1.9 Droits eDirectory

Lorsque vous créez une arborescence, les assignations de droits par défaut généralisent l'accès et la sécurité sur votre réseau. Vous trouverez ci‑dessous certaines des assignations par défaut :

  • L'utilisateur Admin dispose du droit Superviseur sur le sommet de l'arborescence, ce qui lui procure un contrôle total sur l'intégralité de l'Annuaire. L'administrateur bénéficie également du droit Superviseur sur l'objet Serveur, ce qui lui permet de contrôler tous les volumes de ce serveur.

  • L'utilisateur [Public] dispose du droit Parcourir sur le sommet de l'arborescence. Tous les utilisateurs sont donc autorisés à afficher les objets situés dans cette arborescence.

  • Les objets créés via un processus de mise à niveau, tel qu'une mise à niveau d'impression ou une migration d'utilisateur Windows, reçoivent des assignations d'ayant droit appropriées pour la plupart des situations.

1.9.1 Assignations d'ayant droit et objets cible

L'assignation de droits implique un ayant droit et un objet cible. L'ayant droit représente l'utilisateur ou le groupe d'utilisateurs qui reçoit l'autorité. La cible représente les ressources réseau dont les utilisateurs ont le contrôle.

  • Si vous choisissez un alias comme ayant droit, les droits sont appliqués uniquement à l'objet que l'alias représente. L'objet Alias peut toutefois être une cible explicite.

  • Un fichier ou un répertoire du système de fichiers peut également constituer une cible, même si les droits sur ce système de fichiers sont enregistrés dans le système lui-même et non dans eDirectory.

REMARQUE :L'ayant droit [Public] n'est pas un objet. Il s'agit d'un ayant droit spécial qui, pour des raisons d'assignation de droits, représente un utilisateur réseau quelconque qui est ou non connecté.

[Ceci] est un type spécial d'ayant droit, défini pour être un objet authentifié, lorsque son nom correspond à l'entrée consultée. Cela permet à l'administrateur de spécifier facilement des droits (comme celui permettant à chaque utilisateur de gérer son propre numéro de téléphone), avec une ACL unique en haut de l'arborescence et [Ceci] comme ayant droit.

1.9.2 Concepts relatifs aux droits eDirectory

Les concepts ci-dessous servent à expliquer les droits eDirectory.

Droits d'objet (droits d'entrée)

Lorsque vous procédez à une assignation d'ayant droit, vous pouvez accorder des droits d'objet et de propriété. Les droits d'objet concernent la manipulation de l'ensemble de l'objet, alors que les droits de propriété s'appliquent uniquement à certaines propriétés de l'objet. Un droit d'objet équivaut à un droit d'entrée car il fournit une entrée dans la base de données eDirectory.

Chaque droit d'objet est décrit ci‑dessous:

  • Superviseur inclut tous les droits sur l'objet et toutes ses propriétés.

  • Parcourir permet à l'ayant droit d'afficher l'objet dans l'arborescence. Il ne donne pas le droit d'afficher les propriétés de l'objet.

  • Créer ne s'applique que lorsque l'objet cible est un conteneur. Le droit Créer permet à l'ayant droit de créer des objets subordonnés au conteneur ; il comprend également le droit Parcourir.

  • Supprimer permet à l'ayant droit de supprimer la cible de l'annuaire.

  • Renommer permet à l'ayant droit de changer le nom de la cible.

Droits de propriété

Lorsque vous procédez à une assignation d'ayant droit, vous pouvez accorder des droits d'objet et de propriété. Les droits d'objet concernent la manipulation de l'ensemble de l'objet, alors que les droits de propriété s'appliquent uniquement à certaines propriétés de l'objet.

iManager propose deux options de gestion des droits de propriété :

  • Vous pouvez gérer simultanément toutes les propriétés lorsque l'élément [Tous les droits d'attribut] est sélectionné.

  • Vous pouvez gérer individuellement une ou plusieurs propriétés lorsque la propriété correspondante est sélectionnée.

