Entrées admises dans la LCA

Reportez-vous à cette rubrique pour plus d'informations sur toutes les entrées incluses dans une liste de contrôle d'accès (LCA).

Les entrées admises dans la LCA sont les suivantes :

  • Entrées avec caractère générique
  • Noms d'utilisateur, de serveur et de groupe (y compris les noms de groupes et d'utilisateurs de clients Internet)
  • Utilisateurs LDAP
  • Anonymous (utilisée pour un accès anonyme des utilisateurs Internet et HCL Notes®
  • ID de réplique de base de données

Chaque entrée de la LCA est limitée à 255 caractères.

Pour plus de sécurité, ajoutez les noms à la LCA au format hiérarchique. Par exemple :

Sandra E Cordier/Ouest/Audimatique/FR
Robert Boulier/Ventes/UsineCie

Entrées avec caractère générique

Pour généraliser l'accès à une base de données, vous pouvez entrer des noms hiérarchiques avec un caractère générique (*) dans la LCA. Utilisez des caractères génériques dans les composants Nom usuel et Subordonné.

Les utilisateurs et les serveurs dont le nom de groupe ou d'utilisateur ne fait pas encore l'objet d'une entrée spécifique dans la LCA et dont les noms hiérarchiques incluent des composants contenant un caractère générique se voient attribuer le plus haut niveau d'accès spécifié pour toutes les entrées correspondantes contenant un caractère générique.

Voici une entrée LCA au format générique :

*/Illustration/Production/Renovations/US

Cette entrée attribue le niveau d'accès choisi à :

Mary Tsen/Illustration/Production/Renovations/US
Michael Bowling/Illustration/Production/Renovations/US

Cette entrée n'attribue pas le niveau d'accès choisi à :

Sandy Braun/Documentation/Production/Renovations/US
Alan Nelson/Renovations/US

Vous ne pouvez utiliser de caractère générique que dans la partie située à l'extrême gauche de l'entrée de la LCA. Par exemple, vous ne pouvez pas utiliser l'entrée suivante :

*/Illustration/*/Renovations/US 

pour représenter :

Michael Bowling/Illustration/West/Renovations/US
Karen Richards/Illustration/East/Renovations/US

Lorsque vous utilisez une entrée de LCA avec un caractère générique, définissez le type d'utilisateur comme Non spécifié, Groupe mixte ou Groupe de personnes.

noms d'utilisateur

Vous pouvez ajouter à la LCA le nom des personnes possédant un ID utilisateur Notes® certifié ou celui des internautes qui s'authentifient par nom et mot de passe ou via le protocole client SSL.

  • Pour les utilisateurs Notes®, indiquez le nom hiérarchique complet de chaque utilisateur (par exemple, Jean Dupont/Ventes/Renovations), sans tenir compte de son appartenance ou non à la même organisation hiérarchique que le serveur sur lequel est enregistrée la base de données.
  • Pour les utilisateurs Internet, entrez le nom correspondant à la première entrée dans le champ Nom d'utilisateur du document Personne.
    Remarque : Vous pouvez entrer de nombreux alias dans le champ du nom de l'utilisateur et les utiliser pour l'authentification. Cependant, la vérification des autorisations de sécurité s'effectue par rapport au premier nom de la liste. Il faut donc utiliser ce nom dans toutes les LCA de base HCL Domino®, dans les paramètres de sécurité du document Serveur et dans les fichiers .ACL.

noms de serveur

Vous pouvez ajouter des noms de serveurs dans une LCA pour gérer les modifications qu'une base de données hérite de sa réplique. Pour plus de sécurité, utilisez le nom hiérarchique complet du serveur (par exemple, Serveur1/Ventes/Renovations), sans tenir compte de l'appartenance ou non du nom du serveur que vous ajoutez à la même organisation hiérarchique que le serveur sur lequel est enregistrée la base de données.

noms de groupes

Vous pouvez ajouter à la LCA un groupe (par exemple, Formation) représentant plusieurs utilisateurs ou serveurs exigeant le même niveau d'accès. Les utilisateurs doivent être répertoriés dans des groupes sous un nom hiérarchique principal. Les groupes peuvent également avoir des entrées avec caractère générique, comme leurs membres. Avant de pouvoir utiliser un nom de groupe dans une LCA, vous devez créer ce groupe dans l'annuaire HCL Domino® ou dans un annuaire Domino® secondaire ou un annuaire LDAP externe configuré pour l'autorisation des groupes dans la base d'assistance d'annuaire.

