Novell Documentation: eDirectory 8.8

Droits eDirectory

Lorsque vous créez une arborescence, les assignations de droits par défaut accordent à votre réseau des conditions généralisées d'accès et de sécurité. Parmi ces assignations par défaut, citons :

L'utilisateur Admin dispose du droit Superviseur sur le sommet de l'arborescence, ce qui lui procure un contrôle total sur l'intégralité de l'annuaire. Admin possède également le droit Superviseur sur l'objet Serveur NetWare. Il peut ainsi contrôler tous les volumes de ce serveur.
L'utilisateur [Public] dispose du droit Parcourir sur le sommet de l'arborescence. Tous les utilisateurs sont donc autorisés à afficher les objets situés dans cette arborescence.
Les objets créés au moyen d'un processus de mise à niveau, tel qu'une migration NetWare, une mise à niveau d'impression ou une migration d'utilisateur de Windows NT, reçoivent des assignations d'ayant droit appropriées pour la plupart des situations.

Assignations d'ayants droit et objets cibles

L'assignation de droits implique un ayant droit et un objet cible. L'ayant droit représente l'utilisateur ou le groupe d'utilisateurs qui reçoit l'autorité. L'objet cible représente les ressources réseau sur lesquelles le ou les utilisateurs possèdent des droits.

Si vous choisissez un alias comme ayant droit, les droits sont appliqués uniquement à l'objet que l'alias représente. L'objet Alias peut cependant constituer une cible explicite.
Un fichier ou un répertoire du système de fichiers NetWare peut également constituer une cible, même si les droits sur ce système de fichiers sont enregistrés dans le système lui-même et non dans eDirectory.

NOTE: l'ayant droit [Public] n'est pas un objet. Il s'agit d'un ayant droit spécial qui représente n'importe quel utilisateur réseau, logué ou non, à des fins d'assignation de droits.

Concepts relatifs aux droits eDirectory

Les concepts ci-dessous peuvent contribuer à une meilleure compréhension des droits eDirectory.

Droits d'objet (droits d'entrée)

Lorsque vous procédez à une assignation d'ayant droit, vous pouvez accorder des droits d'objet et des droits de propriété. Les droits d'objet concernent la manipulation de l'ensemble de l'objet, alors que les droits de propriété s'appliquent uniquement à certaines propriétés de l'objet. Un droit d'objet équivaut à un droit d'entrée, car il fournit une entrée dans la base de données eDirectory.

Chaque droit d'objet est décrit ci-dessous :

Superviseur inclut tous les droits sur l'objet et toutes ses propriétés.
Parcourir permet à l'ayant droit d'afficher l'objet dans l'arborescence. Il ne donne pas le droit de consulter les propriétés de l'objet.
Créer ne s'applique que lorsque l'objet cible est un conteneur. Le droit Créer permet à l'ayant droit de créer des objets subordonnés au conteneur ; il comprend également le droit Parcourir.
Supprimer permet à l'ayant droit de supprimer la cible de l'annuaire.
Renommer permet à l'ayant droit de changer le nom de la cible.

Droits de propriété

iManager propose deux options de gestion des droits de propriété :

Vous pouvez gérer toutes les propriétés à la fois lorsque l'élément [Tous les droits d'attribut] est sélectionné.
Vous pouvez gérer une ou plusieurs propriétés individuellement lorsque les propriétés correspondantes sont sélectionnées.

Chaque droit de propriété est décrit ci-dessous :

Superviseur permet à l'ayant droit de contrôler entièrement la propriété.
Comparer permet à l'ayant droit de comparer la valeur d'une propriété à une valeur donnée. Ce droit permet d'effectuer une recherche et ne renvoie qu'un résultat, à savoir vrai ou faux. Il ne permet pas à l'ayant droit de visualiser à proprement parler la valeur de la propriété.
Lire permet à l'ayant droit d'afficher les valeurs d'une propriété. Ce droit comprend le droit Comparer.
Écrire permet à l'ayant droit de créer, de modifier et de supprimer les valeurs d'une propriété.
S'ajouter permet à l'ayant droit d'ajouter ou de retirer son nom en tant que valeur de propriété. Ce droit ne s'applique qu'aux propriétés dont les valeurs sont des noms d'objet, telles que les listes d'adhésion ou les listes de contrôle d'accès (ACL).

