Droits eDirectory

Lorsque vous créez une arborescence, les assignations de droits par défaut généralisent l'accès et la sécurité sur votre réseau. Vous trouverez ci-dessous certaines des assignations par défaut :

• L'utilisateur Admin dispose du droit Superviseur sur le sommet de l'arborescence, ce qui lui procure un contrôle total sur l'intégralité de l'Annuaire. L'administrateur bénéficie également du droit Superviseur sur l'objet Serveur NetWare. Il peut ainsi contrôler tous les volumes de ce serveur.
• L'utilisateur [Public] dispose du droit Parcourir sur le sommet de l'arborescence. Tous les utilisateurs sont donc autorisés à afficher les objets situés dans cette arborescence.
• Les objets créés via un processus de mise à niveau, tel qu'une migration NetWare, une mise à niveau d'impression ou une migration d'utilisateur de Windows NT, reçoivent des assignations d'ayant droit appropriées pour la plupart des situations.

Assignations d'ayant droit et objets cible

L'assignation de droits implique un ayant droit et un objet cible. L'ayant droit représente l'utilisateur ou le groupe d'utilisateurs qui reçoit l'autorité. La cible représente les ressources réseau dont les utilisateurs ont le contrôle.

• Si vous choisissez un alias comme ayant droit, les droits sont appliqués uniquement à l'objet que l'alias représente. L'objet Alias peut toutefois être une cible explicite.
• Un fichier ou un répertoire du système de fichiers de NetWare peut également constituer une cible, même si les droits sur ce système de fichiers sont stockés dans le système lui-même et non dans eDirectory.

Reportez-vous àÉléments de base de l'administrationdu Guide d'utilisation de ConsoleOne.

L'ayant droit [Public] n'est pas un objet. Il s'agit d'un ayant droit spécialisé qui représente tout utilisateur du réseau, logué ou non, pour des raisons d'assignation de droits.

Concepts de droits eDirectory

La liste de concepts ci-après sert à expliquer les droits eDirectory.

Droits d'objet (droits d'entrée)

Lorsque vous procédez à une assignation d'ayant droit, vous pouvez accorder des droits d'objet et de propriété. Les droits d'objet concernent la manipulation de l'ensemble de l'objet, alors que les droits de propriété s'appliquent uniquement à certaines propriétés de l'objet. Un droit d'objet est décrit comme un droit d'entrée car il correspond à une entrée de la base de données eDirectory.

Chaque droit d'objet est décrit ci-dessous.

• Superviseur : inclut tous les droits sur l'objet et toutes ses propriétés.

• Parcourir : permet à l'ayant droit d'afficher l'objet dans l'arborescence. Il ne donne pas le droit d'afficher les propriétés de l'objet.

• Créer : N'est utilisé que lorsque l'objet cible est un conteneur. Le droit Créer permet à l'ayant droit de créer des objets subordonnés au conteneur ; il comprend également le droit Parcourir.

• Supprimer : permet à l'ayant droit de supprimer la cible de l'Annuaire.

• Renommer : permet à l'ayant droit de modifier le nom de la cible.

Droits de propriété

Lorsque vous procédez à une assignation d'ayant droit, vous pouvez accorder des droits d'objet et de propriété. Les droits d'objet concernent la manipulation de l'ensemble de l'objet, alors que les droits de propriété s'appliquent uniquement à certaines propriétés de l'objet.

ConsoleOne propose deux options de gestion des droits de propriété :

• Vous pouvez gérer simultanément toutes les propriétés lorsque l'élément [Tous les droits d'attribut] est sélectionné.
• Vous pouvez gérer individuellement une ou plusieurs propriétés lorsque la propriété correspondante est sélectionnée.

Vous trouverez ci-après les descriptions de chaque droit de propriété :

• Superviseur : permet à l'ayant droit de contrôler entièrement la propriété.

• Comparer : permet à l'ayant droit de comparer la valeur d'une propriété à une valeur donnée. Ce droit permet d'effectuer une recherche et ne renvoie qu'un résultat vrai ou faux. Il ne permet pas à l'ayant droit d'afficher réellement la valeur de la propriété.

