D. HABILITATIONS
Les habilitations concernent les droits que les utilisateurs obtiennent sur les ressources informatiques. Celles-ci sont de tous types allant d'un simple fichier à une imprimante ou un scanner.
Les ressources les plus sensibles, à savoir les données de l'entreprise, sont souvent mutualisées . L'intérêt des habilitations sera de permettre l'accès discrétionnaire à ces informations à l'aide de profils.
1. La définition des habilitations
Pour accorder les habilitations, l'administrateur définit des types de profils correspondant à des niveaux d'autorisations associant des ressources (biens) à des actions possibles comme la lecture, l'écriture, la modification, etc. Une fois ce profil défini, l'administrateur pourra associer le nom de l'utilisateur à ce profil.
1. L'administrateur choisit la ressource à protéger ;
2. L'administrateur choisit l'utilisateur à habiliter au sein de l'annuaire de l'entreprise ;
3. L'administrateur définit les actions sur cette ressource que cet utilisateur aura le droit et la possibilité d'effectuer.
Lorsque l'utilisateur Jean Dupont se connecte, il accède à cette ressource.
Schéma° 66 : Utilisation de profils d'accès pour les habilitations
Source : OPECST
Schéma n° 67 : Exemple d'une grille de profil autorisation/ressources
Source : OPECST
2. L'accès aux répertoires
Le principe des mécanismes d'autorisations repose sur les protocoles d'authentification . Une fois authentifié, le serveur affecte la ressource demandée à l'utilisateur : la ressource peut être une imprimante, un fichier ou un répertoire virtuel.
Il existe de multiples protocoles de gestion des autorisations au sein d'un réseau, propriétaires ou libres.
L'exemple ci-après détaille le protocole Kerberos et son architecture d'autorisation. Ce protocole est implanté par Microsoft dans son système d'annuaire et de gestion de fichiers Active Directory .
Les différentes étapes pour obtenir une ressource passent par une authentification classique (1-3) puis par une obtention des droits sous forme d'un ticket (4-5).
1 : accès au service Kerberos et authentification du client ;
2 : gain d'un ticket pour accéder au service de ticket ;
3 : authentification par le serveur de ticket ;
4 : demande d'accès au serveur de ressource ;
5 : gain d'un ticket d'accès au serveur de ressource ;
6 : accès autorisé au serveur de ressource.
Schéma n° 68 : Processus d'authentification Kerberos en vue de l'obtention d'habilitation sur des ressources partagées
Source : OPECST
La navigation sur des ressources mutualisées est impossible du fait de la gestion des droits.
Néanmoins, une
attention particulière doit être portée au quotidien
à cette gestion car
une erreur de la part de l'administrateur
pourrait entraîner des visites non souhaitées sur des
répertoires sensibles
.
En outre,
l'administration de ce protocole est parfois difficile du fait
d'usagers appartenant à plusieurs profils
.
Une cartographie des droits devrait aider l'administrateur à améliorer la consistance des habilitations.