IMPORTANT :si vous accordez à un ayant droit un accès en lecture à la propriété [Tous les droits d'attribut] d'un utilisateur, l'ayant droit bénéficie d'un accès en lecture à l'attribut Gestion des mots de passe de cet utilisateur. L'ayant droit peut alors lire les mots de passe de l'utilisateur.

Pour plus d'informations sur la création et la gestion des stratégies de mot de passe, reportez-vous à la Section 26.4.4, Création de règles de mot de passe.

Chaque droit de propriété est décrit ci-dessous :

  • Superviseur permet à l'ayant droit de contrôler entièrement la propriété.

  • Comparer permet à l'ayant droit de comparer la valeur d'une propriété à une valeur donnée. Ce droit permet d'effectuer une recherche et ne renvoie qu'un résultat vrai ou faux. Il ne permet pas à l'ayant droit d'afficher réellement la valeur de la propriété.

  • Lire permet à l'ayant droit d'afficher les valeurs d'une propriété. Il comprend le droit Comparer.

  • Écrire permet à l'ayant droit de créer, de modifier et de supprimer les valeurs d'une propriété.

  • S'ajouter permet à l'ayant droit d'ajouter ou de retirer son nom en tant que valeur de propriété. Il ne s'applique qu'aux propriétés dont les valeurs sont des noms d'objet, telles que les listes d'adhésions ou les listes ACL (Access Control Lists - Listes de contrôle d'accès).

Droits effectifs

Les utilisateurs reçoivent des droits de plusieurs manières : par le biais d'assignations d'ayant droit explicites, d'un héritage ou d'une équivalence de sécurité. Vous pouvez également limiter les droits par l'intermédiaire de filtres des droits hérités, et les modifier ou les révoquer à l'aide d'assignations d'ayant droit inférieures. Le résultat de toutes ces actions, c'est-à-dire les droits que peut employer un utilisateur, est appelé droits effectifs.

Les droits effectifs d'un utilisateur sur un objet sont évalués chaque fois que l'utilisateur tente d'effectuer une action.

Détermination des droits effectifs

Chaque fois qu'un utilisateur tente d'accéder à une ressource réseau, eDirectory détermine les droits effectifs dont il dispose sur la ressource cible en procédant de la manière suivante :

  1. eDirectory liste les ayants droit dont les droits doivent être pris en compte dans le processus, à savoir : Ces ayants droit incluent :

    • l'utilisateur qui tente d'accéder à la ressource cible ;.

    • les objets sur lesquels l'utilisateur dispose d'une équivalence de sécurité.

  2. eDirectory détermine les droits effectifs de chaque ayant droit de la liste de la manière suivante :

    1. eDirectory commence par les droits héritables que l'ayant droit possède au sommet de l'arborescence.

      eDirectory recherche, dans la propriété Ayants droit de l'objet (ACL) de l'objet Arborescence, les entrées où figure l'ayant droit. Si des droits héritables existent dans ces entrées, eDirectory les utilise comme groupe de droits effectifs initial pour l'ayant droit.

    2. eDirectory descend d'un niveau dans la branche de l'arborescence qui contient la ressource cible.

    3. eDirectory supprime tous les droits filtrés à ce niveau.

      eDirectory recherche, dans la liste ACL de ce niveau, les IRF (Inherited Rights Filters – filtres des droits hérités) qui correspondent aux types (objet, toutes propriétés ou propriété spécifique) des droits effectifs de l'ayant droit. Si de tels filtres existent, eDirectory retire des droits effectifs de l'ayant droit les droits bloqués par ces IRF.

      Par exemple, si les droits effectifs de l'ayant droit incluent jusqu'à présent une assignation de droit Écrire sur toutes les propriétés, mais qu'un IRF à ce niveau annule ce droit, le système retire celui-ci des droits effectifs de l'ayant droit.

    4. eDirectory ajoute les droits héritables assignés à ce niveau, en remplaçant, le cas échéant, les assignations existantes.

      eDirectory recherche, dans la liste ACL de ce niveau, les entrées où figure l'ayant droit. S'il en existe et que leurs droits sont héritables, eDirectory copie ceux-ci dans les droits effectifs de l'ayant droit, en remplaçant les assignations existantes, le cas échéant.