Droits effectifs

Les utilisateurs peuvent recevoir des droits de plusieurs manières, notamment par le biais d'une assignation d'ayant droit explicite, d'un héritage ou d'une équivalence de sécurité. Vous pouvez également limiter les droits par l'intermédiaire des filtres des droits hérités, et les modifier ou les révoquer à l'aide d'assignations d'ayant droit inférieures. Le résultat de toutes ces opérations, c'est-à-dire les droits que possède un utilisateur, correspond aux droits effectifs.

Les droits effectifs d'un utilisateur sur un objet sont déterminés chaque fois que cet utilisateur tente d'effectuer une opération.

Détermination des droits effectifs

Chaque fois qu'un utilisateur tente d'accéder à une ressource réseau, eDirectory détermine les droits effectifs dont il dispose sur la ressource cible en procédant de la manière suivante :

eDirectory liste les ayants droit dont les droits doivent être pris en compte dans le processus, à savoir :
- l'utilisateur qui tente d'accéder à la ressource cible ;
- les objets sur lesquels l'utilisateur dispose d'une équivalence de sécurité.
eDirectory détermine les droits effectifs de chaque ayant droit de la liste de la manière suivante :
1. eDirectory commence par les droits héritables que l'ayant droit possède au sommet de l'arborescence.
  eDirectory recherche, dans la propriété Ayants droit de l'objet (ACL) de l'objet Arborescence, les entrées où figure l'ayant droit. Si des droits héritables existent dans ces entrées, eDirectory les utilise comme groupe de droits effectifs initial pour l'ayant droit.
2. eDirectory descend d'un niveau dans la branche de l'arborescence qui contient la ressource cible.
3. eDirectory supprime tous les droits filtrés à ce niveau.
  eDirectory recherche, dans la liste ACL de ce niveau, les IRF (Inherited Rights Filters - filtres des droits hérités) qui correspondent aux types (objet, toutes propriétés ou propriété spécifique) des droits effectifs de l'ayant droit. Si de tels filtres existent, eDirectory retire des droits effectifs de l'ayant droit les droits bloqués par ces IRF.
  
  Par exemple, si les droits effectifs de l'ayant droit contiennent une assignation de droit d'écriture sur toutes les propriétés, mais qu'un IRF bloque cette assignation à ce niveau, le système supprime ce droit d'écriture des droits effectifs de l'ayant droit.
4. eDirectory ajoute les droits héritables assignés à ce niveau, en remplaçant, le cas échéant, les assignations existantes.
  eDirectory recherche, dans la liste ACL de ce niveau, les entrées où figure l'ayant droit. S'il en existe et que leurs droits sont héritables, eDirectory copie ceux-ci dans les droits effectifs de l'ayant droit, en remplaçant les assignations existantes, le cas échéant.
  
  Par exemple si, jusqu'ici, les droits effectifs de l'ayant droit comprennent les droits d'objet Créer et Supprimer, mais aucun droit de propriété, et qu'aucun droit d'objet n'est spécifié dans la liste ACL à ce niveau, mais que cette dernière contient plutôt une assignation de droit d'écriture sur toutes les propriétés pour cet ayant droit, le système remplace alors les droits d'objets existants de l'ayant droit (Créer et Supprimer) par une assignation à blanc et lui ajoute les nouveaux droits d'écriture sur toutes les propriétés.
5. eDirectory répète les opérations de filtrage et d'ajout (étapes c et d ci-dessus) à chaque niveau de l'arborescence, y compris au niveau de la ressource cible.
6. eDirectory ajoute les droits non héritables assignés au niveau de la ressource cible, en remplaçant les assignations existantes, le cas échéant.
  eDirectory utilise le même processus que celui de l'étape 2d. L'ensemble de droits obtenu au terme de cette procédure représente les droits effectifs de l'ayant droit.
eDirectory associe les droits effectifs de tous les ayants droit de la liste comme suit :
1. eDirectory inclut tous les droits détenus par les ayants droit de la liste et exclut uniquement les droits qui ne sont assignés à aucun d'eux. Il ne mélange pas les différents types de droit. Par exemple, eDirectory n'ajoute pas les droits sur une propriété donnée à ceux qui existent sur toutes les propriétés, ou vice versa.
2. eDirectory ajoute les droits qui dépendent des droits effectifs actuels.
  L'ensemble de droits résultant constitue les droits effectifs de l'utilisateur sur la ressource cible.

