25.6 Droits sur les entrées nécessaires à la réalisation des tâches

La liste suivante répertorie les droits spécifiques sur les entrées dont l'administrateur a besoin pour gérer les tâches NetIQ Certificate Server au sein d'une arborescence eDirectory. Ces droits sont les droits minimum requis sur les entrées.

Cette liste devrait également être utile à l'administrateur qui souhaite accorder des droits à un autre utilisateur pour gérer une partie ou l'ensemble des besoins de la société en termes de gestion des certificats et d'autorité de certification.

Tableau 25-2 Droits sur les entrées pour l'administrateur

Tâches

Droits nécessaires sur les entrées

Installation de NetIQ Certificate Server

Pour la première installation sur une arborescence eDirectory :

  • Superviseur au niveau de la [Racine] de l'arborescence

Pour les installations suivantes :

  • Superviseur sur l'objet W0

  • Droits requis pour créer un objet Certificat de serveur

    Si un utilisateur ne possède pas les droits requis pour créer un objet Certificat de serveur, l'installation se termine, mais les objets Certificat de serveur doivent être créés manuellement par un utilisateur disposant des droits appropriés, et les applications qui utilisent ces certificats doivent être configurées manuellement.

Création d'une autorité de certification organisationnelle

  • Superviseur sur le conteneur de sécurité

Affichage des propriétés et des certificats de l'autorité de certification organisationnelle

  • Parcourir sur l'objet de l'autorité de certification organisationnelle

Exportation de certificat(s) de l'autorité de certification organisationnelle

  • Parcourir sur l'objet de l'autorité de certification organisationnelle

Émission d'un certificat de clé publique

  • Lire sur l'attribut NDSPKI:Private Key de l'objet de l'autorité de certification organisationnelle

    Toutefois, si l'objet qui tente de délivrer le certificat de clé publique est un serveur NCP, les droits requis sont les suivants :

  • Écrire sur l'attribut NDSPKI:Private Key de l'objet de l'autorité de certification organisationnelle

Sauvegarde et restauration d'une autorité de certification organisationnelle

  • Superviseur sur l'objet de l'autorité de certification organisationnelle

Déplacement de l'autorité de certification organisationnelle vers un autre serveur

  • Superviseur sur l'objet de l'autorité de certification organisationnelle

Validation des certificats de l'autorité de certification organisationnelle

  • Parcourir sur l'objet de l'autorité de certification organisationnelle

Remplacement de l'autorité de certification organisationnelle

  • Superviseur sur l'objet de l'autorité de certification organisationnelle

Suppression d'une autorité de certification organisationnelle

  • Supprimer sur l'objet de l'autorité de certification organisationnelle

Création d'objets Certificat de serveur

  • Superviseur sur le conteneur du serveur

  • Lire sur l'attribut NDSPKI:Private Key de l'objet de l'autorité de certification organisationnelle (uniquement s'il s'agit de l'autorité de certification organisationnelle)

    Toutefois, si l'objet qui tente de délivrer le certificat de clé publique est un serveur NCP, les droits requis sont les suivants :

  • Superviseur sur le conteneur du serveur

  • Écrire sur l'attribut NDSPKI:Private Key de l'objet de l'autorité de certification organisationnelle

Importation d'un certificat de clé publique dans un objet Certificat de serveur

  • Écrire sur l'attribut NDSPKI:Public Key Certificate de l'objet Certificat de serveur

  • Écrire sur l'attribut NDSPKI:Certificate Chain de l'objet Certificat de serveur

Suppression d'un objet Certificat de serveur

  • Supprimer sur l'objet Certificat de serveur

Exportation d'un certificat de racine approuvée ou d'un certificat de clé publique à partir d'un objet Certificat de serveur

  • Parcourir sur l'objet Certificat de serveur

Affichage des propriétés et des certificats de l'objet Certificat de serveur

  • Parcourir sur l'objet Certificat de serveur

Sauvegarde et restauration d'un objet Certificat de serveur

  • Superviseur sur l'objet Serveur qui possède l'objet Certificat de serveur à sauvegarder

  • Créer sur le conteneur de l'objet Serveur à restaurer.