Remarque : Assurez-vous que tous les noms de groupes utilisés dans la LCA sont conformes aux instructions fournies quant à leur création. L'utilisation de noms incorrects risque d'entraîner des problèmes d'accès.
Conseil : Utilisez de préférence des noms individuels pour les gestionnaires d'une base. Ainsi, si les utilisateurs choisissent successivement Création > Autres > Spécial/Mémo au gestionnaire de la base, ils connaissent le destinataire.

La définition de groupe est pratique pour administrer une LCA. L'utilisation d'un groupe dans la LCA offre les avantages suivants :

  • Au lieu d'ajouter une longue liste de noms individuels à une LCA, vous pouvez ajouter un nom de groupe. Si un groupe apparaît dans plusieurs LCA, modifiez le document de groupe dans l'annuaire Domino® ou dans l'annuaire LDAP au lieu d'ajouter ou de supprimer individuellement un grand nombre d'utilisateurs dans les différentes bases.
  • Si vous devez modifier le niveau d'accès de plusieurs utilisateurs ou serveurs, vous n'avez à le faire qu'une seule fois pour tout le groupe.
  • Utilisez les noms de groupe pour refléter les responsabilités des membres du groupe ou de l'organisation d'un service ou d'une société.
Conseil : Vous pouvez également utiliser les groupes pour autoriser certains utilisateurs à gérer l'accès à la base sans leur attribuer un accès Gestionnaire ou Concepteur. A titre d'exemple, vous pouvez créer des groupes dans l'annuaire Domino® pour chaque niveau d'accès requis, ajouter les groupes à la LCA, et autoriser certains utilisateurs à détenir les groupes. Ces utilisateurs peuvent ensuite modifier les groupes, mais pas la conception de la base.

Groupe d'annulation

Lorsque des employés quittent la société, vous devez supprimer leurs noms de tous les groupes de l'annuaire Domino® et les ajouter au groupe "Liste des intrus uniquement" pour leur refuser l'accès aux serveurs. La liste des intrus du document Serveur contient les noms des utilisateurs et des groupes Notes® qui n'ont plus accès aux serveurs Domino®. Veillez également à ce que les noms des employés ayant quitté leurs fonctions soient bien éliminés des LCA de toutes les bases de données de votre organisation. Lorsque vous supprimez une personne d'un annuaire Domino®, vous disposez de l'option Ajouter l'utilisateur supprimé au groupe Intrus, si ce groupe a été créé. (Dans le cas contraire, la boîte de dialogue affiche Aucun groupe d'accès intrus sélectionné ou disponible.)

Utilisateurs LDAP

Vous pouvez utiliser un annuaire LDAP secondaire pour authentifier les utilisateurs Internet. Vous pouvez ensuite ajouter le nom de ces internautes aux LCA de la base pour contrôler leur accès aux bases de données.

Vous pouvez également créer des groupes dans l'annuaire LDAP secondaire comprenant les noms des internautes, puis ajouter les groupes en tant qu'entrées dans les LCA de la base Notes®. A titre d'exemple, un internaute peut tenter d'accéder à une base de données sur un serveur Web Domino®. Si le serveur Web authentifie l'utilisateur et si la LCA contient un groupe nommé "Web", le serveur peut rechercher le nom de l'utilisateur Internet du groupe "Web" situé dans l'annuaire LDAP externe tout en recherchant l'entrée dans l'annuaire Domino® principal. Notez que, pour que ce scénario fonctionne, la base Assistance d'annuaire située sur le serveur Web doit comprendre un document Assistance d'annuaire LDAP pour l'annuaire LDAP dont l'option Extension de groupe a été activée. Vous pouvez également utiliser cette fonction pour rechercher les noms des utilisateurs Notes® enregistrés dans des groupes d'annuaires LDAP externes afin de contrôler la LCA de la base.

Lorsque vous ajoutez le nom d'un utilisateur ou d'un groupe d'un annuaire LDAP à la LCA d'une base de données, adoptez le format LDAP pour le nom, mais préférez la barre oblique (/) à la virgule (,) comme séparateur. Par exemple, pour le nom d'un utilisateur dans l'annuaire LDAP :

uid=Sandra Smith,o=Renovations,c=US

entrez dans la LCA de la base :

uid=Sandra Smith/o=Renovations/c=US

Pour entrer dans une LCA le nom non hiérarchique d'un groupe d'annuaire LDAP, n'entrez que la valeur de l'attribut et non son nom. Par exemple, si le nom non hiérarchique du groupe LDAP est :

cn=managers

dans la LCA, entrez seulement :

managers

Pour entrer le nom hiérarchique d'un groupe, incluez les noms d'attribut LDAP dans les entrées de la LCA. Par exemple, si le nom hiérarchique du groupe est :

cn=managers,o=acme

dans la LCA, entrez :

cn=managers/o=acme

Notez que si les noms d'attribut que vous spécifiez correspondent exactement à ceux qui sont utilisés dans Notes® (cn, ou, o, c), ils ne sont pas affichés dans la LCA.

Par exemple, si vous entrez dans une LCA :

cn=Sandra Smith/ou=West/o=Renovations/c=US

comme les attributs correspondent exactement à ceux utilisés dans Notes®, le nom figure dans la LCA sous la forme :

Sandra Smith/West/Renovations/US

Entrées de LCA admises pour les utilisateurs LDAP

Tableau 1. Entrées de LCA admises pour les utilisateurs LDAP

Nom distinctif LDAP

Entrée de LCA

cn=Scott Davidson+ id=1234, ou=Sales,o=Renovations
cn=Scott Davidson+id=1234/ou=Sales/o=Renovations
cn=Scott Davidson,o=Renovations\, Inc
cn=Scott Davidson/o=Renovations, Inc
Remarque : Si le nom LDAP comporte une barre oblique suivie d'un autre caractère, n'insérez pas la barre oblique quand vous spécifiez le nom dans la LCA de la base.
uid=smd12345,dc=Renovations,dc=Com
uid=smd12345/dc=Renovations/dc=Com
uid=Sandra Smith,o=Renovations,c=US
uid=Sandra Smith/o=Renovations/c=US

Anonyme

Un utilisateur ou un serveur qui accède à un serveur sans s'être d'abord authentifié est identifié par le serveur comme anonyme ("Anonymous"). L'accès anonyme à la base de données est attribué aux utilisateurs Internet et Notes® qui n'ont pas été authentifiés par le serveur.

En règle générale, l'accès Anonymous est utilisé dans les bases qui résident sur les serveurs disponibles au grand public. Vous pouvez contrôler le niveau d'accès accordé à un utilisateur ou un serveur anonyme en entrant le nom "Anonyme" dans la liste de contrôle d'accès et en attribuant un niveau d'accès adéquat. En règle générale, le niveau d'accès attribué aux utilisateurs anonymes est Lecteur.

L'entrée par défaut Anonymous de la LCA de tous les fichiers des modèles de base (.NTF) est définie sur le niveau d'accès Lecteur, ce qui permet aux utilisateurs et aux serveurs de lire les modèles lorsqu'ils créent ou actualisent les fichiers .NSF en fonction de ce modèle.

L'entrée par défaut Anonymous de la LCA pour les fichiers des bases de données (.NSF) est définie sur Pas d'accès.