Exemple

L'utilisateur DJean tente d'accéder au volume Vol_Compta (voir Figure 20).

Figure 20
Exemple de droits d'ayant droit

Le processus suivant montre la façon dont eDirectory détermine les droits effectifs de DJean sur le volume Vol_Compta :

Les ayants droit dont les droits doivent être pris en compte dans le processus sont DJean, Marketing, Arborescence et [Public].
Il est admis que DJean n'appartient à aucun groupe ou rôle et qu'aucune équivalence de sécurité ne lui a été explicitement assignée.
Pour chaque ayant droit, les droits effectifs sont les suivants :
- DJean : aucun droit sur les objets, aucun droit sur toutes les propriétés
  L'assignation d'aucun droit sur toutes les propriétés au niveau de Vol_Compta est prioritaire par rapport à l'assignation d'un droit d'écriture sur toutes les propriétés au niveau de Comptabilité.
- Marketing : aucun droit sur toutes les propriétés
  L'assignation du droit d'écriture sur toutes les propriétés au sommet de l'arborescence est rejetée par les IRF au niveau de Comptabilité.
- Arborescence : aucun droit
  Aucun droit n'est assigné pour Arborescence dans la branche correspondante de l'arborescence.
- [Public] : droits Parcourir objet et Lire toutes les propriétés
  Ces droits sont assignés à la racine. Ils ne sont filtrés ou remplacés à aucun emplacement de la branche pertinente de l'arborescence.
En combinant les droits de tous ces ayants droit, nous obtenons :
DJean : droits Parcourir objet et Lire toutes les propriétés
Après ajout du droit de comparaison de toutes les propriétés, qui découle du droit Lire toutes les propriétés, nous obtenons pour DJean l'ensemble de droits effectifs suivant sur Vol_Compta :
DJean : Parcourir objet, Lire et Comparer toutes les propriétés

Blocage des droits effectifs

Étant donné le mode de détermination des droits effectifs, vous pouvez éprouver des difficultés à éviter que des droits particuliers deviennent effectifs pour un utilisateur sans avoir recours à un IRF (en effet, un IRF bloque les droits de tous les utilisateurs).

Pour empêcher que des droits particuliers deviennent effectifs pour un utilisateur sans recourir à un IRF, procédez de l'une des manières suivantes :

Assurez-vous que ni l'utilisateur ni aucun des objets pour lesquels l'utilisateur dispose d'une équivalence de sécurité n'obtient ces droits, que ce soit au niveau de la ressource cible ou à un niveau supérieur dans l'arborescence.
Si l'utilisateur ou tout objet pour lequel il bénéficie d'une équivalence de sécurité se voit malgré tout attribuer ces droits, veillez à ce qu'il existe une assignation qui les exclut à un niveau inférieur dans l'arborescence. Procédez ainsi pour tous les ayants droit (associés à l'utilisateur) disposant des droits non souhaités.

Équivalence de sécurité

L'équivalence de sécurité signifie qu'un objet dispose des mêmes droits qu'un autre objet. Lorsque vous attribuez à un objet une sécurité équivalente à celle d'un autre objet, les droits de ce dernier sont ajoutés à ceux du premier lorsque le système détermine les droits effectifs du premier objet.

Supposons, par exemple, que vous attribuiez à l'objet Utilisateur Julien une équivalence de sécurité par rapport à l'objet Admin. Une fois l'équivalence de sécurité créée, Julien dispose des mêmes droits qu'Admin sur l'arborescence et sur le système de fichiers.

Trois types d'équivalence de sécurité sont disponibles :

Explicite : par assignation
Automatique : par adhésion à un groupe ou à un rôle
Implicite : par équivalence avec tous les conteneurs parents et l'ayant droit [Public]

L'équivalence de sécurité est valable une fois seulement. Par exemple, si vous accordez à un troisième utilisateur une sécurité équivalente à celle de Julien dans l'exemple précédent, cet utilisateur ne reçoit pas les droits d'Admin.

L'équivalence de sécurité est enregistrée dans eDirectory sous la forme de valeurs de la propriété Sécurité égale à pour l'objet Utilisateur.

Lorsque vous ajoutez un objet Utilisateur en tant qu'occupant d'un objet Rôle organisationnel, cet utilisateur obtient automatiquement une équivalence de sécurité avec l'objet Rôle organisationnel. Il en va de même lorsqu'un utilisateur devient membre d'un objet Rôle de groupe.

Liste de contrôle d'accès (ACL)

La liste de contrôle d'accès (Access Control List - ACL) est également connue sous le nom de propriété Ayants droit de l'objet. Lorsque vous créez une assignation d'ayant droit, l'ayant droit est ajouté en tant que valeur à la propriété Ayants droit de l'objet (ACL) de la cible.

Cette propriété a de fortes implications dans le domaine de la sécurité réseau pour les raisons suivantes :

Toute personne disposant du droit Superviseur ou Écrire sur la propriété Ayants droit de l'objet (ACL) d'un objet peut déterminer qui est un ayant droit de cet objet.
Tout utilisateur possédant le droit S'ajouter sur la propriété Ayants droit de l'objet (ACL) d'un objet donné peut modifier ses propres droits vis-à-vis de cet objet. Par exemple, il peut s'accorder à lui-même le droit Superviseur.

C'est pourquoi vous devez être vigilant lorsque vous attribuez le droit S'ajouter sur toutes les propriétés d'un objet Conteneur. Du fait de cette assignation, l'ayant droit peut devenir le superviseur de ce conteneur, de tous les objets qui y sont contenus et de tous les objets des conteneurs qui lui sont subordonnés.

Filtre des droits hérités (IRF)

Le filtre des droits hérités (Inherited Rights Filter - IRF) permet de bloquer la transmission des droits vers le bas de l'arborescence eDirectory. Pour plus d'informations sur la configuration de ce filtre, reportez-vous à la section Blocage des droits hérités sur un objet ou une propriété eDirectory.

Droits par défaut pour un nouveau serveur

Lorsque vous installez un nouvel objet Serveur dans une arborescence, les assignations d'ayant droit suivantes sont effectuées :

Ayants droit par défaut	Droits par défaut
Admin (pour le premier serveur eDirectory dans l'arborescence)	Droit d'objet Superviseur sur l'objet Arborescence. L'administrateur dispose du droit d'objet Superviseur sur l'objet Serveur NetWare, ce qui signifie qu'il possède également ce droit sur le répertoire racine du système de fichiers des volumes installés sur le serveur.
[Public] (pour le premier serveur eDirectory dans l'arborescence)	Droit d'objet Parcourir sur l'objet Arborescence.
Arborescence	Droit de propriété Lecture de l'arborescence sur les propriétés Nom du serveur hôte et Ressource hôte de tous les objets Volume. Ainsi, tous les objets ont accès au nom du volume et du serveur physiques.
Objets Conteneur	Droits de lecture et d'analyse de fichiers sur sys: \public. Les objets Utilisateur subordonnés à l'objet Conteneur peuvent ainsi accéder aux utilitaires NetWare du répertoire \public.
Objets Utilisateur	Si des répertoires privés sont automatiquement créés pour les utilisateurs, ces derniers disposent du droit Superviseur sur ces répertoires.

Administration déléguée

eDirectory vous permet de déléguer l'administration d'une branche de l'arborescence, en révoquant vos propres droits de gestion sur cette branche. Cette délégation peut s'imposer du fait de besoins spécifiques en matière de sécurité, qui nécessitent l'intervention d'un autre administrateur possédant un contrôle complet sur cette branche.