Validation des certificats de serveur

  • Parcourir sur l'objet Certificat de serveur

Révocation des certificats de serveur

  • Lire sur la clé privée de l'autorité de certification, Supprimer sur l'objet Certificat de serveur ou Superviseur sur le serveur hôte (autrement dit, l'objet serveur NCP™)

Remplacement du matériel de codage d'un certificat de serveur

  • Écrire sur l'attribut NDSPKI:PrivateKey de l'objet Certificat de serveur

Création de certificats utilisateur

  • Lire sur l'attribut NDSPKI:Private Key de l'objet de l'autorité de certification organisationnelle

  • Lire et Écrire sur l'attribut NDSPKI:userCertificateInfo de l'objet Utilisateur

  • Lire et Écrire sur l'attribut SAS:SecretStore de l'objet Utilisateur

  • Lire et Écrire sur l'attribut userCertificate de l'objet Utilisateur

    Toutefois, si l'objet qui tente de délivrer le certificat de clé publique est un serveur NCP, les droits requis sont les suivants :

  • Écrire sur l'attribut NDSPKI:Private Key de l'objet de l'autorité de certification organisationnelle

  • Lire et Écrire sur l'attribut NDSPKI:userCertificateInfo de l'objet Utilisateur

  • Lire et Écrire sur l'attribut SAS:SecretStore de l'objet Utilisateur

  • Lire et Écrire sur l'attribut userCertificate de l'objet Utilisateur

Importation d'un certificat de clé publique dans un objet utilisateur

  • Lire et Écrire sur l'attribut NDSPKI:userCertificateInfo de l'objet Utilisateur

  • Lire et Écrire sur l'attribut NDSPKI:userCertificate de l'objet Utilisateur

Affichage des propriétés d'un certificat utilisateur

  • Parcourir sur l'objet Utilisateur

Exportation d'un certificat utilisateur

  • Parcourir sur l'objet Utilisateur

Exportation de la clé privée et du certificat d'un utilisateur

  • Vous devez être connecté en tant que l'utilisateur

Suppression d'un certificat utilisateur et de la clé privée

  • Lire et Écrire sur l'attribut NDSPKI:userCertificateInfo

  • Lire et Écrire sur l'attribut userCertificate

Validation des certificats utilisateur

  • Parcourir sur l'objet Utilisateur

Révocation des certificats utilisateur

  • Lire sur la clé privée de l'autorité de certification, Supprimer sur l'objet Utilisateur ou être connecté en tant que l'utilisateur et Écrire sur l'attribut userCertificate

Création d'un conteneur de racines approuvées

  • Créer sur le conteneur de sécurité

Création d'un objet Racine approuvée

  • Créer sur le conteneur Racine approuvée dans lequel résidera l'objet Racine approuvée

Affichage des propriétés d'un objet Racine approuvée

  • Parcourir sur l'objet Racine approuvée

Remplacement d'un certificat de racine approuvée

  • Lire et Écrire sur l'attribut NDSPKI:Not After de l'objet Racine approuvée

  • Lire et Écrire sur l'attribut NDSPKI:Not Before de l'objet Racine approuvée

  • Lire et Écrire sur l'attribut NDSPKI:Subject Name de l'objet Racine approuvée

  • Lire et Écrire sur l'attribut NDSPKI:Trusted Root Certificate de l'objet Racine approuvée

Validation d'un certificat de racine approuvée

  • Parcourir sur l'objet Racine approuvée

Révocation d'un certificat de racine approuvée

  • Lire sur la clé privée de l'autorité de certification ou Supprimer sur l'objet Racine approuvée

Suppression d'un objet Racine approuvée

  • Supprimer sur l'objet Racine approuvée

Création d'un conteneur CRL

  • Superviseur sur le conteneur de sécurité

  • Écrire sur l'attribut ndspkiCRLContainerDN de l'objet de l'autorité de certification organisationnelle

Suppression d'un conteneur CRL

  • Supprimer sur le conteneur CRL

Création d'un objet Configuration CRL

  • Superviseur sur le conteneur CRL

Activation d'un objet Configuration CRL

  • Écrire sur l'attribut ndspkiCRLConfigurationDNList de l'objet de l'autorité de certification organisationnelle

Affichage et/ou modification des propriétés d'un objet Configuration CRL

Modification:

  • Superviseur sur l'objet Configuration CRL

    ou

  • Écrire sur l'attribut modifié de l'objet Configuration CRL

Affichage:

  • Parcourir sur l'objet Configuration CRL

Suppression d'un objet Configuration CRL

  • Supprimer sur l'objet Configuration CRL

Création d'un objet CRL

  • Superviseur sur l'objet Configuration CRL

Exportation d'un fichier CRL

  • Lire pour l'attribut certificateRevocationList

Remplacement d'un fichier CRL

  • Parcourir sur l'objet CRL

Affichage des propriétés d'un objet CRL

  • Parcourir sur l'attribut certificateRevocationList

Suppression d'un objet CRL

  • Supprimer sur le point de distribution CRL

Création d'un conteneur de sécurité

  • Créer à la racine de l'arborescence eDirectory

Création d'un objet Service SAS

  • Superviseur sur le conteneur de l'objet

  • Écrire sur l'attribut SAS:Service DN sur le serveur pour lequel l'objet est créé.