Contrôle d'accès Solaris for ISPs

Solaris for ISPs définit un contrôle d'accès pour les services de répertoire, pour garantir un accès approprié par les parties du logiciel qui le nécessitent, tout en assurant la sécurité et en empêchant l'accès par d'autres. Le principe général de ces contrôles d'accès veut que toutes les entités ont des accès en lecture tandis que l'accès en écriture est restreint. Il est très important que vous ne changiez pas les contrôles d'accès existants, car vous pourriez introduire des risques concernant la sécurité ou provoquer le blocage de Solaris for ISPs.

Souvenez-vous que les règles de contrôle d'accès sont tributaires de l'ordre d'utilisation. Lorsque Sun Directory Services procède à des vérification d'accès, la première règle qui s'applique à la requête est employée. Toutes les règles suivantes sont ignorées. Par conséquent, ne changez pas l'ordre des règles dans le fichier. Lors de la création d'une nouvelle règle, veillez à ce qu'elle ne s'applique pas accidentellement à des informations de Solaris for ISPs existantes et annule certaines règles de contrôle d'accès déjà mises en oeuvre.

Le contrôle d'accès est désactivé si vous effectuez une liaison au répertoire comme administrateur.

Généralement, les informations spécifiques de Solaris for ISPs sont stockées dans des entrées prenant en charge des classes d'objet définies dans l'extension de schéma Solaris for ISPs. Chacune de ces classes est nommée en commençant par la chaîne "isp." Toute règle dans le fichier de configuration d'accès qui contient une telle classe d'objet (ou attribut) est probablement une règle Solaris for ISPs et, en tant que telle, est soumise aux modifications. Les règles de contrôle d'accès sont définies dans /etc/opt/SUNWconn/ldap/current/dsserv.acl.conf.

Pour terminer les informations sur les contrôles d'accès Sun Directory Services, reportez-vous au chapitre 1, "Introduction to Directory Concepts," et au chapitre 4, "Configuring a Directory Server," du manuel Sun Directory Services 3.1 Administration Guide.

Les sections qui suivent décrivent le comportement général assuré par les contrôles d'accès Solaris for ISPs. La phrase "a accès" indique qu'une liaison au répertoire avec le DN et le mot de passe de cette entrée donnera la forme d'accès indiquée.

Règles d'activation des fonctionnalités de Sun Internet Administrator

Sun Internet Administrator a besoin des types d'accès suivants pour effectuer son travail :

• Il doit créer et supprimer des administrateurs. Par conséquent, Sun Internet Administrator a un accès en écriture à la partie du DIT définie par l'entrée d'unité organisationnelle Administrators.

• Il doit être en mesure de changer certains attributs d'administrateur (notamment les attributs userPassword et ispAuthorizedServices).

• Il doit être capable de contrôler la création d'entrées de service géré (ispManagedService). Par conséquent, Sun Internet Administrator possède sa propre partie de l'arborescence, sous l'entrée de niveau supérieur SUNWixamc (par exemple, ispVersion=1.0,ou-SUNWixamc,ou-Services,o=sun,c=us).

• Il doit créer des entrées de service de niveau supérieur pour les services qu'il enregistre et gère. Par conséquent, Sun Internet Administrator a l'accès et les informations dont il a besoin pour écrire dans cette partie du DIT (par exemple, ou-Services,o=sun,c=us).

• Il doit également définir la valeur de l'attribut ispPrivateData protégé sur les entrées ispService. Par conséquent, Sun Internet Administrator a un accès en lecture/écriture à cet attribut des entrées de service existant. En fait, aucune autre entité n'a accès à l'attribut ispPrivateData.

Règles activant les fonctionnalités de service

Les divers services Solaris for ISPs doivent enregistrer et accéder à des informations de configuration stockées sous leurs entrées de service (celles situées sous le noeud Services dans les sous-domaines et les domaines virtuels). Par conséquent, chacun a l'accès et les informations qu'il doit écrire pour créer et modifier des entrées dans cette partie du DIT, notamment sa propre entrée de service.

Règles d'activation de l'accès utilisateur approprié

Les utilisateurs (abonnés et administrateurs) ont un accès en écriture à leur propre attribut password, mais ne peuvent pas changer d'autres parties de leur entrée. Cependant, n'importe quel administrateur avec un accès de gestion à Sun Internet Administrator a un accès global et peut changer n'importe quoi.