Tableau 2. Conditions d'accès anonyme à une base de données

Accès anonyme activé pour le protocole Internet

Accès anonyme non activé pour le protocole Internet

Accès anonyme activé dans la LCA de la base

Les utilisateurs accèdent à la base en bénéficiant du niveau d'accès de l'entrée Anonyme. Ainsi, si Anonymous est défini avec le niveau d'accès Lecteur, les utilisateurs anonymes qui accèdent à la base disposent de l'accès Lecteur.

Les utilisateurs sont invités à s'authentifier quand ils tentent d'accéder à une ressource sur le serveur. Si l'utilisateur n'est pas répertorié dans la base (par le biais d'une entrée de groupe, d'une entrée avec un caractère générique ou d'un nom d'utilisateur explicitement répertorié), il peut accéder à la base en bénéficiant du niveau d'accès de l'entrée Par défaut.

Niveau "Pas d'accès" défini pour l'entrée Anonymous de la LCA de la base de données

Si l'entrée Anonymous a été définie sur "Pas d'accès" et que les privilèges "Ecrire des documents publics" et "Lire des documents publics" sont désactivés, les utilisateurs anonymes ne sont pas autorisés à accéder à la base et sont invités à s'authentifier. Lorsqu'ils s'authentifient, leur nom est contrôlé dans la LCA de la base pour déterminer le niveau d'accès à la base qui doit être accordé.

Anonyme non répertorié dans la LCA de la base de données

Les utilisateurs anonymes accèdent à la base de données en bénéficiant du niveau d'accès de l'entrée Par défaut. Ainsi, si -Default- est défini avec le niveau d'accès Lecteur et qu'il n'y a pas d'entrée Anonymous dans la LCA, les utilisateurs anonymes qui accèdent à la base disposent d'un accès Lecteur.

Les utilisateurs anonymes (ceux qui accèdent à la base via l'entrée Anonymous et ceux dont l'accès se fait par le biais de l'entrée -Default-) qui tentent d'effectuer dans la base une opération non autorisée par leur niveau d'accès sont invités à s'authentifier. A titre d'exemple, si Anonyme est défini avec le niveau d'accès Lecteur, et qu'un utilisateur anonyme essaie de créer un nouveau document, il lui est demandé de s'authentifier par un nom et un mot de passe.

Conseil : Si vous voulez que tous les utilisateurs s'authentifient lorsqu'ils accèdent à une base, définissez l'entrée Anonymous dans la LCA de la base sur Pas d'accès et veillez à ce que les privilèges Ecrire des documents publics et Lire des documents publics soient désactivés. Ajoutez le nom de l'utilisateur Internet à la LCA avec le niveau d'accès que vous voulez.

Le serveur Domino® utilise le nom de groupe Anonyme aux seules fins de vérification des contrôles d'accès. A titre d'exemple, si Anonymous est défini avec le niveau d'accès Auteur dans la LCA de la base, le nom véritable de l'utilisateur s'affiche dans le champ Auteurs de ces documents. L'affichage du nom véritable par le serveur Domino® n'est possible que pour les utilisateurs anonymes de Notes® et ne s'étend pas aux utilisateurs Internet anonymes. Les champs Auteurs ne représentent pas une option de sécurité, indépendamment de l'utilisation de l'accès anonyme. Si la validité du nom de l'auteur est requise pour des besoins de sécurité, le document doit être signé.

ID de réplique

Pour permettre à un agent d'une base de données d'utiliser @DbColumn ou @DbLookup pour extraire des données d'une autre base, entrez l'ID de réplique de la base comportant l'agent dans la LCA de la base contenant les données à extraire. La base comportant l'agent doit disposer au moins d'un accès Lecteur à la base contenant les données à extraire. Les deux bases de données doivent être sur le même serveur. 85255B42:005A8fA4 est un exemple d'ID de réplique dans la LCA d'une base. Vous pouvez entrer l'ID de réplique en majuscules ou en minuscules, mais pas entre guillemets.

