Protection des fichiers d'un serveur contre l'accès d'un client Web

Les documents de protection de fichier contrôlent l'accès aux fichiers hors base auxquels les utilisateurs accèdent via leur navigateur Web. Comme pour les listes de contrôle d'accès (LCA) des fichiers de base (.NSF) qui indiquent les noms des utilisateurs pouvant accéder aux fichiers et le niveau d'accès dont disposent ces utilisateurs, vous pouvez appliquer une protection aux fichiers auxquels les utilisateurs accèdent via leur navigateur (par exemple, fichiers HTML, JPEG et GIF) en indiquant également le niveau d'accès à ces types de fichiers et les noms des utilisateurs qui y ont accès.

Pourquoi et quand exécuter cette tâche

Un document Protection de fichier est créé dans l'annuaire Domino® lors du démarrage initial du serveur. Ce document fournit aux administrateurs l'accès en écriture, en lecture et en exécution à l'annuaire Domino®. Les autres utilisateurs ne disposent d'aucun droit d'accès. Le document Protection de fichier est une fonction de sécurité qui protège les fichiers se trouvant sur le disque dur d'un serveur en contrôlant l'accès des clients Web aux fichiers. Vous pouvez mettre en place une sécurité au niveau du système de fichiers pour les fichiers accessibles aux utilisateurs Web, en spécifiant notamment des niveaux d'accès et les noms des utilisateurs susceptibles d'accéder aux fichiers.

Remarque : Vous pouvez également appliquer une protection de fichier aux scripts CGI mais celle-ci ne s'applique pas aux autres fichiers ouverts via ces scripts. Par exemple, vous pouvez appliquer la protection de fichier à un script CGI qui restreint l'accès à un groupe "Admins Web". Cependant, si le script CGI exécute et ouvre d'autres fichiers, ou déclenche l'exécution d'autres scripts, le document de protection de fichier ne contrôle pas l'accès des "Admins Web" à ces fichiers.

En revanche, la protection du système de fichiers s'applique aux fichiers qui utilisent d'autres fichiers, par exemple, les fichiers HTML qui ouvrent des fichiers graphiques. Si un utilisateur a accès au fichier HTML, mais pas au fichier JPEG utilisé par le fichier HTML, Domino® n'affiche pas le fichier JPEG lorsque l'utilisateur ouvre le fichier HTML.

Ne créez pas de documents de protection de fichier restreignant l'accès aux répertoires suivants. Ces derniers contiennent des fichiers graphiques par défaut et des applets Java utilisés par le serveur Web Domino® et d'autres applications, telles que les bases courrier :

  • Domino\data\domino\java, ouvert via le navigateur Web à l'aide du chemin

    http://server/domjava

  • Domino\data\domino\icons, ouvert via le navigateur Web à l'aide du chemin

    http://server/icons

Vous pouvez créer un document de protection de fichier pour n'importe quel répertoire ou fichier. La protection définie pour un répertoire s'applique à tous ses sous-répertoires. Nous vous recommandons de définir des documents de protection de fichier pour tous les répertoires accessibles aux utilisateurs Web. Les fichiers et répertoires de fichiers pour lesquels aucun document de protection de fichier n'a été défini sont accessibles par toute personne disposant d'un navigateur Web.

Remarque : Vous n'avez pas besoin d'utiliser un document de protection de fichier pour protéger un fichier de base de données (.NSF). Dans ce cas, vous devez utiliser une LCA.

Pour créer une protection de fichier pour un document Site Web

Pourquoi et quand exécuter cette tâche

Dans Domino 7, les documents de protection de fichier sont créés pour un site Web spécifique. Ce document de protection de fichier ne s'applique qu'à ce site Web spécifique.

Les documents Protection de fichier fournissent un niveau de sécurité limité. Pour protéger les informations privées, utilisez les fonctions de sécurité de Domino®, telles que les LCA de base de données.