Pour déléguer l'administration :

Accordez le droit d'objet Superviseur sur un conteneur.
1. Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
2. Cliquez sur Droits > Modifier les ayants droit.
3. Entrez le nom et le contexte de l'objet Conteneur dont vous voulez contrôler l'accès, puis cliquez sur OK.
4. Cliquez sur Droits assignés.
5. Cochez la case Superviseur pour les propriétés souhaitées.
6. Cliquez sur Terminé, puis sur OK.
Créez un IRF dans le conteneur qui filtre le droit Superviseur et les autres droits que vous voulez bloquer.
1. Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
2. Cliquez sur Droits > Modifier le filtre des droits hérités.
3. Spécifiez le nom et le contexte de l'objet dont vous voulez modifier le filtre des droits hérités, puis cliquez sur OK.
4. Modifiez la liste des filtres de droits hérités, le cas échéant.
  
  Pour modifier la liste des filtres, vous devez avoir le droit Superviseur ou Contrôle d'accès sur la propriété ACL de l'objet. Vous pouvez définir des filtres qui bloquent les droits hérités sur la totalité de l'objet, sur toutes les propriétés de celui-ci ou sur des propriétés individuelles.
  
  NOTE: ces filtres ne peuvent pas bloquer des droits explicitement accordés à un ayant droit sur cet objet, étant donné que de tels droits ne sont pas hérités.
5. Cliquez sur OK.

IMPORTANT: si vous déléguez l'administration à un objet Utilisateur et que vous supprimez cet objet par la suite, plus aucun objet ne dispose de droits pour gérer cette branche.

Pour déléguer l'administration de propriétés eDirectory spécifiques, telles que la gestion des mots de passe, reportez-vous à la section Octroi d'équivalence.

Pour déléguer l'utilisation de fonctions spécifiques dans les applications d'administration basée sur le rôle, reportez-vous à la section Configuration des services basés sur le rôle.

Gestion des droits

Assignation explicite de droits

Lorsque les assignations de droits par défaut de votre arborescence eDirectory offrent aux utilisateurs un accès trop important ou insuffisant aux ressources, vous pouvez créer ou modifier des assignations de droits explicites. Lorsque vous créez ou modifiez une assignation de droits, vous commencez par sélectionner la ressource dont vous voulez contrôler l'accès ou l'ayant droit (c'est-à-dire l'objet eDirectory qui possède, ou qui possédera, les droits).

HINT: pour gérer des droits d'utilisateurs collectivement plutôt qu'individuellement, faites d'un objet Groupe, Rôle ou Conteneur, l'ayant droit. Pour restreindre globalement (c'est-à-dire pour tous les utilisateurs) l'accès à une ressource, reportez-vous à la section Blocage des droits hérités sur un objet ou une propriété eDirectory.

Contrôle de l'accès à Novell eDirectory par ressource

Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Droits > Modifier les ayants droit.
Spécifiez le nom et le contexte de la ressource eDirectory (objet) dont vous voulez contrôler l'accès, puis cliquez sur OK.

Sélectionnez un conteneur si vous souhaitez contrôler l'accès à tous les objets en aval de cette ressource.
Le cas échéant, modifiez la liste des ayants droit ainsi que les assignations de droits correspondantes.
1. Pour modifier l'assignation de droits d'un ayant droit, sélectionnez l'ayant droit, cliquez sur Droits assignés, modifiez l'assignation, puis cliquez sur Terminé.
2. Pour ajouter un objet comme ayant droit, cliquez sur Ajouter un ayant droit, sélectionnez l'objet, cliquez sur OK, puis sur Droits assignés pour attribuer les droits d'ayant droit et, pour finir, cliquez sur Terminé.
  
  Lorsque vous créez ou modifiez une assignation de droits, vous pouvez accorder ou refuser l'accès à la totalité de l'objet, à toutes les propriétés de l'objet ou à des propriétés individuelles.
3. Pour supprimer un objet en tant qu'ayant droit, sélectionnez l'ayant droit, puis cliquez sur Supprimer l'ayant droit.
  