      Supposez, par exemple, que les droits effectifs de l'ayant droit incluent jusqu'ici les droits d'objet Créer et Supprimer, mais aucun droit de propriété, et que l'ACL à ce niveau contienne à la fois une assignation n'englobant aucun droit d'objet et une assignation de droit Écrire sur toutes les propriétés pour cet ayant droit. Dans ce cas, le système annule les droits d'objet existants de l'ayant droit (Créer et Supprimer) et ajoute les nouveaux droits de propriété.

    5. eDirectory répète les opérations de filtrage et d'ajout (étapes Étape 2.c et Étape 2.d ci-dessus) à chaque niveau de l'arborescence, y compris au niveau de la ressource cible.

    6. eDirectory ajoute les droits non héritables assignés au niveau de la ressource cible, en remplaçant les assignations existantes, le cas échéant.

      eDirectory utilise le même processus qu'à l'Étape 2.d ci-dessus. Le groupe de droits qui en résulte constitue les droits effectifs de l'ayant droit.

  3. eDirectory associe les droits effectifs de tous les ayants droit de la liste comme suit :

    1. eDirectory inclut tous les droits détenus par les ayants droit de la liste et exclut uniquement les droits qui ne sont assignés à aucun d'eux. Il ne mélange pas les différents types de droit. Par exemple, ils n'ajoutent pas les droits d'une propriété spécifique à ceux de toutes les propriétés, ou vice‑versa.

    2. eDirectory ajoute les droits qui dépendent des droits effectifs actuels.

      L'ensemble de droits qui en résulte constitue les droits effectifs de l'utilisateur sur la ressource cible.

Exemple

L'utilisateur DJones tente d'accéder au volume Vol_Compta. Reportez-vous à la Figure 1-20.

Figure 1-20 Exemple de droits d'ayant droit

Le processus suivant montre la façon dont eDirectory détermine les droits effectifs de l'utilisateur DJones sur le volume Vol_Compta :

  1. Les ayants droit dont les droits doivent être pris en compte dans le calcul sont DJones, Marketing, Tree et [Public].

    Cela suppose que DJones ne fait partie d'aucun groupe ni rôle, et que des équivalences de sécurité ne lui ont pas été explicitement assignées.

  2. Vous trouverez ci‑dessous les droits effectifs de chacun des ayants droit :

    • DJones : objet Mettre à zéro, toutes les propriétés Mettre à zéro

      L'assignation des droits « zéro ttes propriétés » sur le volume Vol_Compta est prioritaire par rapport à l'assignation du droit Écrire sur toutes les propriétés au niveau de Comptabilité.

    • Marketing : toutes les propriétés Mettre à zéro

      L'assignation du droit Écrire sur toutes les propriétés à la racine de l'arborescence est rejetée par les IRF au niveau de Facturation.

    • Tree : aucun droit

      Aucun droit n'est assigné à l'objet Arborescence dans la branche appropriée de l'arborescence.

    • [Public] : objet Parcourir, toutes les propriétés Lire

      Ces droits sont assignés à la racine et ne sont pas filtrés ou annulés dans la branche appropriée de l'arborescence.

  3. En combinant les droits de tous ces ayants droit, nous obtenons :

    DJones : objet Parcourir, toutes les propriétés Lire

  4. Après ajout du droit de comparaison de toutes les propriétés, qui découle du droit Lire toutes les propriétés, nous obtenons pour DJones l'ensemble de droits effectifs suivant sur Vol_Compta :

    DJones : objet Parcourir, toutes les propriétés Lire et Comparer

Annulation de droits effectifs

Étant donné le mode de calcul des droits effectifs, vous pouvez éprouver des difficultés à éviter que les droits particuliers d'un utilisateur deviennent effectifs sans avoir recours à un IRF (en effet, un IRF bloque les droits de tous les utilisateurs).

