SUPPRIMER Profils d’administrateur

logo
FortiOS 7.6 · Administration

Profils d’administrateur

Contrôler finement ce que chaque administrateur peut voir et modifier.

Un profil d’administrateur définit les permissions accordées à un compte. Bien conçus, ces profils permettent d’appliquer le principe du moindre privilège et de limiter l’impact d’un compte compromis.

Faut‑il donner à chacun un accès complet ? Non : restreindre les permissions à ce qui est strictement nécessaire au travail de la personne est une bonne pratique de sécurité.

Niveaux d’accès par domaine

Lors de l’attribution des permissions à un profil d’administrateur, vous pouvez définir, pour chaque domaine :

Lecture‑écritureLecture seuleAucun accès

Le profil super_admin

Par défaut, un profil spécial nommé super_admin est utilisé par le compte admin.

Il ne peut pas être modifié et donne un accès complet à tout, rendant le compte admin comparable à un compte superutilisateur (root).

Vous n’êtes pas obligé d’utiliser un profil par défaut. Vous pouvez par exemple créer un profil auditor_access avec des permissions en lecture seule.

Bonne pratique : restreindre les permissions d’une personne à celles nécessaires à son travail limite l’atteinte au FortiGate (ou au réseau) même si le compte est compromis.

Override Idle Timeout

L’option Override Idle Timeout permet de remplacer la valeur admintimeout (définie sous config system accprofile) pour chaque profil d’accès.

Vous pouvez configurer les profils pour augmenter le délai d’inactivité et faciliter l’usage du GUI pour la supervision centralisée. Cela se fait profil par profil, afin d’éviter que l’option ne soit définie globalement par inadvertance.

Un périmètre au‑delà du lecture/écriture

Les effets des profils d’administrateur vont au‑delà du simple accès en lecture ou écriture : selon le profil attribué, un administrateur peut ne pas avoir accès à l’ensemble du FortiGate.

  • Un compte qui ne consulte que les paramètres VPN.
  • Un autre profil autorisé à créer des politiques de pare‑feu et des profils de sécurité.