriture
Les effets des profils d’administrateur vont au‑delà du simple accès en lecture ou écriture : selon le profil attribué, un administrateur peut ne pas avoir accès à l’ensemble du FortiGate.
- Un compte qui ne consulte que les paramètres VPN.
- Un autre profil autorisé à créer des politiques de pare‑feu et des profils de sécurité.