Pour éviter que les droits particuliers d'un utilisateur deviennent effectifs sans avoir recours à un IRF, procédez de l'une des manières suivantes :

  • Assurez-vous que ni l'utilisateur ni aucun des objets pour lesquels l'utilisateur dispose d'une équivalence de sécurité n'obtiennent ces droits, que ce soit au niveau de la ressource cible ou à un niveau supérieur dans l'arborescence.

  • Si l'utilisateur ou tout objet pour lequel il bénéficie d'une équivalence de sécurité se voit malgré tout attribuer ces droits, veillez à ce que l'objet dispose également d'une assignation omettant ces droits à un niveau inférieur dans l'arborescence. Répétez l'opération pour chaque ayant droit (associé à l'utilisateur) disposant des droits non souhaités.

Équivalence de sécurité

L'équivalence de sécurité signifie qu'un objet dispose des mêmes droits qu'un autre objet. Lorsque vous attribuez à un objet une sécurité équivalente à celle d'un autre objet, les droits de ce deuxième objet sont ajoutés à ceux du premier lorsque le système calcule les droits effectifs de ce dernier.

Supposons, par exemple, que vous attribuiez à l'objet Utilisateur Joseph une équivalence de sécurité par rapport à l'objet Admin. Une fois l'équivalence de sécurité créée, Joseph dispose des mêmes droits qu'Admin sur l'arborescence et sur le système de fichiers.

Trois types d'équivalence de sécurité sont disponibles :

  • Explicite : par assignation

  • Automatique : par appartenance à un groupe ou un rôle

  • Implicite : équivalent à tous les conteneurs parents et à l'ayant droit [Public]

L'équivalence de sécurité est valable une fois seulement. Par exemple, si vous accordez à un troisième utilisateur une sécurité équivalente à celle de Joseph de l'exemple précédent, cet utilisateur ne reçoit pas les droits d'Admin.

L’équivalence de sécurité est enregistrée dans eDirectory sous la forme de valeurs de la propriété Sécurité égale à pour l’objet Utilisateur.

Lorsque vous ajoutez un objet Utilisateur en tant que titulaire à un objet Rôle organisationnel, cet objet bénéficie automatiquement d'une équivalence de sécurité par rapport à l'objet Rôle organisationnel. Il en est de même lorsqu'un utilisateur devient membre d'un objet Rôle de groupe.

Liste de contrôle d'accès (ACL - Access Control List)

La liste de contrôle d'accès (ACL) est également connue sous le nom de propriété Ayants droit de l'objet. Chaque fois que vous assignez un ayant droit, celui-ci est ajouté sous la forme d'une valeur à la propriété Ayants droit de l'objet (ACL) de la cible.

Cette propriété a d'importantes conséquences en matière de sécurité du réseau pour les raisons suivantes :

  • Toute personne disposant du droit Superviseur ou Écrire sur la propriété Ayants droit de l'objet (ACL) d'un objet peut déterminer l'ayant droit de cet objet.

  • Un utilisateur qui dispose du droit S'ajouter pour la propriété Ayants droit de l'objet (ACL) d'un objet peut changer ses propres droits se rapportant à cet objet. Par exemple, il peut s'accorder à lui-même le droit Superviseur.

C'est pourquoi vous devez être vigilant lorsque vous attribuez des droits S'ajouter à toutes les propriétés d'un objet Conteneur. Du fait de cette assignation, l'ayant droit peut devenir le superviseur de ce conteneur, de tous les objets qu'il contient et de tous les objets des conteneurs qui lui sont subordonnés.

Filtre des droits hérités (IRF - Inherited Rights Filter)

Le filtre des droits hérités (Inherited Rights Filter – IRF) permet de bloquer la transmission des droits vers le bas de l'arborescence eDirectory. Pour plus d'informations sur la configuration de ce filtre, reportez-vous à la section Blocage des droits hérités sur un objet ou une propriété eDirectory.

1.9.3 Droits par défaut pour un nouveau serveur

Lorsque vous installez un nouvel objet Serveur dans une arborescence, les assignations d'ayant droit suivantes sont effectuées :

Ayants droit par défaut

Droits par défaut

Admin (pour le premier serveur eDirectory dans l'arborescence)

Droit d'objet Superviseur sur l'objet Arborescence

L'administrateur dispose du droit d'objet Superviseur sur l'objet Serveur, ce qui signifie qu'il possède également ce droit sur le répertoire racine du système de fichiers des volumes installés sur le serveur.