Si vous n'ajoutez pas l'ID de réplique à la liste de contrôle d'accès, la seconde base pourra cependant consulter les données, si le niveau d'accès Par défaut de votre base correspond au moins à Lecteur.

Ordre d'évaluation des entrées de la LCA

Les entrées de la LCA sont évaluées dans un ordre spécifique afin de déterminer le niveau d'accès qui sera attribué à un utilisateur authentifié essayant d'accéder à la base de données. Si un utilisateur n'arrive pas à s'authentifier sur un serveur alors que l'accès y est autorisé, l'accès s'effectue comme si le nom de l'utilisateur était "Anonymous.

  • La LCA contrôle d'abord le nom d'utilisateur pour voir s'il correspond à une entrée explicite. La LCA vérifie tous les noms d'utilisateur correspondants. A titre d'exemple, Sandra E Cordier/Ouest/Audimatique/FR correspondrait aux entrées Sandra E Cordier/Ouest/Audimatique/FR et Sandra E Cordier. Si deux entrées distinctes correspondant à une même personne sont définies avec plusieurs niveaux d'accès (par exemple, appliqués à un moment ou à un autre par différents administrateurs), l'utilisateur qui essaie d'accéder à la base bénéficie du plus haut niveau d'accès ainsi que de l'ensemble des privilèges des deux entrées.
    Remarque : Si vous entrez uniquement le nom usuel dans la LCA (par exemple, Sandra E Cordier), cette entrée n'a une correspondance que si le nom d'utilisateur et le serveur de la base se trouvent dans la même hiérarchie de domaine. Par exemple, si l'utilisateur est Sandra E Cordier, dont le nom hiérarchique est Sandra E Cordier/Ouest/Audimatique, et que le serveur de la base est Fabrication/UsineCie, l'entrée Sandra E Cordier ne dispose pas du niveau d'accès approprié pour les LCA du serveur Fabrication/UsineCie. Vous devez entrer le nom au format hiérarchique complet pour que l'utilisateur dispose du niveau d'accès adéquat pour les LCA des serveurs d'autres domaines.
  • Si la LCA ne trouve pas de correspondance au nom d'utilisateur, elle vérifie qu'il en existe une pour une entrée de nom de groupe. Dans le cas où une personne essayant d'accéder à la base correspond à plusieurs entrées de groupe (si, par exemple, elle est membre de Ventes et qu'il existe deux entrées de groupe correspondantes, Ventes Audimatique et Responsables ventes), elle bénéficie du plus haut niveau d'accès ainsi que de l'ensemble des privilèges accordés aux deux entrées.
    Remarque : Si l'utilisateur correspond à une entrée explicite de la LCA et qu'il est membre d'un groupe figurant également dans la LCA, cet utilisateur dispose systématiquement du niveau d'accès attribué à l'entrée explicite, même si le niveau d'accès du groupe est plus élevé.
  • Si la LCA ne trouve aucune correspondance avec le nom de groupe, elle essaie de voir s'il est possible d'en établir une avec une entrée comportant un caractère générique. Si la personne essayant d'accéder à la base correspond à plusieurs entrées avec un caractère générique, elle bénéficie du plus haut niveau d'accès ainsi que de l'ensemble des privilèges accordés aux entrées correspondantes comportant un caractère générique.
  • Si une entrée de groupe et une entrée contenant un caractère générique s'appliquent à un utilisateur tentant d'accéder à la base, l'utilisateur se voit octroyer l'accès attribué à l'entrée de groupe. Par exemple, si le groupe Ventes dispose d'un accès Lecteur et que l'entrée à caractère générique */Ouest/Renovations bénéficie d'un accès Gestionnaire alors que les deux entrées s'appliquent à l'utilisateur, ce dernier dispose alors d'un accès Lecteur à la base de données.
  • Enfin, s'il est impossible d'établir une correspondance avec les entrées de la LCA de la base, la personne bénéficie du niveau d'accès défini pour l'entrée -Default-.