Utiliser les xACL pour sécuriser les mots de passe Internet

Une façon de sécuriser les mots de passe Internet consiste à utiliser des ACL étendues, ou xACL, pour contrôler l'accès en fonction des niveaux de la hiérarchie de dénomination, ainsi qu'au niveau du formulaire et des champs. Pour les mots de passe stockés dans l'annuaire Domino ® , les administrateurs peuvent configurer des xACL pour limiter l'accès aux mots de passe Internet aux utilisateurs eux-mêmes, pour accéder à leurs propres mots de passe, et aux administrateurs, pour autoriser les modifications administratives des mots de passe.

Procédure

  1. Tout d’abord, activez l’accès étendu pour l’annuaire Domino ® :
    1. Ouvrez la base de données et choisissez Fichier > Application > Contrôle d'accès .
    2. Assurez-vous que vous disposez d'un accès Manager à l'ACL de la base de données.
    3. Cliquez sur Avancé , puis sélectionnez Activer l’accès étendu .
    4. Cliquez sur Oui pour continuer lorsque vous y êtes invité : L’activation du contrôle d’accès étendu applique des contrôles de sécurité supplémentaires. Consultez l'aide de Domino Administrator pour plus de détails. Voulez-vous continuer?
    5. Si l'option ACL de base de données avancée Appliquer une liste de contrôle d'accès cohérente sur toutes les répliques n'est pas encore activée, un message vous demande si le contrôle d'accès cohérent doit d'abord être activé. Voulez-vous l'activer maintenant ? Cliquez sur Oui .
    6. Cliquez sur OK à l'invite. Si plusieurs administrateurs gèrent le contrôle d'accès étendu pour cette base de données, activez le verrouillage des documents sur la base de données pour éviter les conflits.
    7. Cliquez sur OK dans la boîte de dialogue Liste de contrôle d’accès.
    8. Lorsque le message Activation des restrictions de contrôle d'accès étendues. Cela peut prendre un certain temps. s'affiche, cliquez sur OK .
  2. Ensuite, configurez l’accès étendu pour sécuriser les mots de passe Internet :
    1. Ouvrez la base de données et choisissez Fichier > Application > Contrôle d'accès .
    2. Cliquez sur Accès étendu . La boîte de dialogue Accès étendu s’affiche.
    3. Dans le volet Cible, sélectionnez la root [ /] et cliquez sur Ajouter .
    4. Dans le volet Liste d’accès, sélectionnez Par défaut .
    5. Cliquez sur Accès aux formulaires et aux champs . La boîte de dialogue Formulaire et champ s’affiche.
    6. Dans la liste Formulaires , sélectionnez Personne . Laissez les paramètres d’accès aux formulaires vides.
    7. Dans la liste Champs , sélectionnez le formulaire HTTPPassword .
    8. Dans les paramètres d'accès du champ HTTPPassword , sélectionnez Refuser pour les paramètres de lecture et d'écriture.
    9. Dans le formulaire Personne , répétez ce processus dans les paramètres d'accès pour le champ dspHttpPassword (si cela apparaît).
    10. Cliquez sur OK .
    11. De retour dans la boîte de dialogue Accès étendu, cliquez sur le bouton Ajouter .
    12. Sélectionnez Soi .
    13. Dans le volet Liste d’accès, sélectionnez Soi .
    14. Cliquez sur Accès aux formulaires et aux champs . La boîte de dialogue Formulaire et champ s’affiche.
    15. Dans la liste Formulaires , sélectionnez Personne . Laissez les paramètres d’accès aux formulaires vides.
    16. Dans la liste Champs , sélectionnez le formulaire HTTPPassword .
    17. Dans les paramètres d'accès du champ HTTPPassword , sélectionnez Autoriser pour les paramètres de lecture et d'écriture et cliquez sur OK .
    18. Dans le formulaire Personne , répétez ce processus dans les paramètres d'accès pour le champ dspHttpPassword (s'il apparaît).
    19. Cliquez sur OK .
    20. De retour dans la boîte de dialogue Accès étendu, cliquez sur le bouton Ajouter .
    21. Sélectionnez le nom .
    22. Dans la boîte de dialogue Ajouter un utilisateur , sélectionnez le groupe d'administrateurs locaux, par exemple « LocalDomainAdmins » et cliquez sur OK .
    23. Dans le volet Liste d’accès , sélectionnez le groupe d’administrateurs locaux que vous venez d’ajouter.
    24. Cliquez sur Accès aux formulaires et aux champs . La boîte de dialogue Formulaire et champ s’affiche.
    25. Dans la liste Formulaires , sélectionnez Personne . Laissez les paramètres d’accès aux formulaires vides.
    26. Dans la liste Champs , sélectionnez Formulaire HTTPPassword .
    27. Dans les paramètres d'accès du champ HTTPPassword , sélectionnez Autoriser pour les paramètres de lecture et d'écriture et cliquez sur OK .
    28. Dans le formulaire Personne , répétez ce processus dans les paramètres d'accès pour le champ dspHttpPassword (s'il apparaît).
    29. Répétez les étapes 2t à 2ab pour le groupe de serveurs locaux, par exemple « LocalDomainServers », et tout groupe administratif ou compte personnel qui doit accéder au mot de passe Internet des utilisateurs.
      Tableau 1 . Entrées de la liste d'accès dans le formulaire Personne
      Entrée de la liste d'accès Paramètre d'accès en lecture Paramètre d'accès en écriture
      Soi Permettre Permettre
      [Groupe d'administrateurs locaux] Permettre Permettre
      [Groupe de serveurs locaux] Permettre Permettre
      Défaut Refuser Refuser
    Note:
    • Si l'accès anonyme a été précédemment défini dans la liste d'accès, il doit être configuré pour refuser l'accès en lecture et en écriture à HTTPPassword et dspHTTPPassword (s'il apparaît) champs dans le formulaire Personne.
    • Une fois les xACL activées pour un annuaire Domino ® , l'accès anonyme LDAP n'est pas contrôlé par la liste des champs du document Configuration de tous les serveurs. Étant donné que le paramètre xACL par défaut pour Anonymous est « Aucun accès », une fois les xACL activés, toutes les recherches LDAP anonymes échoueront.
    • Lorsque xACL est défini et que vous copiez un document personnel via « Copier dans le carnet d'adresses personnel » dans names.nsf, ces contacts ne se synchronisent PAS avec le fichier de messagerie et vous ne pouvez pas modifier le contact local résultant.