Question
Pourquoi l'utilisateur-administrateur est-il autorisé à ajouter tout utilisateur au groupe administrateurs et comment empêcher ce comportement ?
Réponse, résolution
Les utilisateurs-administrateurs (chaque membre du groupe utilisateur-administrateurs) peuvent créer des utilisateurs et des groupes et peuvent gérer les membres du groupe (ils peuvent modifier et créer les permissions pour tous les utilisateurs et groupes).
Par défaut, les utilisateurs-administrateurs n'ont pas les droits d'écriture ACL, et ne peuvent donc pas modifier l'ACL d'une ressource, et donc ne peuvent pas modifier les permissions données aux utilisateurs ou aux groupes.
Comme les utilisateurs-administrateurs peuvent ajouter n'importe quel utilisateur et groupe à n'importe quel groupe par défaut, il est possible pour les utilisateurs-administrateurs d'ajouter n'importe quel utilisateur ou groupe (y compris soi-même) à un groupe auquel on a donné des permissions supplémentaires.
Si les utilisateurs-administrateurs ne peuvent pas ajouter n'importe quel utilisateur ou groupe à des groupes spécifiques plus puissants que les utilisateurs-administrateurs eux-mêmes, les administrateurs ont pour responsabilité d'ajuster les permissions en fonction.
Les administrateurs (utilisateur administrateur et chaque membre du groupe administrateurs) peuvent effectuer cette opération en refusant l'accès en écriture sur le nœud correspondant au groupe avec le plus de droits (c.-à-d. le groupe administrateurs) à tous, sauf à ceux qui ont véritablement la permission (c.-à-d. les administrateurs).
Cela empêche (dans notre exemple) les utilisateurs-administrateurs de modifier les membres du groupe administrateurs.
Remarque : Cela s'applique non seulement au groupe des administrateurs, mais peut s'avérer nécessaire pour n'importe quel groupe de projet spécifique considéré comme plus puissant que les utilisateurs-administrateurs.
Exemple : Pour le groupe administrateurs (seul groupe avec plus de privilèges que les utilisateur-admin dans la configuration initiale)
- Connectez-vous en tant qu’administrateur (utilisateur admin ou membre utilisateur du groupe administrateurs) au système CRX. Basculez l’espace de travail sur « crx.system ».
- Ouvrez le navigateur CRX et accédez au nœud du groupe administrateurs : /rep:security/rep:principals/rep:groups/administrators
- Sélectionnez le nœud
administrateurset le menu supérieur, puis sélectionnez sécurité -> éditeur de contrôle d'accès. - Cliquez sur l'onglet
contrôle d'accèset ajoutez une nouvelle autorisation avecprincipal=user-administratorspuis refuser l'accès à Modifier (set_property). Vous pouvez également refuser tout accès. En cas de refus d'accès en lecture, les utilisateurs-administrateurs ne peuvent plus voir le groupe administrateurs dans l'interface utilisateur graphique. Cela empêche la sélection du groupe Administrateurs pour toute manipulation d’adhésion (qui ne fonctionne pas comme l’accès Modifier est refusé). - Se connecter à présent avec un utilisateur test qui est membre du groupe utilisateur-administrateurs. Vous n’êtes pas en mesure d’ajouter un utilisateur ou un groupe aux administrateurs ou de voir le groupe administrateurs si vous avez également refusé l’accès en lecture.
Résumé:
Un administrateur (ou tout autre utilisateur membre d'un groupe autorisé à écrire à n'importe quelle ressource) modifiant des autorisations de groupes doit être conscient qu'il permet à des utilisateurs-administrateurs d'ajouter des membres au groupe. Par conséquent, une limitation de permissions peut être requise pour restreindre les autorisations utilisateur-administrateurs et modifier les membres du groupe correspondant.
Cela s'applique aussi à tous les autres utilisateurs/groupes autorisés à écrire leur appartenance à un groupe.
Application
CQ5.2.0, CQ5.2.1
Accéder à votre compte