[Public] (pour le premier serveur eDirectory dans l'arborescence)

Droit d'objet Parcourir sur l'objet Arborescence

Arborescence

Droit de propriété Lecture de l'arborescence sur les propriétés Nom du serveur hôte et Ressource hôte de tous les objets Volume.

Ainsi, tous les objets ont accès aux noms du volume et du serveur physiques.

Objets Conteneur

Droits Lire et Analyse de fichiers sur le dossier sys:\public. Les objets Utilisateur subordonnés à l'objet Conteneur peuvent ainsi accéder aux utilitaires du répertoire \public.

REMARQUE :ces droits ne s'appliquent qu'aux serveurs qui exécutent OES Linux.

Objets Utilisateur

Si des répertoires privés sont automatiquement créés pour les utilisateurs, ces derniers disposent du droit Superviseur sur ces répertoires.

1.9.4 Administration déléguée

eDirectory vous permet de déléguer l'administration d'une branche de l'arborescence, en révoquant vos propres droits de gestion sur cette branche. Des exigences de sécurité particulières nécessitant un administrateur différent disposant d'un contrôle total sur cette branche peuvent constituer l'un des motifs de cette délégation.

Pour déléguer l'administration :

  1. Accordez le droit d'objet Superviseur à un conteneur.

    1. Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

    2. Cliquez sur Droits > Modifier les ayants droit.

    3. Entrez le nom et le contexte de l'objet Conteneur dont vous souhaitez contrôler l'accès, puis cliquez sur OK.

    4. Cliquez sur Droits assignés.

    5. Cochez la case Superviseur pour les propriétés souhaitées.

    6. Cliquez sur Terminé, puis sur OK.

  2. Créez un IRF dans le conteneur qui filtre le droit Superviseur et les autres droits que vous voulez bloquer.

    1. Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

    2. Cliquez sur Droits > Modifier le filtre des droits hérités.

    3. Spécifiez le nom et le contexte de l'objet dont vous souhaitez modifier le filtre des droits hérités, puis cliquez sur OK.

    4. Modifiez la liste des filtres de droits hérités, le cas échéant.

      Pour éditer la liste de filtres, vous devez disposer du droit Superviseur ou Contrôle d'accès sur la propriété ACL de l'objet. Vous pouvez définir des filtres qui annulent les droits hérités sur l'objet dans son entier, sur toutes les propriétés de l'objet et sur des propriétés en particulier.

      REMARQUE :Ces filtres n'annulent pas les droits qui sont explicitement accordés à un ayant droit sur cet objet, car de tels droits ne sont pas hérités.

    5. Cliquez sur OK.

IMPORTANT :si vous déléguez l'administration à un objet Utilisateur et que vous supprimez cet objet par la suite, aucun objet disposant de droits ne gère cette branche.

Pour déléguer l'administration de propriétés eDirectory spécifiques, telles que la gestion des mots de passe, reportez-vous à la section Accord d'équivalence.

Pour déléguer l'utilisation de fonctions spécifiques dans les applications d'administration basée sur les rôles, reportez-vous à la Section 3.3, Configuration des services basés sur le rôle.

1.9.5 Gestion des droits

Assignation explicite de droits

Lorsque les assignations de droits par défaut de votre arborescence eDirectory offrent aux utilisateurs un accès trop important ou insuffisant aux ressources, vous pouvez créer ou modifier des assignations de droits explicites. Lorsque vous créez ou modifiez une assignation de droits, vous commencez par sélectionner la ressource dont vous voulez contrôler l'accès ou l'ayant droit (c'est-à-dire l'objet eDirectory qui possède, ou qui possédera, les droits).

INDICATION :Pour gérer les droits des utilisateurs de façon collective plutôt qu'individuelle, transformez en ayant droit un objet Groupe, Rôle ou Conteneur. Pour restreindre l'accès global à une ressource (pour tous les utilisateurs), reportez-vous à la section Blocage des droits hérités sur un objet ou une propriété eDirectory.

