LCA étendue et sécurité
LCA étendue et sécurité Domino
La LCA étendue est avant tout présentée comme une solution permettant d'héberger de manière cloisonnée des organisations Notes multiples sur un environnement Domino mutualisé.
La LCA étendue offre également des possibilités non négligeables de sécurisation del'environnement Domino aussi bien côté Web que côté accès Notes.
Cet article illustre ces possibilités au travers d'un exemple simple...
...
Pour commencer, qu'est ce que la LCA étendue.
Les Listes de Contrôle d'accès Notes permettent de contrôler des permissions globales d'accès aux bases de documents :
- qui peut ouvrir la base,
- qui peut en lire les données,
- qui peut y écrire,
- etc...
Mais la LCA s'applique de manière globale à une base de documents donnée. On peut affiner les permissions à l'aide de rôles et de développement. Mais il peut s'avérer difficile, voire ardu, de contrôler les permissions au niveau le plus fin.
La LCA étendue permet d'affiner les contrôles d'accès à une base, à l'annuaire Domino par exemple, en offrant la possibilité de contrôler qui est habilité à voir/modifier des ensembles de données, de contrôler qui est habilité à voir ou modifier un champ spécifique dans un masque.
L'exemple décrit dans cet article traite de la sécurité de l'annuaire Domino et permet de restreindre la visibilité des mots de passe Internet dans les fiches personnes depuis l'annuaire Domino.
Vous pouvez ensuite, sur le même principe, définir des restrictions de lecture ou d'ecriture sur des champs spécifiques de l'annuaire Domino.
Attention : la LCA étendue, appliquée dans Notes, ne fonctionnera correctement, dans certains contextes, que pour des utilisateurs définis avec un niveau d'accès Concepteur ou inférieur.
Activer la LCA étendue
La LCA étendue est une option disponible dans la LCA de certaines bases Domino qu'il faut, avant toute chose, commencer par activer.
Pour ce faire, accédez à la LCA de votre annuaire Domino, puis activez l'option de LCA étendue.
Fermez la fenêtre de Liste de Contrôle d'Accès, puis laissez au système quelques instants pour initialiser la LCA étendue.
Accéder à la LCA étendue
Ouvrez à nouveau la Liste de Contrôle d'accès de l'annuaire Domino.
Vus remarquerez l'apparition d'un nouveau bouton : Accès étendu.
Cliquez sur ce bouton, la fenêtre de contrôle de LCA étendue (xACL) s'affiche.
Cette fenêtre se décompose en trois zones.
La zone Cible contient les objets de données sur lesquels vous pouvez affecter des restrictions.
Vous pouvez, dans cette zone, afficher aussi bien des conteneurs (relatifs aux noms Notes hiérarchiques) que des objets de données (salles, utilisateurs...).
Les conteneurs concernent aussi bien des noms liés à votre organisationet à vos certificats (O=, C= etc) que des noms liés aux ressources (les sites d'appartenance des salles par exemple).
La zone Liste de contrôle d'accès vous permet de définir les noms auxquels vous souhaitez affecter des niveaux d'accès aux objets de la zone Cible.
La zone attributs permet de définir les permissions accordées à un nom particulier sur une cible spécifique. Le bouton Accès aux masques et aux champs permet d'affiner les niveaux d'accès sur des masques spécifiques, voire des champs individuels dans ces masques.
Définir les contrôles génériques
Il vous faut, pour commencer, vous accorder des permissions sur l'ensemble des objets.
Pour ce faire, sélectionnez l'objet / dans la zone cible, puis cliquez sur le bouton Ajouter de la zone Liste de contrôle d'accès.
Sélectionnez l'option Nom et ajoutez votre nom d'administrateur (ou sélectionnez le groupe d'administrateur habilités à administrer l'annuaire).
Puis définissez les options d'accès en accordant l'ensemble des autorisations au nom sélectionné.
Sécuriser les mots de passe Web avec le LCA étendue
Un utilisateur ayant accès à votre annuaire Domino peut avoir accès à l'ensemble des mots de passe Internet de vos utilisateurs.
Hasché bien sur... mais bon !
Simple.
Accédez à votre annuaire Domino depuis un navigateur, puis ouvrez l'annuaire names.nsf, puis ouvrez une fiche personne.
Le mot de passe Internet n'est pas directement visible, mais affichez le code source de la page, et recherchez les champs HTTP :
Nous allons verrouiller l'accessibilité à ces deux champs dans la LCA étendue de l'annuaire Domino.
Ouvrez la LCA de l'annuaire, accédez à la LCA étendue, sélectionnez l'objet / dans la zone cible, puis cliquez sur le bouton Ajouter de la zone Liste de contrôle d'accès.
Ajoutez les noms Default et Anonymous.
Puis configurez l'accès global pour ces deux entrées.
Sélectionnez la première des deux entrées, Default par exemple, puis cliquez ensuite sur le bouton Accès aux masques et aux champs.
Localisez, dans la section Masques, l'entrée Person (c'est le masque de saisie-visualisation des fiches personne).
Définissez les permissions d'accès global au masque.
Puis, dans la section Champs, localisez les entrées HTTPPassword et DspHTTPPassword (les deux champs que nous avons repérés dans le codesource de la page Web). Définissez les permissions pour chacun de ces deux champs en en interdisant la lecture et l'écriture.
Il y a en fait un troisième champ à traiter (que je n'ai pas mis en évidence dans ma capture d'écran) : $dspHTTPPassword.
Effectuez la même opération pour la deuxième entrée de la LCA (Anonymous dans mon exemple).
Fermez et enregistrez la LCA étendue, le tour est joué.
| Permalink | 
- 
Comments
Posted by YoGi At 13:08:46 On 28/02/2008 | - Website - |
En effet, après modification de la lca étendue, les champs HTTPPassword, dspHTTPPassword et $dspHTTPPassword sont vides si l'on affiche le code source de la page. Et aucun de mes web users n'est bloqué à l'identification.
A noter que les champs dspHTTPPassword et $dspHTTPPassword ne sont pas visibles dans ma lca étendue, mais qu'il a suffit d'interdire à anonymous et Default de lire et écrire le champ HTTPPassword pour que les trois champs soient masqués.
Encore une fois, un super tips que tu nous livre là (surout pour un petit admin qui ne connaît encore pas tous les rouages de domino, même après 8 ans d'admin.)
Merci.
Posted by benoît At 16:19:46 On 25/02/2008 | - Website - |
si Default n'est pas autorisé, et s'il n'y a pas d'entrée individuelle qui accorde ce droit, le champ restera invisible.
Cela ne bloque par contre pas l'authentification ni le changement de mot de passe depuis l'interface iNotes (DWA).
Posted by Pierre MOYSAN At 21:48:07 On 24/02/2008 | - Website - |
super infos que tu nous livre là.
seul souci:
si un de mes utilisateurs authentifié se connecte sur le site web sous domino, il sera en droit de voir ces champs non ?
Existe t'il une astuce pour qu'il puisse s'authentifier auprès du serveur web sans pour autant avoir le droit de voir d'autres 'profils' ?
Posted by benoît At 16:12:57 On 22/02/2008 | - Website - |