  L'ayant droit supprimé n'a plus de droits explicites sur l'objet ou les propriétés de celui-ci, mais peut toujours disposer de droits effectifs via l'héritage ou l'équivalence de sécurité.
Cliquez sur OK.

Contrôle de l'accès à Novell eDirectory par ayant droit

Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Droits > Droits sur d'autres objets.
Entrez le nom et le contexte de l'ayant droit (c'est-à-dire l'objet qui possède, ou possèdera, les droits) dont vous voulez modifier les droits.
Dans la zone Contexte à partir duquel effectuer la recherche, indiquez la partie de l'arborescence eDirectory où doivent être recherchés les objets eDirectory sur lesquels l'ayant droit a actuellement des assignations de droits.
Cliquez sur OK.

Un écran apparaît, affichant la progression de la recherche. Une fois la recherche terminée, la page Droits sur d'autres objets apparaît, avec les résultats de la recherche.
Le cas échéant, modifiez les assignations de droits eDirectory.
1. Pour ajouter une assignation de droits, cliquez sur Ajouter un objet, sélectionnez l'objet dont l'accès doit être contrôlé, cliquez sur OK, puis sur Droits assignés, attribuez les droits d'ayant droit et cliquez sur Terminé.
2. Pour modifier une assignation de droits, sélectionnez l'objet dont vous voulez contrôler l'accès, cliquez sur Droits assignés, modifiez l'assignation de droits de l'ayant droit, puis cliquez sur Terminé.
  
  Lorsque vous créez ou modifiez une assignation de droits, vous pouvez accorder ou refuser l'accès à la totalité de l'objet, à toutes les propriétés de l'objet ou à des propriétés individuelles.
3. Pour supprimer une assignation de droits, sélectionnez l'objet dont vous voulez contrôler l'accès, puis cliquez sur Supprimer un objet.
  
  L'ayant droit n'a plus de droits explicites sur l'objet ou les propriétés de celui-ci, mais peut toujours disposer de droits effectifs via l'héritage ou l'équivalence de sécurité.
Cliquez sur OK.

Octroi d'équivalence

Un utilisateur qui bénéficie d'une sécurité équivalente à celle d'un autre objet eDirectory possède de fait tous les droits de cet objet. Un utilisateur dispose automatiquement du même niveau de sécurité que les groupes et rôles auxquels il appartient. Tous les utilisateurs bénéficient implicitement d'une équivalence de sécurité avec l'ayant droit [Public] ainsi qu'avec chaque conteneur au-dessus de leurs objets Utilisateur dans l'arborescence eDirectory, y compris l'objet Arborescence. Vous pouvez également accorder à un utilisateur une sécurité équivalente à celle d'un quelconque objet eDirectory.

NOTE: les tâches de cette section vous permettent de déléguer la responsabilité d'administration à l'aide de droits eDirectory. Si vous avez des applications d'administration qui utilisent les rôles RBS (Role-Based Services - Services basés sur le rôle), vous pouvez également déléguer la responsabilité d'administration en assignant à des utilisateurs une adhésion à ces rôles.

Octroi d'une équivalence de sécurité par adhésion

Si vous ne l'avez pas déjà fait, créez l'objet Groupe ou Rôle à partir duquel vous voulez accorder une équivalence de sécurité aux utilisateurs.

Pour plus d'informations, reportez-vous à la section Création d'un objet.
Attribuez au groupe ou au rôle les droits eDirectory que vous voulez accorder aux utilisateurs.

Pour plus d'informations, reportez-vous à la section Assignation explicite de droits.
Éditez la liste d'adhésion au groupe ou au rôle pour y inclure les utilisateurs auxquels vous souhaitez accorder les droits du groupe ou du rôle.
- Pour un objet Groupe, utilisez la page de propriétés Membres.
  Dans Novell iManager, cliquez sur Administration de eDirectory > Modifier un objet, spécifiez le nom et le contexte d'un objet Groupe, cliquez sur OK, puis sur l'onglet Membres.
- Pour un objet Rôle organisationnel, utilisez le champ Occupant de la fonction dans la page de propriétés de même nom.
  Dans Novell iManager, cliquez sur Administration de eDirectory > Modifier un objet, spécifiez le nom et le contexte d'un objet Rôle RBS, cliquez sur OK, puis sur Occupant de la fonction dans l'onglet Général.
- Pour un objet Rôle RBS, utilisez la page Modifier les membres de iManager.
  Dans Novell iManager, cliquez sur le bouton Configurer , sélectionnez Configuration des rôles > Modifier les rôles iManager, cliquez sur le bouton Modifier les membres situé à gauche du rôle à modifier, puis utilisez les options de la page Modifier les membres de iManager pour ajouter ou supprimer des membres dans un rôle.
Cliquez sur OK.

Octroi explicite d'une équivalence de sécurité

Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Administration de eDirectory > Modifier un objet.
Entrez le nom et le contexte de l'utilisateur ou de l'objet à partir duquel vous voulez accorder l'équivalence de sécurité à l'utilisateur, puis cliquez sur OK.
Cliquez sur l'onglet Sécurité, puis accordez l'équivalence de sécurité comme suit :
- Si vous avez choisi un utilisateur, cliquez sur Sécurité égale à, saisissez le nom et le contexte de l'objet à partir duquel vous voulez accorder une équivalence de sécurité à l'utilisateur, appuyez sur Entrée, puis cliquez sur OK.
- Si vous avez choisi un objet à partir duquel vous voulez accorder une équivalence de sécurité à l'utilisateur, cliquez sur Sécurité égale à moi, saisissez le nom et le contexte de l'utilisateur à partir duquel vous voulez accorder une équivalence de sécurité à l'objet, appuyez sur Entrée, puis cliquez sur OK.
Le contenu de ces deux pages de propriétés est synchronisé par le système.
Cliquez sur OK.

Configuration d'un administrateur pour les propriétés eDirectory spécifiques d'un objet

Si vous ne l'avez pas déjà fait, créez l'objet Utilisateur, Groupe, Rôle ou Conteneur que vous voulez définir comme ayant droit des propriétés spécifiques d' un objet donné.

Si vous créez un conteneur en tant qu'ayant droit, tous les objets à l'intérieur et en aval de ce conteneur disposeront des droits que vous accordez. Toutefois, la propriété doit être héritable pour que le conteneur et ses membres puissent bénéficier des droits en aval de celui-ci.

Pour plus d'informations, reportez-vous à la section Création d'un objet.
Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Droits > Modifier les ayants droit.
Spécifiez le nom et le contexte du conteneur de niveau supérieur qui doit être géré par l'administrateur, puis cliquez sur OK.
Accédez à la page Modifier les ayants droit, cliquez sur Ajouter un ayant droit, sélectionnez l'objet qui représente l'administrateur, puis cliquez sur OK.
Cliquez sur Droits assignés pour l'ayant droit que vous venez d'ajouter, puis cliquez sur Ajouter une propriété.
Sélectionnez les propriétés que vous voulez ajouter à la liste des propriétés, puis cliquez sur OK.
Assignez les droits requis pour chaque propriété que l'administrateur doit gérer.

Vérifiez que la case Héritable est cochée pour chaque assignation de droits.
Cliquez sur Terminé, puis sur OK.

Blocage des droits hérités sur un objet ou une propriété eDirectory

Dans eDirectory, les assignations de droits relatives aux conteneurs peuvent être héritables ou non. Dans le système de fichiers NetWare, les assignations de droits relatives aux dossiers sont toutes héritables. Dans eDirectory comme dans NetWare, vous pouvez toutefois bloquer le processus d'héritage au niveau de certains éléments subordonnés, afin que les droits ne soient pas effectifs pour ces éléments, et ce quel que soit l'ayant droit. Une exception est le droit Superviseur, qui ne peut pas être bloqué dans le système de fichiers Netware.

Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Droits > Modifier le filtre des droits hérités.
Spécifiez le nom et le contexte de l'objet dont vous voulez modifier le filtre des droits hérités, puis cliquez sur OK.

