Les entrées admises dans la LCA sont les suivantes :

• Entrées avec caractère générique
• Noms d'utilisateur, de serveur et de groupe (y compris les noms de groupes et d'utilisateurs de clients Internet)
• Utilisateurs LDAP
• Anonymous (utilisée pour un accès anonyme des utilisateurs Internet et IBM® Notes
• ID de réplique de base de documents

Pour plus de sécurité, ajoutez les noms à la LCA au format hiérarchique. Par exemple :

Sandra E Cordier/Ouest/Audimatique/FR

Robert Boulier/Ventes/UsineCie

Entrées avec caractère générique

Pour généraliser l'accès à une base de documents, vous pouvez entrer des noms hiérarchiques avec un caractère générique (*) dans la LCA. Utilisez des caractères génériques dans les composants Nom usuel et Subordonné.

Les utilisateurs et les serveurs dont le nom de groupe ou d'utilisateur ne fait pas encore l'objet d'une entrée spécifique dans la LCA et dont les noms hiérarchiques incluent des composants contenant un caractère générique se voient attribuer le plus haut niveau d'accès spécifié pour toutes les entrées correspondantes contenant un caractère générique.

Voici une entrée LCA au format générique :

*/Illustration/Production/Audimatique/France

Cette entrée attribue le niveau d'accès choisi à :

Marie Laseine/Illustration/Production/Audimatique/France

Michel Boulinge/Illustration/Production/Audimatique/France

Cette entrée n'attribue pas le niveau d'accès choisi à :

Sandrine Braun/Documentation/Production/Audimatique/France

Alain Nelson/Audimatique/France

Vous ne pouvez utiliser de caractère générique que dans la partie située à l'extrême gauche de l'entrée de la LCA. Par exemple, vous ne pouvez pas utiliser l'entrée suivante :

*/Illustration/*/Audimatique/FR

pour représenter :

Michel Boulinge/Illustration/Ouest/Audimatique/France

Karine Richard/Illustration/Est/Audimatique/FR

Lorsque vous utilisez une entrée de LCA avec un caractère générique, définissez le type d'utilisateur comme Non spécifié, Groupe mixte ou Groupe de personnes.

Noms d'utilisateur

Vous pouvez ajouter à la LCA le nom des personnes possédant un ID utilisateur Notes certifié ou celui des internautes qui s'authentifient par nom et mot de passe ou via le protocole client SSL.

• Pour les utilisateurs Notes, indiquez le nom hiérarchique complet de chaque utilisateur (par exemple, Jean Dupont/Ventes/Audimatique), sans tenir compte de son appartenance ou non à la même organisation hiérarchique que le serveur sur lequel est enregistrée la base de documents.
• Pour les utilisateurs Internet, entrez le nom correspondant à la première entrée dans le champ Nom d'utilisateur du document Personne.

  Remarque : Vous pouvez entrer de nombreux alias dans le champ du nom de l'utilisateur et les utiliser pour l'authentification. Cependant, la vérification des autorisations de sécurité s'effectue par rapport au premier nom de la liste. Il faut donc utiliser ce nom dans toutes les LCA de base IBM Domino, dans les paramètres de sécurité du document Serveur et dans les fichiers .ACL.

Vous pouvez ajouter des noms de serveurs dans une LCA pour gérer les modifications qu'une base de documents hérite de sa réplique. Pour plus de sécurité, utilisez le nom hiérarchique complet du serveur (par exemple, Serveur1/Ventes/Audimatique), sans tenir compte de l'appartenance ou non du nom du serveur que vous ajoutez à la même organisation hiérarchique que le serveur sur lequel est enregistrée la base de documents.

Noms de groupes

Vous pouvez ajouter à la LCA un groupe (par exemple, Formation) représentant plusieurs utilisateurs ou serveurs exigeant le même niveau d'accès. Les utilisateurs doivent être répertoriés dans des groupes sous un nom hiérarchique principal. Les groupes peuvent également avoir des entrées avec caractère générique, comme leurs membres. Avant de pouvoir utiliser un nom de groupe dans une LCA, vous devez créer ce groupe dans l'annuaire IBM Domino ou dans un annuaire Domino secondaire ou un annuaire LDAP externe configuré pour l'autorisation des groupes dans la base d'assistance d'annuaire.

Remarque : Assurez-vous que tous les noms de groupes utilisés dans la LCA sont conformes aux instructions fournies quant à leur création. L'utilisation de noms incorrects risque d'entraîner des problèmes d'accès.

Conseil : Utilisez de préférence des noms individuels pour les gestionnaires d'une base. Ainsi, si les utilisateurs choisissent successivement Création -> Autres -> Spécial/Mémo au gestionnaire de la base, ils connaissent le destinataire.

La définition de groupe est pratique pour administrer une LCA. L'utilisation d'un groupe dans la LCA offre les avantages suivants :

• Au lieu d'ajouter une longue liste de noms individuels à une LCA, vous pouvez ajouter un nom de groupe. Si un groupe apparaît dans plusieurs LCA, modifiez le document de groupe dans l'annuaire Domino ou dans l'annuaire LDAP au lieu d'ajouter ou de supprimer individuellement un grand nombre d'utilisateurs dans les différentes bases.
• Si vous devez modifier le niveau d'accès de plusieurs utilisateurs ou serveurs, vous n'avez à le faire qu'une seule fois pour tout le groupe.
• Utilisez les noms de groupe pour refléter les responsabilités des membres du groupe ou de l'organisation d'un service ou d'une société.

Groupe d'annulation

Lorsque des employés quittent la société, vous devez supprimer leurs noms de tous les groupes de l'annuaire Domino et les ajouter au groupe "Liste des intrus uniquement" pour leur refuser l'accès aux serveurs. La liste des intrus du document Serveur contient les noms des utilisateurs et des groupes Notes qui n'ont plus accès aux serveurs Domino. Veillez également à ce que les noms des employés ayant quitté leurs fonctions soient bien éliminés des LCA de toutes les bases de documents de votre organisation. Lorsque vous supprimez une personne d'un annuaire Domino, vous disposez de l'option Ajouter l'utilisateur supprimé au groupe Intrus, si ce groupe a été créé. (Dans le cas contraire, la boîte de dialogue affiche Aucun groupe d'accès intrus sélectionné ou disponible.)

Utilisateurs LDAP

Vous pouvez utiliser un annuaire LDAP secondaire pour authentifier les utilisateurs Internet. Vous pouvez ensuite ajouter le nom de ces internautes aux LCA de la base pour contrôler leur accès aux bases de documents.

Vous pouvez également créer des groupes dans l'annuaire LDAP secondaire comprenant les noms des internautes, puis ajouter les groupes en tant qu'entrées dans les LCA de la base Notes. A titre d'exemple, un internaute peut tenter d'accéder à une base de documents sur un serveur Web Domino. Si le serveur Web authentifie l'utilisateur et si la LCA contient un groupe nommé "Web", le serveur peut rechercher le nom de l'utilisateur Internet du groupe "Web" situé dans l'annuaire LDAP externe tout en recherchant l'entrée dans l'annuaire Domino principal. Notez que, pour que ce scénario fonctionne, la base Assistance d'annuaire située sur le serveur Web doit comprendre un document Assistance d'annuaire LDAP pour l'annuaire LDAP dont l'option Extension de groupe a été activée. