Protéger les fichiers sur un serveur contre l'accès du client Web

Les documents de protection des fichiers contrôlent l'accès aux fichiers hors base de données auxquels les utilisateurs peuvent accéder via les navigateurs Web. Comme les listes de contrôle d'accès (ACL) aux fichiers de base de données (.NSF), qui spécifient les noms des utilisateurs qui peuvent y accéder et le niveau d'accès dont ils disposent, vous pouvez appliquer la protection des fichiers pour les fichiers auxquels les utilisateurs du navigateur peuvent accéder -- par exemple, HTML, JPEG et GIF - également en spécifiant le niveau d'accès à ces types de fichiers et les noms des utilisateurs qui peuvent y accéder.

À propos de cette tâche

Un document Protection des fichiers est créé dans l'annuaire Domino ® lors du démarrage initial du serveur. Ce document fournit aux administrateurs un accès en écriture, en lecture et en exécution à l'annuaire Domino ® . Les autres utilisateurs se voient attribuer aucun accès. Le document Protection des fichiers est une fonctionnalité de sécurité qui protège les fichiers sur le disque dur d'un serveur en contrôlant l'accès des clients Web aux fichiers. Vous pouvez appliquer la sécurité du système de fichiers pour les fichiers auxquels les utilisateurs du navigateur peuvent accéder, y compris les niveaux d'accès et les noms des utilisateurs pouvant accéder aux fichiers.

Remarque : Bien que vous puissiez également appliquer la protection des fichiers aux scripts CGI, la protection des fichiers ne s'étend pas aux autres fichiers auxquels ces scripts accèdent. Par exemple, vous pouvez appliquer une protection de fichier à un script CGI qui restreint l'accès à un groupe nommé « Administrateurs Web ». Toutefois, si le script CGI s'exécute et ouvre d'autres fichiers, ou déclenche l'exécution d'autres scripts, le document Protection des fichiers ne peut pas contrôler si les « Administrateurs Web » ont accès à ces fichiers supplémentaires.

La protection des fichiers s'applique toutefois aux fichiers qui accèdent à d'autres fichiers, par exemple aux fichiers HTML qui ouvrent des fichiers image. Si un utilisateur a accès au fichier HTML mais n'a pas accès au fichier JPEG utilisé par le fichier HTML, Domino ® n'affiche pas le fichier JPEG lorsque l'utilisateur ouvre le fichier HTML.

Ne créez pas de documents de protection de fichiers qui restreignent l'accès aux répertoires suivants, qui contiennent les fichiers image par défaut et les applets Java utilisés par le serveur Web Domino ® et d'autres applications, telles que les bases de données de messagerie :

  • Domino\data\domino\java, accessible via un navigateur Web à l'aide du chemin

    http:// serveur /domjava

  • Domino\data\domino\icons, accessible via un navigateur Web à l'aide du chemin

    http:// serveur /icônes

Vous pouvez créer un document de protection des fichiers pour un répertoire ou pour un fichier individuel. La protection définie pour un répertoire est héritée par tous ses sous-répertoires. Vous devez configurer des documents de protection des fichiers pour tous les répertoires accessibles aux utilisateurs Web. Les fichiers et répertoires de fichiers qui ne contiennent pas de documents de protection des fichiers sont accessibles à toute personne utilisant un navigateur Web.

Remarque : Vous n'avez pas besoin d'utiliser un document de protection de fichier pour protéger un fichier de base de données (.NSF) ; à la place, vous utilisez une ACL de base de données.

Pour créer une protection de fichier pour un document de site Web

À propos de cette tâche

Vous créez un document de protection de fichiers pour un site Web spécifique. Ce document de protection des fichiers s'applique uniquement à ce site Web spécifique.

Les documents de protection des fichiers offrent une sécurité limitée. Utilisez les fonctionnalités de sécurité de Domino ® , telles que les ACL de base de données, pour protéger les informations sensibles.

Procédure

  1. From the Domino® Administrator, choose Configuration > Web > Internet Sites.
  2. Ouvrez le document du site Web pour lequel vous souhaitez créer une protection de fichier.
  3. Cliquez sur Site Web et choisissez Créer une protection de fichier .
  4. Cliquez sur Bases et complétez ces champs :
    Tableau 1 . Champs de l'onglet Notions de base

    Champ

    Action

    Description

    Saisissez un nom qui différencie ce document des autres que vous créez.

    Chemin de répertoire ou de fichier

    Spécifiez le répertoire ou le chemin du fichier auquel vous souhaitez restreindre l'accès. Il doit être soit au format de chemin complet, qui inclut la lettre de lecteur -- par exemple, c:\domino\data\domino\cgi-bin , soit entrer le chemin relatif au répertoire de données du serveur -- par exemple : domino\cgi-bin .

    Liste de contrôle d'accès actuelle ®

    Affiche les utilisateurs et les groupes qui peuvent accéder au fichier ou au répertoire que vous avez spécifié, ainsi que le type d'accès qui leur est autorisé. Semblable à une ACL de base de données, la liste de contrôle d'accès est toujours créée avec une entrée -Default-, définie sur Aucun accès, que vous pouvez modifier. Comme pour une ACL de base de données, ceux qui ne sont pas répertoriés dans la liste d'accès reçoivent le niveau d'accès par défaut.

    Définir/Modifier la liste de contrôle d'accès
    Pour ajouter des utilisateurs à la liste de contrôle d'accès, cliquez sur Définir/Modifier la liste de contrôle d'accès . Sélectionnez un nom d'utilisateur ou un groupe dans l'annuaire Domino ® ou saisissez un nom dans le champ Nom. Sélectionnez l'une des options suivantes :
    • Accès en lecture/exécution (méthode GET)
    • Accès en écriture/lecture/exécution (méthodes POST et GET
    • Pas d'accès
    Cliquez sur Ajouter pour ajouter l'entrée à la liste de contrôle d'accès.

    GET permet à l'utilisateur d'ouvrir des fichiers et de démarrer des programmes dans le répertoire. POST est généralement utilisé pour envoyer des données à un programme CGI ; par conséquent, accordez l'accès POST uniquement aux répertoires contenant des programmes CGI. Aucun accès refuse l'accès à l'utilisateur ou au groupe spécifié.

    Pour supprimer une entrée de la liste, sélectionnez-la et cliquez sur Effacer .

    Si les utilisateurs se connectent au serveur à l'aide d'un accès anonyme, saisissez Anonyme dans le champ Nom et attribuez l'accès approprié.

    Remarque : Si vous souhaitez saisir un nom d'utilisateur résidant dans un annuaire LDAP, vous devez remplacer les délimiteurs par virgules par des barres obliques. N'entrez pas le nom avec des virgules comme délimiteurs.

    Par exemple, un utilisateur LDAP avec le format de nom suivant : 

    cn=Anthony Jones,l=westford,o=renovations.com

    doit être entré dans la liste d'accès d'un document de protection des fichiers comme ceci :

    cn=Anthony Jones/l=westford/o=renovations.com
  5. Cliquez sur Administration et complétez les champs Propriétaires et Administrateurs . Par défaut, le nom d'administrateur avec lequel vous vous êtes connecté est le nom attribué aux deux champs.
  6. Enregistrez le document.
  7. Entrez cette commande pour actualiser les paramètres :

    dites à http d'actualiser

Exemple

La spécification de ces paramètres dans les champs du document Protection des fichiers permet à tous les utilisateurs du groupe d'utilisateurs Web d'ouvrir des fichiers et de démarrer des programmes dans le répertoire c:\notes\data\domino\html .

Chemin : c:\notes\data\domino\html

Accès : Groupe d'utilisateurs Web (GET)

Accès : - Par défaut - (Aucun accès)

Le fichier « secret.htm » réside dans le sous-répertoire notes\data\domino\html . Vous pouvez refuser l'accès à ce fichier aux membres du groupe d'utilisateurs Web et autoriser l'accès uniquement à l'utilisateur Joe Smith. Pour ce faire, créez un document de protection des fichiers supplémentaire avec les paramètres suivants :

Chemin : c:\notes\data\domino\html\secret.html

Accès : - Par défaut - (Aucun accès)

Accès : Joe Smith (GET)