Pregunta
¿Por qué se permite al usuario administrador añadir a alguien al grupo de administradores y cómo evitar este comportamiento?
Respuesta, Resolución
Los usuarios administradores (todos los miembros del grupo de administradores de usuarios) pueden crear usuarios y grupos y gestionar la pertenencia a los grupos (esto significa que tienen permisos de modificación y creación para todos los usuarios y grupos).
De forma predeterminada, los usuarios administradores no tienen permisos de escritura de ACL, por lo que no pueden editar la ACL de un recurso y, por lo tanto, no están habilitados para modificar los permisos concedidos a los usuarios o grupos.
Como los usuarios administradores pueden añadir a cada usuario y grupo a cualquier grupo de forma predeterminada, es posible que los usuarios administradores puedan añadir a cualquier usuario o grupo (incluso a sí mismo) a un grupo al que se le concedan permisos adicionales.
Si los usuarios administradores no pueden añadir ningún usuario o grupo a grupos específicos que sean más potentes que los propios usuarios administradores, los administradores se encargarán de ajustar los permisos en consecuencia.
Los administradores (usuario administrador y cada miembro usuario del grupo de administradores) pueden hacer esto negando el acceso de escritura al nodo correspondiente al grupo con más privilegios (es decir, el grupo de administradores) para todos excepto para los realmente permitidos (es decir, los administradores).
Esto evita (en nuestro ejemplo) que los usuarios administradores modifiquen los miembros del grupo de administradores.
Nota: Esto no solo se aplica al grupo de administradores, pues puede ser necesario para cualquier grupo específico del proyecto que se considere más poderoso que los usuarios administradores.
Ejemplo: para el grupo de administradores (el único grupo con más privilegios que los usuarios administradores en la configuración inicial)
- Iniciar sesión como administrador (usuario administrador o miembro del grupo de administradores) en el sistema CRX. Cambie el espacio de trabajo a "crx.system".
- Abra el navegador CRX y vaya al nodo de grupo de administradores /rep:security/rep:principals/rep:groups/administrators
- Seleccione el nodo
administradores
y, en el menú superior, seleccione Seguridad -> Editor de ACL. - Cambie a la pestaña
ACL
y añada un nuevo permiso conprincipal=user-administrators
y niegue el acceso a Modificar (set_property). También puede denegar todo acceso. Con la denegación del acceso de lectura, los usuarios administradores ya no pueden ver el grupo de administradores en la interfaz gráfica de usuario. Esto impide seleccionar el grupo de administradores para cualquier manipulación de la membresía (que de todos modos no funciona ya que se niega el acceso a Modificar). - Ahora inicie sesión con un usuario de prueba que sea miembro del grupo de usuarios-administradores. Ya no es posible añadir ningún usuario o grupo al grupo de administradores ni ver el grupo de administradores si también se le niega el acceso de lectura.
Resumen:
Un administrador (o cualquier otro usuario que sea miembro de un grupo al que se le permita escribir ACL en cualquier recurso) que modifique los permisos de los grupos debe tener en cuenta que los usuarios administradores pueden añadir miembros a este grupo. En consecuencia, puede ser necesario restringir los permisos de los usuarios-administradores para modificar los miembros correspondientes del grupo.
Esto también se aplica a cualquier otro usuario/grupo al que se le permita escribir la pertenencia a un grupo.
Se aplica a
CQ5.2.0, CQ5.2.1