Contrôle de l'accès à NetIQ eDirectory par une ressource

  1. Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Droits > Modifier les ayants droit.

  3. Spécifiez le nom et le contexte de la ressource eDirectory (objet) dont vous souhaitez contrôler l'accès, puis cliquez sur OK.

    Sélectionnez un conteneur si vous souhaitez contrôler l'accès à tous les objets en aval de cette ressource.

  4. Éditez la liste des ayants droit ainsi que leurs assignations de droits à votre convenance.

    1. Pour modifier l'assignation des droits d'un ayant droit, sélectionnez l'ayant droit, cliquez sur Droits assignés, modifiez l'assignation des droits à votre convenance, puis cliquez sur Terminé.

    2. Pour ajouter un objet de type Ayant droit, cliquez sur Ajouter un ayant droit, sélectionnez l'objet, cliquez sur OK, sur Droits assignés pour assigner les droits d'ayant droit, puis sur Terminé.

      Lorsque vous créez ou modifiez une assignation de droits, vous pouvez accorder ou refuser l'accès à la totalité de l'objet, à toutes les propriétés de l'objet ou à des propriétés individuelles.

    3. Pour supprimer un objet en tant qu'ayant droit, sélectionnez l'ayant droit, puis cliquez sur Supprimer l'ayant droit.

      L'ayant droit supprimé n'a plus de droits explicites sur l'objet ou les propriétés de celui-ci, mais peut toujours disposer de droits effectifs via l'héritage ou l'équivalence de sécurité.

  5. Cliquez sur OK.

Contrôle de l'accès à NetIQ eDirectory par un ayant droit

  1. Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Droits > Droits sur d'autres objets.

  3. Entrez le nom et le contexte de l'ayant droit (c'est-à-dire l'objet qui possède, ou possèdera, les droits) dont vous voulez modifier les droits.

  4. Dans la zone Contexte à partir duquel effectuer la recherche, indiquez la partie de l'arborescence eDirectory où doivent être recherchés les objets eDirectory sur lesquels l'ayant droit a actuellement des assignations de droits.

  5. Cliquez sur OK.

    Un écran apparaît, affichant la progression de la recherche. Une fois la recherche terminée, la page Droits sur d'autres objets apparaît et affiche les résultats de la recherche.

  6. Éditez les assignations de droits eDirectory de l'ayant droit à votre convenance.

    1. Pour ajouter une assignation de droits, cliquez sur Ajouter un objet, sélectionnez l'objet dont l'accès doit être contrôlé, cliquez sur OK, puis sur Droits assignés, assignez les droits d'ayant droit et cliquez enfin sur Terminé.

    2. Pour modifier une assignation de droits, sélectionnez l'objet dont vous voulez contrôler l'accès, cliquez sur Droits assignés, modifiez l'assignation de droits de l'ayant droit, puis cliquez sur Terminé.

      Lorsque vous créez ou modifiez une assignation de droits, vous pouvez accorder ou refuser l'accès à la totalité de l'objet, à toutes les propriétés de l'objet ou à des propriétés individuelles.

    3. Pour supprimer une assignation de droits, sélectionnez l'objet dont vous voulez contrôler l'accès, puis cliquez sur Supprimer un objet.

      L'ayant droit n'a plus de droits explicites sur l'objet ou les propriétés de celui-ci, mais peut toujours disposer de droits effectifs via l'héritage ou l'équivalence de sécurité.

  7. Cliquez sur OK.

Accord d'équivalence

Un utilisateur qui bénéficie d'une sécurité équivalente à celle d'un autre objet eDirectory possède de fait tous les droits de cet objet. Un utilisateur dispose automatiquement du même niveau de sécurité que les groupes et rôles auxquels il appartient. Tous les utilisateurs bénéficient implicitement d'une équivalence de sécurité avec l'ayant droit [Public] ainsi qu'avec chaque conteneur au-dessus de leurs objets Utilisateur dans l'arborescence eDirectory, y compris l'objet Arborescence. Vous pouvez également accorder à un utilisateur une sécurité équivalente à celle d'un quelconque objet eDirectory.

