Domanda
Perché l'utente-amministratore può aggiungere qualcuno al gruppo degli amministratori e come evitare questo comportamento?
Risposta, Risoluzione
Gli utenti-amministratori (ogni utente membro del gruppo amministratori utente) possono creare utenti e gruppi e possono gestire l'appartenenza ai gruppi (questo significa che abbiano il permesso di modificare e creare tutti gli utenti e i gruppi).
Per impostazione predefinita gli utenti-amministratori non hanno il permesso di scrivere ACL, quindi non possono modificare l'ACL di una risorsa e non sono abilitati a modificare i permessi concessi agli utenti o ai gruppi.
Poiché gli utenti-amministratori possono aggiungere ogni utente e gruppo a qualsiasi gruppo per impostazione predefinita, è possibile per gli utenti-amministratori aggiungere qualsiasi utente o gruppo (anche se stessi) a un gruppo a cui sono concesse autorizzazioni aggiuntive.
Se gli utenti-amministratori non sono in grado di aggiungere utenti o gruppi a gruppi specifici che sono più potenti degli utenti-amministratori stessi, gli amministratori hanno il compito di adattare i permessi di conseguenza.
Gli amministratori (utente amministratore e ogni utente membro del gruppo di amministratori) possono farlo negando l'accesso in scrittura al nodo corrispondente al gruppo con più privilegi (cioè il gruppo di amministratori) per tutti tranne quelli realmente autorizzati (cioè gli amministratori).
Questo impedisce (nel nostro esempio) agli utenti-amministratori di modificare i membri del gruppo di amministratori.
Nota: Questo non si applica solo al gruppo di amministratori, ma può essere richiesto per qualsiasi gruppo specifico di progetto che è considerato più potente degli utenti-amministratori.
Esempio: Per il gruppo di amministratori (l'unico gruppo con più privilegi degli utenti-amministratori nella configurazione iniziale)
- Accedi come amministratore (utente amministratore o utente membro del gruppo di amministratori) al sistema CRX. Commutare l'area di lavoro su "crx.system".
- Apri il browser CRX e vai al nodo del gruppo di amministratori - /rep:security/rep:principals/rep:groups/administrators
- Seleziona il nodo amministratori
e dal menu in alto, seleziona Sicurezza -> ACL Editor.
- Passa alla scheda
ACL
e aggiungi una nuova autorizzazione conprincipal=user-administrators
e nega l'accesso a Modifica (set_property). È anche possibile negare l'accesso. Con la negazione dell'accesso in lettura gli utenti-amministratori non possono più vedere il gruppo di amministratori nella GUI. Questo impedisce di selezionare il gruppo di amministratori per qualsiasi manipolazione dell'iscrizione (che non funziona comunque perché l'accesso a Modifica è negato). - Ora accedi con un utente di prova che è membro del gruppo utenti-amministratori. Non sei più in grado di aggiungere utenti o gruppi al gruppo di amministratori o vedere il gruppo di amministratori se hai anche negato l'accesso in lettura.
Sommario:
Un amministratore (o qualsiasi altro utente che è membro di un gruppo che ha il permesso di scrivere ACL a qualsiasi risorsa) che modifica i permessi dei gruppi deve essere consapevole che gli utenti-amministratori possono aggiungere membri a questo gruppo. Di conseguenza, potrebbe essere necessario limitare i permessi degli utenti-amministratori per modificare i corrispondenti membri del gruppo.
Questo vale anche per tutti gli altri utenti/gruppi che hanno il permesso di scrivere l'iscrizione al gruppo.
Prodotti interessati:
CQ5.2.0, CQ5.2.1