• Lire : permet à l'ayant droit d'afficher les valeurs d'une propriété. Il comprend le droit Comparer.

• Écrire : permet à l'ayant droit de créer, de modifier et de supprimer les valeurs d'une propriété.

• S'ajouter : permet à l'ayant droit d'ajouter son nom en tant que valeur de propriété ou de le retirer. Il ne s'applique qu'aux propriétés dont les valeurs sont des noms d'objet, telles que les listes d'adhésions ou les listes ACL (Access Control Lists - Listes de contrôle d'accès).

Droits effectifs

Les utilisateurs reçoivent des droits de plusieurs manières : par le biais d'assignations d'ayant droit explicites, d'un héritage ou d'une équivalence de sécurité. Vous pouvez également limiter les droits par l'intermédiaire de filtres des droits hérités, et les modifier ou les révoquer à l'aide d'assignations d'ayant droit inférieures. Le résultat de toutes ces actions, c'est-à-dire les droits que possède un utilisateur, est appelé droits effectifs.

Les droits effectifs d'un utilisateur sur un objet sont évalués chaque fois que l'utilisateur tente d'effectuer une opération.

Méthode de calcul des droits effectifs par eDirectory

Chaque fois qu'un utilisateur tente d'accéder à une ressource réseau, eDirectory permet de calculer les droits effectifs dont cet utilisateur dispose sur la ressource cible en procédant de la manière suivante :

1. eDirectory liste les ayants droit dont les droits doivent être pris en compte dans le calcul. Ces ayants droit incluent :
   • l'utilisateur qui tente d'accéder à la ressource cible ;
   • les objets sur lesquels l'utilisateur dispose d'une équivalence de sécurité.

2. eDirectory détermine les droits effectifs de chaque ayant droit de la liste de la manière suivante :
   1. eDirectory commence par les droits héritables que l'ayant droit possède à la racine de l'arborescence.

      eDirectory recherche, dans la propriété Ayants droit de l'objet (ACL) de l'objet Arborescence, les entrées qui mentionnent l'ayant droit. Si des droits héritables sont trouvés dans ces entrées, eDirectory les utilise comme groupe de droits effectifs initial pour l'ayant droit.

   2. eDirectory descende d'un niveau dans la branche de l'arborescence qui contient la ressource cible.
   3. eDirectory retire tous les droits filtrés à ce niveau.

      eDirectory recherche, dans l'ACL de ce niveau, les IRF (filtres des droits) qui correspondent aux types (Objet, Toutes propriétés ou propriété spécifique) des droits effectifs de l'ayant droit. Si de tels filtres sont détectés, eDirectory retire des droits effectifs de l'ayant droit les droits annulés par ces IRF.

      Par exemple, si les droits effectifs de l'ayant droit incluent jusqu'à présent une assignation de droit Écrire sur toutes les propriétés, mais qu'un IRF à ce niveau annule ce droit, le système retire celui-ci des droits effectifs de l'ayant droit.

   4. eDirectory ajoute les droits héritables assignés à ce niveau, en remplaçant les assignations existantes le cas échéant.

      eDirectory recherche, dans l'ACL de ce niveau, les entrées qui mentionnent l'ayant droit. Si des entrées sont trouvées et qu'elles sont héritables, eDirectory copie les droits contenus dans ces entrées dans les droits effectifs de l'ayant droit, en remplaçant les assignations existantes le cas échéant.

      Supposez, par exemple, que les droits effectifs de l'ayant droit incluent jusqu'ici les droits d'objet Créer et Supprimer, mais aucun droit de propriété, et que l'ACL à ce niveau contienne à la fois une assignation n'englobant aucun droit d'objet et une assignation de droit Écrire sur toutes les propriétés pour cet ayant droit. Dans ce cas, le système annule les droits d'objet existants de l'ayant droit (Créer et Supprimer) et ajoute les nouveaux droits de propriété.

   5. eDirectory répète les étapes de filtrage et d'ajout (étapes c et d ci-dessus) à chaque niveau de l'arborescence, y compris le niveau de la ressource cible.
   6. eDirectory ajoutent les droits non héritables assignés à la ressource cible, en remplaçant les assignations existantes le cas échéant.

      eDirectory utilise le même processus que celui de l'étape 2d. Le groupe de droits qui en résulte constitue les droits effectifs de l'ayant droit.

