Question

Pourquoi l'utilisateur-administrateur est-il autorisé à ajouter tout utilisateur au groupe administrateurs et comment empêcher ce comportement ?

Réponse, résolution

Les utilisateurs-administrateurs (chaque membre du groupe utilisateur-administrateurs) peuvent créer des utilisateurs et des groupes et peuvent gérer les membres du groupe (ils peuvent modifier et créer les permissions pour tous les utilisateurs et groupes).
Par défaut, les utilisateurs-administrateurs n'ont pas les droits d'écriture ACL, et ne peuvent donc pas modifier l'ACL d'une ressource, et donc ne peuvent pas modifier les permissions données aux utilisateurs ou aux groupes.

Comme les utilisateurs-administrateurs peuvent ajouter n'importe quel utilisateur et groupe à n'importe quel groupe par défaut, il est possible pour les utilisateurs-administrateurs d'ajouter n'importe quel utilisateur ou groupe (y compris soi-même) à un groupe auquel on a donné des permissions supplémentaires.

Si les utilisateurs-administrateurs ne peuvent pas ajouter n'importe quel utilisateur ou groupe à des groupes spécifiques plus puissants que les utilisateurs-administrateurs eux-mêmes, les administrateurs ont pour responsabilité d'ajuster les permissions en fonction.

Les administrateurs (utilisateur administrateur et chaque membre du groupe administrateurs) peuvent effectuer cette opération en refusant l'accès en écriture sur le nœud correspondant au groupe avec le plus de droits (c.-à-d. le groupe administrateurs) à tous, sauf à ceux qui ont véritablement la permission (c.-à-d. les administrateurs).
Cela empêche (dans notre exemple) les utilisateurs-administrateurs de modifier les membres du groupe administrateurs.

Remarque : Cela s'applique non seulement au groupe des administrateurs, mais peut s'avérer nécessaire pour n'importe quel groupe de projet spécifique considéré comme plus puissant que les utilisateurs-administrateurs.

Exemple : Pour le groupe administrateurs (seul groupe avec plus de privilèges que les utilisateur-admin dans la configuration initiale)

  • Connectez-vous en tant qu’administrateur (utilisateur admin ou membre utilisateur du groupe administrateurs) au système CRX. Basculez l’espace de travail sur « crx.system ».
  • Ouvrez le navigateur CRX et accédez au nœud du groupe administrateurs : /rep:security/rep:principals/rep:groups/administrators
  • Sélectionnez le nœud administrateurs et le menu supérieur, puis sélectionnez sécurité -> éditeur de contrôle d'accès.
  • Cliquez sur l'onglet contrôle d'accès et ajoutez une nouvelle autorisation avec principal=user-administrators puis refuser l'accès à Modifier (set_property). Vous pouvez également refuser tout accès. En cas de refus d'accès en lecture, les utilisateurs-administrateurs ne peuvent plus voir le groupe administrateurs dans l'interface utilisateur graphique. Cela empêche la sélection du groupe Administrateurs pour toute manipulation d’adhésion (qui ne fonctionne pas comme l’accès Modifier est refusé).
  • Se connecter à présent avec un utilisateur test qui est membre du groupe utilisateur-administrateurs. Vous n’êtes pas en mesure d’ajouter un utilisateur ou un groupe aux administrateurs ou de voir le groupe administrateurs si vous avez également refusé l’accès en lecture.

Résumé:

Un administrateur (ou tout autre utilisateur membre d'un groupe autorisé à écrire à n'importe quelle ressource) modifiant des autorisations de groupes doit être conscient qu'il permet à des utilisateurs-administrateurs d'ajouter des membres au groupe. Par conséquent, une limitation de permissions peut être requise pour restreindre les autorisations utilisateur-administrateurs et modifier les membres du groupe correspondant.
Cela s'applique aussi à tous les autres utilisateurs/groupes autorisés à écrire leur appartenance à un groupe.

Application

CQ5.2.0, CQ5.2.1

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne