Lorsque vous créez une arborescence, les assignations de droits par défaut accordent à votre réseau des conditions généralisées d'accès et de sécurité. Parmi ces assignations par défaut, citons :
L'assignation de droits implique un ayant droit et un objet cible. L'ayant droit représente l'utilisateur ou le groupe d'utilisateurs qui reçoit l'autorité. L'objet cible représente la ressource réseau sur laquelle l'utilisateur possède des droits.
REMARQUE : l'ayant droit [Public] n'est pas un objet. Il s'agit d'un ayant droit spécial qui représente un utilisateur réseau, logué ou non, à des fins d'assignation de droits.
Les concepts ci-dessous servent à expliquer les droits eDirectory.
Lorsque vous procédez à une assignation d'ayant droit, vous pouvez accorder des droits d'objet et des droits de propriété. Les droits d'objet concernent la manipulation de l'ensemble de l'objet, alors que les droits de propriété s'appliquent uniquement à certaines propriétés de l'objet. Un droit d'objet équivaut à un droit d'entrée, car il fournit une entrée dans la base de données eDirectory.
Chaque droit d'objet est décrit ci-dessous :
Superviseur inclut tous les droits sur l'objet et toutes ses propriétés.
Parcourir permet à l'ayant droit d'afficher l'objet dans l'arborescence. Il ne donne pas le droit d'afficher les propriétés de l'objet.
Créer ne s'applique que lorsque l'objet cible est un conteneur. Le droit Créer permet à l'ayant droit de créer des objets subordonnés au conteneur ; il comprend également le droit Parcourir.
Supprimer permet à l'ayant droit de supprimer la cible de l'annuaire.
Renommer permet à l'ayant droit de changer le nom de la cible.
Lorsque vous procédez à une assignation d'ayant droit, vous pouvez accorder des droits d'objet et des droits de propriété. Les droits d'objet concernent la manipulation de l'ensemble de l'objet, alors que les droits de propriété s'appliquent uniquement à certaines propriétés de l'objet.
iManager propose deux options de gestion des droits de propriété :
Chaque droit de propriété est présenté ci-dessous.
Superviseur permet à l'ayant droit de contrôler entièrement la propriété.
Comparer permet à l'ayant droit de comparer la valeur d'une propriété à une valeur donnée. Ce droit permet d'effectuer une recherche et ne renvoie qu'un résultat, à savoir vrai ou faux. Il ne permet pas à l'ayant droit de visualiser à proprement parler la valeur de la propriété.
Lire permet à l'ayant droit d'afficher les valeurs d'une propriété. Ce droit comprend le droit Comparer.
Ecrire permet à l'ayant droit de créer, de modifier et de supprimer les valeurs d'une propriété.
S'ajouter permet à l'ayant droit d'ajouter son nom en tant que valeur de propriété, ou de le retirer. Il ne s'applique qu'aux propriétés dont les valeurs sont des noms d'objet, telles que les listes d'adhésion ou les listes de contrôle d'accès (ACL).
Les utilisateurs peuvent recevoir des droits de plusieurs manières, notamment par le biais d'une assignation d'ayant droit explicite, d'un héritage ou d'une équivalence de sécurité. Vous pouvez également limiter les droits par l'intermédiaire des filtres des droits hérités, et les modifier ou les révoquer à l'aide d'assignations d'ayant droit inférieures. Le résultat de toutes ces opérations, c'est-à-dire les droits que possède un utilisateur, correspond aux droits effectifs.
Les droits effectifs d'un utilisateur sur un objet sont déterminés chaque fois que cet utilisateur tente d'effectuer une opération.
Chaque fois qu'un utilisateur tente d'accéder à une ressource réseau, eDirectory détermine les droits effectifs dont il dispose sur la ressource cible en procédant de la manière suivante :
eDirectory recherche, dans la propriété Ayants droit de l'objet (ACL) de l'objet Arborescence, les entrées où figure l'ayant droit. Si des droits héritables existent dans ces entrées, eDirectory les utilise comme groupe de droits effectifs initial pour l'ayant droit.
eDirectory recherche, dans la liste ACL de ce niveau, les IRF (filtres des droits hérités) qui correspondent aux types (Objet, Toutes propriétés ou propriété spécifique) des droits effectifs de l'ayant droit. Si de tels filtres existent, eDirectory retire des droits effectifs de l'ayant droit les droits annulés par ces IRF.
Par exemple, si l'assignation de droits Écrire - Toutes propriétés figure parmi les droits effectifs de l'ayant droit, mais qu'un IRF bloque cette assignation à ce niveau, le système supprime Écrire - Toutes propriétés des droits effectifs de l'ayant droit.
eDirectory recherche, dans la liste ACL de ce niveau, les entrées où figure l'ayant droit. S'il en existe et si les droits sont héritables, eDirectory copie ceux-ci dans les droits effectifs de l'ayant droit, en remplaçant les assignations existantes, le cas échéant.
Par exemple, si à ce stade les droits effectifs de l'ayant droit comprennent les droits d'objet Créer et Supprimer, mais aucun droit de propriété, et si la liste ACL de ce niveau contient à la fois une assignation Aucun droit sur objets et une assignation Écrire - Toutes propriétés pour cet ayant droit, alors le système remplace les droits d'objet existants de l'ayant droit (Créer et Supprimer) par Aucun droit et ajoute les nouveaux droits Toutes propriétés.
eDirectory utilise le même processus que celui de l'étape 2d. L'ensemble de droits obtenu au terme de cette procédure représente les droits effectifs de l'ayant droit.
L'ensemble de droits résultant constitue les droits effectifs de l'utilisateur sur la ressource cible.
L'utilisateur DJonet tente d'accéder au volume Vol_Compta (voir Figure 20).
Figure 20
Exemple de droits d'ayant droit
Le processus suivant montre la façon dont eDirectory détermine les droits effectifs de l'utilisateur DJonet sur le volume Vol_Compta :
Il est admis que DJonet n'appartient à aucun groupe ou rôle et qu'aucune équivalence de sécurité ne lui a été explicitement assignée.
L'assignation Aucun droit sur toutes les propriétés au niveau de Vol_Compta est prioritaire par rapport à l'assignation Écrire - Toutes propriétés au niveau de Comptabilité.
L'assignation du droit Écrire - Toutes propriétés à la racine de l'arborescence est rejetée par les IRF au niveau de Comptabilité.
Aucun droit n'est assigné à l'objet Arborescence dans la branche correspondante de l'arborescence.
Ces droits sont assignés à la racine. Ils ne sont filtrés ou remplacés à aucun emplacement de la branche pertinente de l'arborescence.
DJonet : Parcourir objet, Lire toutes les propriétés
DJonet : Parcourir objet, Lire et Comparer toutes les propriétés
Étant donné le mode de calcul des droits effectifs, vous pouvez éprouver des difficultés à éviter que les droits particuliers d'un utilisateur deviennent effectifs sans avoir recours à un IRF (en effet, un IRF bloque les droits de tous les utilisateurs).
Pour bloquer des droits particuliers pour un utilisateur sans recourir à un IRF, procédez de l'une des manières suivantes :
L'équivalence de sécurité signifie qu'un objet dispose des mêmes droits qu'un autre objet. Lorsque vous attribuez à un objet une sécurité équivalente à celle d'un autre objet, les droits de ce deuxième objet sont ajoutés à ceux du premier lorsque le système détermine les droits effectifs du premier objet.
Supposons, par exemple, que vous attribuiez à l'objet Utilisateur Joseph une équivalence de sécurité par rapport à l'objet Admin. Une fois l'équivalence de sécurité créée, Joseph dispose des mêmes droits qu'Admin sur l'arborescence et sur le système de fichiers.
Trois types d'équivalence de sécurité sont disponibles :
L'équivalence de sécurité est valable une fois seulement. Par exemple, si vous accordez à un troisième utilisateur une sécurité équivalente à celle de Joseph dans l'exemple précédent, cet utilisateur ne reçoit pas les droits d'Admin.
L'équivalence de sécurité est enregistrée dans eDirectory sous la forme de valeurs de la propriété Sécurité égale à pour l'objet Utilisateur.
Lorsque vous ajoutez un objet Utilisateur en tant qu'occupant d'un objet Rôle organisationnel, cet utilisateur obtient automatiquement une équivalence de sécurité avec l'objet Rôle organisationnel. Il en va de même lorsqu'un utilisateur devient membre d'un objet Rôle de groupe.
La liste de contrôle d'accès (ACL) est également connue sous le nom de propriété Ayants droit de l'objet. Lorsque vous créez une assignation d'ayant droit, l'ayant droit est ajouté en tant que valeur à la propriété Ayants droit de l'objet (ACL) de la cible.
Cette propriété a de fortes implications dans le domaine de la sécurité réseau, pour les raisons suivantes :
C'est pourquoi vous devez être vigilant lorsque vous attribuez le droit S'ajouter sur toutes les propriétés d'un objet Conteneur. Du fait de cette assignation, l'ayant droit peut devenir le superviseur de ce conteneur, de tous les objets qui y sont contenus et de tous les objets des conteneurs qui lui sont subordonnés.
Le filtre des droits hérités permet de bloquer la transmission des droits vers le bas de l'arborescence eDirectory. Pour plus d'informations sur la configuration de ce filtre, reportez-vous à Blocage des droits hérités sur un objet ou une propriété eDirectory.
Lorsque vous installez un nouvel objet Serveur dans une arborescence, les assignations d'ayant droit suivantes sont effectuées :
eDirectory vous permet de déléguer l'administration d'une branche de l'arborescence, en révoquant vos propres droits de gestion sur cette branche. Cette délégation peut s'imposer du fait de besoins spécifiques en matière de sécurité, qui nécessitent l'intervention d'un autre administrateur possédant un contrôle complet sur cette branche.
Pour déléguer l'administration :
Accordez le droit d'objet Superviseur sur un conteneur.
Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Droits > Modifier les ayants droit.
Entrez le nom et le contexte de l'objet Conteneur dont vous voulez contrôler l'accès, puis cliquez sur OK.
Cliquez sur Droits assignés.
Cochez la case Superviseur pour les propriétés souhaitées.
Cliquez sur Terminé, puis cliquez sur OK.
Créez un IRF dans le conteneur qui filtre le droit Superviseur et les autres droits que vous voulez bloquer.
Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Droits > Modifier le filtre des droits hérités.
Spécifiez le nom et le contexte de l'objet dont vous voulez modifier le filtre des droits hérités, puis cliquez sur OK.
Modifiez la liste des filtres de droits hérités, le cas échéant.
Pour modifier la liste des filtres, vous devez avoir le droit Superviseur ou Contrôle d'accès sur la propriété ACL de l'objet. Vous pouvez définir des filtres qui bloquent les droits hérités sur la totalité de l'objet, sur toutes les propriétés de l'objet ou sur des propriétés individuelles.
REMARQUE : ces filtres ne peuvent pas bloquer des droits explicitement accordés à un ayant droit sur cet objet, étant donné que de tels droits ne sont pas hérités.
Cliquez sur OK.
IMPORTANT : si vous déléguez l'administration à un objet Utilisateur et que vous supprimez cet objet par la suite, aucun objet disposant de droits ne gère cette branche.
Pour déléguer l'administration de propriétés eDirectory spécifiques, telles que la gestion des mots de passe, reportez-vous à Octroi d'équivalence.
Pour déléguer l'utilisation de fonctions spécifiques dans les applications d'administration basée sur les rôles, reportez-vous à Configuration des services basés sur les rôles.
Lorsque les assignations de droits par défaut de votre arborescence eDirectory offrent aux utilisateurs un accès trop important ou insuffisant aux ressources, vous pouvez créer ou modifier les assignations de droits explicites. Lorsque vous créez ou modifiez une assignation de droits, vous commencez par sélectionner la ressource dont vous voulez contrôler l'accès ou l'ayant droit (c'est-à-dire l'objet eDirectory qui possède, ou qui possédera, les droits).
SUGGESTION : pour gérer des droits d'utilisateurs collectivement plutôt qu'individuellement, faites d'un objet Groupe, Rôle ou Conteneur, l'ayant droit. Pour restreindre globalement (c'est-à-dire à tous les utilisateurs) l'accès à une ressource, reportez-vous à Blocage des droits hérités sur un objet ou une propriété eDirectory.
Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Droits > Modifier les ayants droit.
Spécifiez le nom et le contexte de la ressource eDirectory (objet) dont vous voulez contrôler l'accès, puis cliquez sur OK.
Sélectionnez un conteneur si vous souhaitez contrôler l'accès à tous les objets en aval de cette ressource.
Le cas échéant, modifiez la liste des ayants droit ainsi que les assignations de droits correspondantes.
Pour modifier l'assignation de droits d'un ayant droit, sélectionnez l'ayant droit, cliquez sur Droits assignés, modifiez l'assignation, puis cliquez sur Terminé.
Pour ajouter un objet de type Ayant droit, cliquez sur Ajouter un ayant droit, sélectionnez l'objet, cliquez sur OK, puis sur Droits assignés pour attribuer les droits d'ayant droit et, pour finir, cliquez sur Terminé.
Lorsque vous créez ou modifiez une assignation de droits, vous pouvez accorder ou refuser l'accès à la totalité de l'objet, à toutes les propriétés de l'objet ou à des propriétés individuelles.
Pour supprimer un objet de type Ayant droit, sélectionnez l'ayant droit, puis cliquez sur Supprimer l'ayant droit.
L'ayant droit supprimé n'a plus de droits explicites sur l'objet ou les propriétés de celui-ci, mais peut toujours disposer de droits effectifs via l'héritage ou l'équivalence de sécurité.
Cliquez sur OK.
Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Droits > Droits sur d'autres objets.
Entrez le nom et le contexte de l'ayant droit (c'est-à-dire l'objet qui possède, ou possèdera, les droits) dont vous voulez modifier les droits.
Dans la zone Contexte à partir duquel effectuer la recherche, indiquez la partie de l'arborescence eDirectory où doivent être recherchés les objets eDirectory sur lesquels l'ayant droit a actuellement des assignations de droits.
Cliquez sur OK.
Un écran apparaît, affichant la progression de la recherche. Une fois la recherche terminée, la page Droits sur d'autres objets apparaît, complétée avec les résultats de la recherche.
Le cas échéant, modifiez les assignations de droits eDirectory.
Pour ajouter une assignation de droits, cliquez sur Ajouter objet, sélectionnez l'objet dont l'accès doit être contrôlé, cliquez sur OK, puis sur Droits assignés, attribuez les droits d'ayant droit et cliquez sur Terminé.
Pour modifier une assignation de droits, sélectionnez l'objet dont vous voulez contrôler l'accès, cliquez sur Droits assignés, modifiez l'assignation de droits de l'ayant droit, puis cliquez sur Terminé.
Lorsque vous créez ou modifiez une assignation de droits, vous pouvez accorder ou refuser l'accès à la totalité de l'objet, à toutes les propriétés de l'objet ou à des propriétés individuelles.
Pour supprimer une assignation de droits, sélectionnez l'objet dont vous voulez contrôler l'accès, puis cliquez sur Supprimer l'objet.
L'ayant droit n'a plus de droits explicites sur l'objet ou les propriétés de celui-ci, mais peut toujours disposer de droits effectifs via l'héritage ou l'équivalence de sécurité.
Cliquez sur OK.
Un utilisateur qui bénéficie d'une sécurité équivalente à celle d'un autre objet eDirectory possède de fait tous les droits de cet objet. Un utilisateur dispose automatiquement du même niveau de sécurité que les groupes et rôles auxquels il appartient. Tous les utilisateurs bénéficient implicitement d'une équivalence de sécurité avec l'ayant droit [Public] ainsi qu'avec chaque conteneur au-dessus de leurs objets Utilisateur dans l'arborescence eDirectory, y compris l'objet Arborescence. Vous pouvez également accorder à un utilisateur une sécurité équivalente à celle d'un quelconque objet eDirectory.
REMARQUE : les tâches de cette section vous permettent de déléguer la responsabilité d'administration à l'aide de droits eDirectory. Si vous avez des applications d'administration qui utilisent les rôles RBS (Role-Based Services), vous pouvez également déléguer la responsabilité d'administration en assignant à des utilisateurs une appartenance à ces rôles.
Si vous ne l'avez pas déjà fait, créez l'objet Groupe ou Rôle à partir duquel vous voulez accorder une équivalence de sécurité aux utilisateurs.
Reportez-vous à Création d'un objet pour plus de détails.
Attribuez au groupe ou au rôle les droits eDirectory que vous voulez accorder aux utilisateurs.
Reportez-vous à Assignation explicite de droits pour plus de détails.
Éditez la liste d'appartenance au groupe ou au rôle pour y inclure les utilisateurs auxquels vous souhaitez accorder les droits du groupe ou du rôle.
Dans Novell iManager, cliquez sur Administration eDirectory > Modifier l'objet, spécifiez le nom et le contexte d'un objet Groupe, cliquez sur OK, puis sur l'onglet Membres.
Dans Novell iManager, cliquez sur Administration eDirectory > Modifier l'objet, spécifiez le nom et le contexte d'un objet Rôle RBS, cliquez sur OK, puis sur Occupant de la fonction dans l'onglet Général.
Dans Novell iManager, cliquez sur le bouton Configurer , sélectionnez Configuration des rôles > Modifier les rôles iManager, cliquez sur le bouton Modifier les membres situé à gauche du rôle que vous souhaitez modifier, puis utilisez les options de la page Modifier les membres de iManager pour ajouter ou supprimer des membres dans un rôle.
Cliquez sur OK.
Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Administration eDirectory > Modifier l'objet.
Entrez le nom et le contexte de l'utilisateur ou de l'objet à partir duquel vous voulez accorder l'équivalence de sécurité à l'utilisateur, puis cliquez sur OK.
Cliquez sur l'onglet Sécurité, puis conférez l'équivalence de sécurité comme suit :
Le contenu de ces deux pages de propriétés est synchronisé par le système.
Cliquez sur OK.
Si vous ne l'avez pas déjà fait, créez l'objet Utilisateur, Groupe, Rôle ou Conteneur que vous voulez définir comme ayant droit des propriétés spécifiques de l'objet.
Si vous créez un conteneur en tant qu'ayant droit, tous les objets à l'intérieur et en aval de ce conteneur disposeront des droits que vous accordez. Toutefois, la propriété doit être héritable pour que le conteneur et ses membres puissent bénéficier des droits en aval de celui-ci.
Pour plus d'informations, reportez-vous à Création d'un objet.
Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Droits > Modifier les ayants droit.
Spécifiez le nom et le contexte du conteneur de niveau supérieur qui doit être géré par l'administrateur, puis cliquez sur OK.
Accédez à la page Modifier les ayants droit, cliquez sur Ajouter un ayant droit, sélectionnez l'objet qui représente l'administrateur, puis cliquez sur OK.
Cliquez sur Droits assignés pour l'ayant droit que vous venez d'ajouter, puis cliquez sur Ajouter une propriété.
Sélectionnez les propriétés que vous voulez ajouter à la liste des propriétés, puis cliquez sur OK.
Assignez les droits requis pour chaque propriété que l'administrateur doit gérer.
Vérifiez que la case Héritable est cochée pour chaque assignation de droits.
Cliquez sur Terminé, puis cliquez sur OK.
Dans eDirectory, les assignations de droits relatives aux conteneurs peuvent être héritables ou non. Dans le système de fichiers NetWare, les assignations de droits relatives aux dossiers sont héritables. Dans eDirectory comme dans NetWare, vous pouvez bloquer le processus d'héritage au niveau de certains éléments subordonnés, afin que les droits ne soient pas effectifs sur ces éléments, quel que soit l'ayant droit. Toutefois, le droit Superviseur ne peut pas être bloqué dans le système de fichiers Netware.
Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Droits > Modifier le filtre des droits hérités.
Spécifiez le nom et le contexte de l'objet dont vous voulez modifier le filtre des droits hérités, puis cliquez sur OK.
La liste des filtres des droits hérités déjà définis pour cet objet s'affiche.
Dans la page Propriétés, apportez les modifications voulues à la liste des filtres de droits hérités.
Pour modifier la liste des filtres, vous devez avoir le droit Superviseur ou Contrôle d'accès sur la propriété ACL de l'objet. Vous pouvez définir des filtres qui bloquent les droits hérités sur la totalité de l'objet, sur toutes les propriétés de l'objet ou sur des propriétés individuelles.
REMARQUE : ces filtres ne peuvent pas bloquer des droits qui ont été explicitement accordés à un ayant droit sur cet objet, car de tels droits ne sont pas hérités.
Cliquez sur OK.
Les droits effectifs sont les droits que les utilisateurs peuvent concrètement exercer sur des ressources spécifiques du réseau. Ils sont déterminés par eDirectory en fonction des assignations de droits explicites, de l'héritage et des équivalences de sécurité. Vous pouvez interroger le système pour connaître les droits effectifs d'un utilisateur sur une ressource donnée.
Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Droits > Afficher les droits effectifs.
Entrez le nom et le contexte de l'ayant droit dont vous voulez afficher les droits effectifs et cliquez sur OK.
Choisissez parmi les options suivantes :
Cliquez sur Terminé.