3. eDirectory associe les droits effectifs de tous les ayants droit de la liste comme suit :
   1. eDirectory incluent tous les droits détenus par les ayants droit de la liste et excluent uniquement les droits qui ne sont assignés à aucun ayant droit. eDirectory ne mélange pas les types de droit. Par exemple, ils n'ajoutent pas les droits d'une propriété spécifique à ceux de toutes les propriétés, ou vice-versa.
   2. eDirectory ajoute les droits dépendants des droits effectifs actuels.

      L'ensemble de droits qui en résulte constitue les droits effectifs de l'utilisateur sur la ressource cible.

Exemple :

L'utilisateur DJonet tente d'accéder au volume Vol_Compta. Reportez-vous à Figure 22.

Figure 22
Exemples de droits d'ayant droit

Le processus suivant indique le mode de calcul par eDirectory des droits effectifs de l'utilisateur DJonet sur le volume Vol_Compta :

1. Les ayants droit dont les droits doivent être pris en compte dans le calcul sont DJonet, Marketing, Arborescence et [Public].

   Cela suppose que DJonet ne fait partie d'aucun groupe ni rôle, et que des équivalences de sécurité ne lui ont pas été explicitement assignées.

2. Vous trouverez ci-dessous les droits effectifs de chacun des ayants droit :
   • DJones : zéro objet, ttes propriétés

     L'assignation des droits " zéro ttes propriétés " sur le volume Vol_Compta est prioritaire par rapport à l'assignation du droit Écrire sur toutes les propriétés au niveau de Comptabilité.

   • Marketing : zéro ttes propriétés

     L'assignation du droit Écrire sur toutes les propriétés à la racine de l'arborescence est rejetée par les IRF au niveau de Facturation.

   • Arborescence : Aucun droit

     Aucun droit n'est assigné à l'objet Arborescence dans la branche appropriée de l'arborescence.

   • [Public] : Parcourir objet, Lire ttes propriétés

     Ces droits sont assignés à la racine et ne sont pas filtrés ou annulés dans la branche appropriée de l'arborescence.

3. Si vous combinez les droits de tous ces ayants droit, vous obtenez le résultat suivant :

   DJones : Parcourir objet, Lire ttes propriétés

4. Si vous ajoutez le droit Comparer sur toutes les propriétés qui dépend du droit Lire sur toutes les propriétés, vous obtenez finalement les droits effectifs suivants pour DJonet sur le volume Vol_Compta :

   DJones : Parcourir objet, Lire et Comparer ttes les propriétés

Annulation de droits effectifs

Étant donné le mode de calcul des droits effectifs, vous pouvez éprouver des difficultés à éviter que les droits particuliers d'un utilisateur deviennent effectifs sans avoir recours à un IRF (en effet, un IRF bloque les droits de tous les utilisateurs).

Pour éviter que les droits particuliers d'un utilisateur deviennent effectifs sans avoir recours à un IRF, procédez de l'une des manières suivantes :

• Assurez-vous que ni l'utilisateur ni aucun des objets pour lesquels l'utilisateur dispose d'une équivalence de sécurité n'obtiennent ces droits, que ce soit au niveau de la ressource cible ou à un niveau supérieur dans l'arborescence.
• Si l'utilisateur ou tout objet pour lequel il bénéficie d'une équivalence de sécurité se voit malgré tout attribuer ces droits, veillez à ce que l'objet dispose également d'une assignation omettant ces droits à un niveau inférieur dans l'arborescence. Répétez l'opération pour chaque ayant droit (associé à l'utilisateur) disposant des droits non souhaités.

Equivalence de sécurité

L'équivalence de sécurité signifie qu'un objet dispose des mêmes droits qu'un autre objet. Lorsque vous attribuez à un objet une sécurité équivalente à celle d'un autre objet, les droits de ce deuxième objet sont ajoutés à ceux du premier lorsque le système calcule les droits effectifs de ce dernier.