Procédure

  1. A partir de l'administrateur Domino®, sélectionnez Configuration > Web > Sites Internet.
  2. Ouvrez le document Site Web pour lequel vous voulez créer une protection de fichier.
  3. Cliquez sur Site Web, puis choisissez Créer protection de fichier.
  4. Cliquez sur Général et renseignez ces champs :
    Tableau 1. Champs de l'onglet Général

    Champ

    Action

    Description

    Entrez un nom qui différencie ce document des autres documents que vous créez.

    Chemin d'accès au répertoire ou au fichier

    Spécifiez le chemin de fichier ou de répertoire dont vous souhaitez restreindre l'accès. Vous pouvez utiliser le format de chemin qualifié complet qui inclut la lettre de lecteur, par exemple c:\domino\data\domino\cgi-bin, ou le chemin relatif au répertoire de travail du serveur (par exemple domino\cgi-bin).

    Liste de contrôle d'Current®accès

    Utilisateurs et groupes autorisés à accéder au fichier ou répertoire que vous spécifiez et niveau d'accès correspondant. Comme les LCA de base de données, les listes de contrôle d'accès sont toujours créées avec l'entrée par défaut Pas d'accès. Vous pouvez la modifier. Comme dans le cas d'une LCA, les utilisateurs ne figurant pas dans la liste d'accès héritent du niveau d'accès par défaut.

    Définir/modifier la liste de contrôle d'accès
    Pour ajouter des utilisateurs à la liste de contrôle d'accès, cliquez sur Définir/modifier la liste de contrôle d'accès. Sélectionnez un nom d'utilisateur ou un groupe d'utilisateurs dans l'annuaire Domino® ou entrez un nom dans le champ Nom. Sélectionnez l'une des options suivantes :
    • Accès lecture/exécution (méthode GET)
    • Accès en écriture/lecture/exécution (méthodes POST et GET)
    • Non accessible
    Cliquez sur Ajouter pour ajouter l'entrée à la liste de contrôle d'accès.

    La méthode GET permet d'ouvrir les fichiers et de démarrer les programmes du répertoire. La méthode POST est généralement utilisée pour envoyer des données à un programme CGI ; par conséquent, l'accès POST ne doit être attribué qu'aux répertoires contenant des programmes CGI. Pas d'accès refuse l'accès aux utilisateurs ou aux groupes spécifiés.

    Pour retirer un nom de la liste, sélectionnez-le, puis cliquez sur Effacer.

    Si l'utilisateur peut se connecter au serveur anonymement, saisissez Anonyme dans le champ Nom, puis attribuez-lui l'accès approprié.

    Remarque : Si vous souhaitez entrer un nom d'utilisateur issu de l'annuaire LDAP, vous devez remplacer les virgules de séparation par des barres obliques. N'entrez pas le nom en utilisant des virgules comme séparateurs.

    Par exemple, un utilisateur LDAP disposant du format de nom suivant : 

    cn=Anthony Jones,l=westford,o=renovations.com

    doit être saisi dans la liste d'accès d'un document de protection de fichier comme suit :

    cn=Anthony Jones/l=westford/o=renovations.com
  5. Cliquez sur Administration et renseignez les champs Propriétaires et Administrateurs. Par défaut, le nom d'administrateur sous lequel vous vous êtes connecté est entré dans les deux champs.
  6. Enregistrez le document.
  7. Pour actualiser les paramètres, entrez la commande suivante :

    Tell HTTP Refresh

Exemple

La définition des paramètres suivants dans les champs du document de protection de fichier permet aux utilisateurs du groupe Utilisateurs Web d'ouvrir des fichiers et de démarrer des programmes du répertoire c:\notes\data\domino\html.

Chemin : c:\notes\data\domino\html

Accès : Groupe Utilisateurs Web (GET)

Accès : : par défaut - (Pas d'accès)

Le fichier "secret.htm" réside dans le sous-répertoire notes\data\domino\html. Vous pouvez interdire aux membres du groupe Utilisateurs Web d'accéder au fichier, mais autoriser uniquement Jean Durand à y accéder, par exemple. Pour ce faire, créez un document de protection de fichier supplémentaire avec les paramètres suivants :

Chemin : c:\notes\data\domino\html\secret.html

Accès : : par défaut - (Pas d'accès)

Accès : Jean Durand (GET)