La liste des filtres des droits hérités déjà définis pour cet objet s'affiche.
Dans la page des propriétés, apportez les modifications voulues à la liste des filtres de droits hérités.

Pour modifier la liste des filtres, vous devez avoir le droit Superviseur ou Contrôle d'accès sur la propriété ACL de l'objet. Vous pouvez définir des filtres qui bloquent les droits hérités sur la totalité de l'objet, sur toutes les propriétés de celui-ci ou sur des propriétés individuelles.

NOTE: ces filtres ne peuvent pas bloquer des droits qui ont été explicitement accordés à un ayant droit sur cet objet, car de tels droits ne sont pas hérités.
Cliquez sur OK.

Affichage des droits effectifs sur un objet ou une propriété eDirectory

Les droits effectifs sont les droits que les utilisateurs peuvent concrètement exercer sur des ressources spécifiques du réseau. Ils sont déterminés par eDirectory en fonction des assignations de droits explicites, de l'héritage et des équivalences de sécurité. Vous pouvez interroger le système pour connaître les droits effectifs d'un utilisateur sur une ressource donnée.

Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Droits > Afficher les droits effectifs.
Entrez le nom et le contexte de l'ayant droit dont vous voulez afficher les droits effectifs et cliquez sur OK.

Choisissez parmi les options suivantes :

Option	Description
Nom de propriété	Liste les propriétés sur lesquelles l'ayant droit dispose de droits effectifs. Les propriétés sont lues à partir de eDirectory et sont dès lors toujours affichées en anglais. Chaque élément de la liste appartient à l'un des types suivants : [Tous les droits d'attribut] - Représente toutes les propriétés de l'objet. [Droits d'entrée] - Représente l'objet comme un tout. Les droits sur cet élément ne présupposent aucun droit de propriété, sauf dans le cas du Superviseur. Propriétés spécifiques - Il s'agit de propriétés spécifiques sur lesquelles l'ayant droit possède individuellement des droits. Par défaut, seules les propriétés de cette classe d'objet sont listées (voir ci-après).
Droits effectifs	Affiche les droits effectifs de l'ayant droit sur la propriété sélectionnée, tels qu'ils ont été déterminés par eDirectory.
Afficher toutes les propriétés dans le schéma	Laissez cette case désélectionnée pour n'afficher que les propriétés de cette classe d'objet. Cochez cette case pour afficher les propriétés de toutes les classes définies dans le schéma eDirectory. Les propriétés supplémentaires n'ont d'intérêt que si l'objet est un conteneur, ou s'il a été étendu pour inclure les propriétés d'une classe auxiliaire. Les propriétés supplémentaires ne sont pas précédées d'une puce.

Option

Description

Nom de propriété

Liste les propriétés sur lesquelles l'ayant droit dispose de droits effectifs. Les propriétés sont lues à partir de eDirectory et sont dès lors toujours affichées en anglais. Chaque élément de la liste appartient à l'un des types suivants :

[Tous les droits d'attribut] - Représente toutes les propriétés de l'objet.

[Droits d'entrée] - Représente l'objet comme un tout. Les droits sur cet élément ne présupposent aucun droit de propriété, sauf dans le cas du Superviseur.

Propriétés spécifiques - Il s'agit de propriétés spécifiques sur lesquelles l'ayant droit possède individuellement des droits. Par défaut, seules les propriétés de cette classe d'objet sont listées (voir ci-après).

Droits effectifs

Affiche les droits effectifs de l'ayant droit sur la propriété sélectionnée, tels qu'ils ont été déterminés par eDirectory.

Afficher toutes les propriétés dans le schéma

Laissez cette case désélectionnée pour n'afficher que les propriétés de cette classe d'objet.

Cochez cette case pour afficher les propriétés de toutes les classes définies dans le schéma eDirectory. Les propriétés supplémentaires n'ont d'intérêt que si l'objet est un conteneur, ou s'il a été étendu pour inclure les propriétés d'une classe auxiliaire. Les propriétés supplémentaires ne sont pas précédées d'une puce.

Cliquez sur Terminé.