Supposons, par exemple, que vous attribuiez à l'objet Utilisateur Joseph une équivalence de sécurité par rapport à l'objet Admin. Une fois l'équivalence de sécurité créée, Joseph dispose des mêmes droits qu'Admin sur l'arborescence et sur le système de fichiers.

Trois types d'équivalence de sécurité sont disponibles :

• Explicite : Par assignation
• Automatique : Par appartenance à un groupe ou à un rôle
• Implicite : Sécurité équivalente pour tous les conteneurs parent et l'ayant droit [Public]

L'opération d'équivalence de sécurité ne peut être effectuée qu'une seule fois. Par exemple, si vous accordez à un troisième utilisateur une sécurité équivalente à celle de Joseph de l'exemple précédent, cet utilisateur ne reçoit pas les droits d'Admin.

L'équivalence de sécurité est enregistrée dans eDirectory sous la forme de valeurs dans la propriété Sécurité égale à de l'objet Utilisateur.

Lorsque vous ajoutez un objet Utilisateur en tant que titulaire à un objet Rôle organisationnel, cet objet bénéficie automatiquement d'une équivalence de sécurité par rapport à l'objet Rôle organisationnel. Il en est de même lorsqu'un utilisateur devient membre d'un objet Rôle de groupe.

Liste de contrôle d'accès (ACL - Access Control List)

La liste de contrôle d'accès (ACL) est également connue sous le nom de propriété Ayants droit de l'objet. Chaque fois que vous assignez un ayant droit, celui-ci est ajouté sous la forme d'une valeur à la propriété Ayants droit de l'objet (ACL) de la cible.

Cette propriété a d'importantes conséquences en matière de sécurité du réseau pour les raisons suivantes :

• Toute personne disposant du droit Superviseur ou Écrire sur la propriété Ayants droit de l'objet (ACL) d'un objet peut déterminer l'ayant droit de cet objet.
• Un utilisateur qui dispose du droit S'ajouter pour la propriété Ayants droit de l'objet (ACL) d'un objet peut changer ses propres droits se rapportant à cet objet. Par exemple, il peut s'accorder à lui-même le droit Superviseur.

C'est pourquoi vous devez être vigilant lorsque vous attribuez des droits S'ajouter à toutes les propriétés d'un objet Conteneur. Du fait de cette assignation, l'ayant droit peut devenir le superviseur de ce conteneur, de tous les objets qu'il contient et de tous les objets des conteneurs qui lui sont subordonnés.

Filtre des droits hérités (IRF - Inherited Rights Filter)

Le filtre des droits hérités permet de bloquer la transmission des droits vers le bas de l'arborescence eDirectory. Pour plus d'informations sur la configuration de ce filtre, reportez-vous à " Blocage des héritages " dans Gestion des droits du manuel Guide d'utilisation de ConsoleOne.

Droits par défaut pour un nouveau serveur

Lorsque vous installez un nouvel objet Serveur dans une arborescence, les assignations d'ayant droit suivantes sont effectuées :

Tableau 18. Assignations d'ayant droit

Administration déléguée

eDirectory vous permet de déléguer l'administration d'une branche de l'arborescence, en révoquant vos propres droits de gestion sur cette branche. Des exigences de sécurité particulières nécessitant un administrateur différent disposant d'un contrôle total sur cette branche peuvent constituer l'un des motifs de cette délégation.

Pour déléguer l'administration :

1. Accordez le droit d'objet Superviseur à un conteneur.

2. Créez un IRF dans le conteneur qui filtre le droit Superviseur et les autres droits que vous voulez bloquer.

IMPORTANT :  Si vous déléguez l'administration à un objet Utilisateur et que vous supprimiez cet objet par la suite, aucun objet disposant de droits ne gère cette branche.

Pour déléguer l'administration de propriétés eDirectory spécifiques, telles que la gestion des mots de passe, reportez-vous à Accord d'équivalence du Guide d'utilisation de ConsoleOne.

Pour déléguer l'utilisation de fonctions spécifiques dans les applications d'administration basée sur les rôles, reportez-vous àConfiguration de l'administration basée sur les rôlesdu Guide d'utilisation de ConsoleOne.