LCA étendue - Exemple 2
La société Renovations utilise un domaine Domino®. La hiérarchie de noms d'annuaires au sein de l'annuaire Domino® est composée de l'organisation O=Renovations, qui contient deux unités organisationnelles subordonnées, OU=Ouest et OU=Est.
Pourquoi et quand exécuter cette tâche
L'annuaire Domino® Renovations inclut trois groupes d'administrateurs :
- Le groupe Admins/Renovations, responsable de la gestion des documents de l'ensemble de l'annuaire.
- Le groupe Admins/Ouest/Renovations, responsable de la gestion des documents catégorisés sous OU=Ouest et dont le nom se termine par Ouest/Renovations.
- Le groupe Admins/Est/Renovations responsable de la gestion des documents catégorisés sous OU=Est et dont le nom se termine par Est/Renovations.
Pour établir la sécurité, Renovations doit :
- Permettre aux membres du groupe Admins/Renovations de :
- disposer d'un accès complet à tous les documents de l'annuaire ;
- gérer l'accès à toute cible de la LCA étendue.
- Permettre aux membres du groupe Admins/Ouest/Renovations de :
- lire tous les champs de tous les documents de l'annuaire ;
- créer, modifier et supprimer uniquement les documents catégorisés sous OU=Ouest ;
- gérer les LCA étendues de la cible OU=Ouest.
- Permettre aux membres du groupe Admins/Est/Renovations de :
- lire tous les champs de tous les documents de l'annuaire ;
- créer, modifier et supprimer uniquement les documents catégorisés sous OU=Est ;
- gérer les LCA étendues pour la cible OU=Est.
- Permettre aux utilisateurs authentifiés n'appartenant à aucun groupe d'administration de parcourir et de lire uniquement les documents Personne, Groupe et Ressource dans l'ensemble de la base mais aucun autre document, et leur interdire de créer, supprimer et modifier tout document.
- Interdire aux utilisateurs anonymes d'accéder à l'annuaire.
Les tableaux ci-dessous décrivent comment Renovations configure la LCA de la base de l'annuaire Domino® et la LCA étendue pour atteindre ses objectifs de sécurité.
| Objet | Accès | Description |
|---|---|---|
| -Par défaut- | Lecteur | Nécessaire pour permettre aux non administrateurs de parcourir et de lire les documents Personne, Groupe et Ressource |
| Groupe Admins/Renovations |
|
Permet aux membres du groupe Admins/Renovations de gérer tous les documents et l'ensemble de la LCA étendue ; aucun paramètre de LCA étendue n'est requis. |
| Groupe Admins/Ouest/Renovations |
|
Nécessaire pour autoriser les membres du groupe Admins/Ouest/Renovations � créer, modifier, supprimer et gérer la LCA étendue pour les documents Ouest/Renovations. |
| Groupe Admins/Est/Renovations |
|
Nécessaire pour permettre aux membres du groupe Admins/Est/Renovations de créer, modifier, supprimer et gérer la LCA étendue des documents Est/Renovations. |
| Anonyme | Non accessible | Interdit aux utilisateurs anonymes d'accéder aux informations de l'annuaire. Aucun paramètre de LCA étendue nécessaire |
| Objet | Accès | Ce conteneur et tous les dossiers descendants ? | Description |
|---|---|---|---|
| -Par défaut- | Valeur par défaut
|
Oui | Autorise les non administrateurs à lire uniquement les documents Personne, Groupe et Ressource |
| Groupe Admins/Ouest/Renovations | Valeur par défaut
|
Oui | Empêche les membres du groupe Admins/Ouest/Renovations de modifier des documents sur les cibles / (root) et O=Renovations |
| Groupe Admins/Est/Renovations | Valeur par défaut
|
Oui | Empêche les membres du groupe Admins/Est/Renovations de modifier des documents sur les cibles / (root) et O=Renovations |
| Objet | Accès | Ce conteneur et tous les dossiers descendants ? | Description |
|---|---|---|---|
| Groupe Admins/Ouest/Renovations | Valeur par défaut
|
Oui | Permet aux membres du groupe Admins/Ouest/Renovations de disposer d'un accès complet aux documents catégorisés sous OU=Ouest |
| Objet | Accès | Ce conteneur et tous les dossiers descendants ? | Description |
|---|---|---|---|
| Groupe Admins/Est/Renovations | Valeur par défaut
|
Oui | Permet aux membres du groupe Admins/Est/Renovations de disposer d'un accès complet aux documents catégorisés sous O OU=Est |