Comment définir l'utilisateur et le groupe ACL directement dans le CRX plutôt que dans l'écran Administration utilisateur CQ5 («Sécurité CQ5») ?
Dans CRX 2.0 / JCR 2.0 le modèle de sécurité a changé. Dans le nouveau modèle de sécurité, l'accès des utilisateurs est défini au moyen des stratégies de contrôle d'accès [1].
Dans CQ5, le modèle de sécurité de l'utilisateur et du groupe se sert des privilèges standard de référentiel pour JCR 2.0 [2] (tels que définis par la stratégie de contrôle d'accès org.apache.jackrabbit.core.security.authorization.acl.ACLTemplate
).
Voici quelques conseils concernant le nouveau modèle de sécurité :
autoriser
ou refuser
l'autorisation sur un nœud donné, alors 3 scénarios sont possibles : Voici un exemple pour illustrer : groupe1 et groupe2 ont des contrôles d'accès définis pour le tracé /content/geometrixx
; a : groupe1 a refusé la lecture et groupe2 a autorisé la lecture et user1 est associé à la fois à groupe1 et groupe2 (exclusivement). Avec cette configuration, l'accès sera évalué dans l'ordre indiqué dans la boîte de dialogue CRX Access Control Editor....
Dans CQ5.3 et les versions précédentes, les règles autoriser/refuser (ACEs) affichés dans l'écran "CQ5 Security" (alias "Administration des utilisateurs") n'ont pas de relation directe avec les ACE réels définis dans le référentiel CRX 2.x. Le tableau ci-dessous indique comment les contrôles d’accès sont désignés depuis CQ5 jusqu’au référentiel CRX :
CRX1.4.2 | CQ5.2.1+ | CRX2.0 |
lire | lire | jcr:read |
créer nœud | créer | jcr:addChildNodes, jcr:nodeTypeManagement |
définir propriété | modifier | jcr:modifyProperties, jcr:versionManagement, jcr:lockManagement |
supprimer le nœud | supprimer | jcr:removeNode, jcr:removeChildNodes |
lire ACL | lire ACL | jcr:readAccessControl |
modifier ACL | modifier ACL | jcr:modifyAccessControl |
Pour modifier les listes de contrôle d’accès sur CRX2.0 :
http://<host>:<port>/crx
(http://<host>:<port>/crx/explorer sur CQ5.5+)
.CQ5.3, CQ5.4, CQ5.5
[1] http://www.day.com/specs/jcr/2.0/16_Access_Control_Management.html#AccessControlPolicies
[2] http://www.day.com/specs/jcr/2.0/16_Access_Control_Management.html (voir section 16.2.3 Privilèges standards)
Accéder à votre compte