REMARQUE :les tâches de cette section vous permettent de déléguer la responsabilité d'administration à l'aide de droits eDirectory. Si vous avez des applications d'administration qui utilisent les rôles RBS (Role-Based Services – Services basés sur le rôle), vous pouvez également déléguer la responsabilité d'administration en assignant à des utilisateurs une adhésion à ces rôles.

Accord d'équivalence sécurité par adhésion

  1. Si vous ne l'avez pas déjà fait, créez l'objet Groupe ou Rôle avec lequel vous souhaitez que les utilisateurs disposent d'une équivalence de sécurité.

    Reportez-vous à la Création d'un objet pour plus d'informations.

  2. Attribuez au groupe ou au rôle les droits eDirectory que vous voulez accorder aux utilisateurs.

    Reportez-vous à la Assignation explicite de droits pour plus d'informations.

  3. Éditez l'adhésion du groupe ou du rôle afin d'inclure ces utilisateurs qui ont besoin des droits du groupe ou du rôle.

    • Pour un objet Groupe, utilisez la fenêtre Modifier les membres du groupe.

      Dans NetIQ iManager, cliquez sur Rôles et tâches > Groupes > Modifier les membres du groupe, spécifiez le nom et le contexte d'un objet Groupe, puis cliquez sur OK. Sous l'onglet Général, spécifiez les membres à ajouter au groupe, puis cliquez sur OK.

    • Pour un objet Rôle, utilisez la fenêtre Modifier un objet.

      Dans NetIQ iManager, cliquez sur Rôles et tâches > Administration de l'annuaire > Modifier un objet, spécifiez le nom et le contexte d'un objet Rôle organisationnel, puis cliquez sur OK. Cliquez sur Autre, sélectionnez rbsMember, puis cliquez sur Éditer. Dans la fenêtre Éditer un attribut, spécifiez les membres à ajouter au rôle et cliquez sur OK.

  4. Cliquez sur OK.

Accord explicite de l'équivalence de sécurité

  1. Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Administration de l'annuaire > Modifier un objet.

  3. Accédez ou entrez le nom et le contexte de l'utilisateur ou de l'objet à partir duquel vous souhaitez accorder l'équivalence de sécurité à l'utilisateur, puis cliquez sur OK.

  4. Cliquez sur l'onglet Sécurité, puis accordez l'équivalence de sécurité comme suit :

    • Si vous avez choisi un utilisateur, cliquez sur Sécurité égale à, sélectionnez ou accédez au nom et au contexte de l'objet à partir duquel vous souhaitez accorder l'équivalence de sécurité, puis cliquez sur OK.

    • Si vous avez choisi un objet à partir duquel vous souhaitez accorder l'équivalence de sécurité à l'utilisateur, cliquez sur Sécurité égale à moi, sélectionnez ou accédez au nom et au contexte de l'utilisateur à partir duquel vous souhaitez accorder l'équivalence de sécurité à l'objet, puis cliquez sur OK.

    Le système synchronise le contenu de ces deux pages de propriétés.

  5. Cliquez sur OK.

Configuration d'un administrateur pour les propriétés eDirectory spécifiques d'un objet

  1. Si vous ne l'avez pas encore fait, créez l'objet Utilisateur, Groupe, Rôle ou Conteneur que vous voulez définir comme ayant droit des propriétés spécifiques d'un objet donné.

    Si vous créez un conteneur en tant qu'ayant droit, tous les objets à l'intérieur et en aval de ce conteneur disposeront des droits que vous accordez. Toutefois, la propriété doit être héritable pour que le conteneur et ses membres puissent bénéficier des droits en aval de celui-ci.

    Pour plus d'informations, reportez-vous à la section Création d'un objet.

  2. Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  3. Cliquez sur Droits > Modifier les ayants droit.

  4. Spécifiez le nom et le contexte du conteneur de niveau supérieur qui doit être géré par l'administrateur, puis cliquez sur OK.

  5. Sur la page Modifier les ayants droit, cliquez sur Ajouter un ayant droit, sélectionnez l'objet qui représente l'administrateur, puis cliquez sur OK.

  6. Cliquez sur Droits assignés pour l'ayant droit que vous venez d'ajouter, puis cliquez sur Ajouter une propriété.

  7. Sélectionnez les propriétés à ajouter à la liste des propriétés, puis cliquez sur OK.

  8. Pour chaque propriété que l'administrateur va gérer, assignez les droits requis.

    Veillez à cocher la case Héritable sur chaque assignation de droits.

  9. Cliquez sur Terminé, puis sur OK.

Blocage des droits hérités sur un objet ou une propriété eDirectory

Dans eDirectory, les assignations de droits relatives aux conteneurs peuvent être héritables ou non. Dans le système de fichiers, toutes les assignations de droits sur les dossiers sont héritables. Dans eDirectory, vous pouvez bloquer le processus d'héritage au niveau de certains éléments subordonnés, afin que les droits ne soient pas effectifs pour ces éléments, et ce quel que soit l'ayant droit.

  1. Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Droits > Modifier le filtre des droits hérités.

  3. Spécifiez le nom et le contexte de l'objet dont vous souhaitez modifier le filtre des droits hérités, puis cliquez sur OK.

    Cette opération affiche une liste de filtres de droits hérités qui ont déjà été définis sur l'objet.

  4. Dans la page Propriétés, apportez les modifications voulues à la liste des filtres de droits hérités.

    Pour éditer la liste de filtres, vous devez disposer du droit Superviseur ou Contrôle d'accès sur la propriété ACL de l'objet. Vous pouvez définir des filtres qui annulent les droits hérités sur l'objet dans son entier, sur toutes les propriétés de l'objet et sur des propriétés en particulier.

    REMARQUE :ces filtres ne bloquent pas les droits qui sont explicitement accordés à un ayant droit sur cet objet, car ces droits ne sont pas hérités.

  5. Cliquez sur OK.

Affichage des droits effectifs sur un objet ou une propriété eDirectory

Les droits effectifs sont les droits réels que les utilisateurs peuvent exercer sur des ressources réseau spécifiques. Ils sont déterminés par eDirectory en fonction des assignations de droits explicites, de l'héritage et des équivalences de sécurité. Vous pouvez interroger le système pour déterminer les droits effectifs d'un utilisateur sur une ressource.

  1. Dans NetIQ iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Droits > Afficher les droits effectifs.

  3. Entrez le nom et le contexte de l'ayant droit dont vous souhaitez afficher les droits effectifs et cliquez sur OK.

  4. Choisissez l'une des options suivantes :

    Option

    Description

    Nom de propriété

    Liste les propriétés sur lesquelles l'ayant droit dispose de droits effectifs. Les propriétés sont lues à partir d'eDirectory et sont dès lors toujours affichées en anglais. Les éléments de la liste sont de l'un des types suivants :

    [Tous les droits d'attribut] – Représente toutes les propriétés de l'objet.

    [Droits d'entrée] – Représente l'objet comme un tout. Les droits sur cet élément ne présupposent aucun droit de propriété, sauf dans le cas du Superviseur.

    Propriétés spécifiques – Il s'agit de propriétés spécifiques sur lesquelles l'ayant droit possède individuellement des droits. Par défaut, seules les propriétés de cette classe d'objet sont indiquées (voir ci-après).

    Droits effectifs

    Affiche les droits effectifs de l'ayant droit sur la propriété sélectionnée, tels qu'ils ont été déterminés par eDirectory.

    Afficher toutes les propriétés dans le schéma

    Laissez cette case désélectionnée pour n'afficher que les propriétés de cette classe d'objet.

    Cochez cette case pour afficher les propriétés de toutes les classes définies dans le schéma eDirectory. Les propriétés supplémentaires ne s'appliquent que si cet objet est un conteneur, ou s'il a été étendu afin d'inclure les propriétés d'une classe auxiliaire. Les propriétés supplémentaires sont affichées sans puce.

  5. Cliquez sur Terminer.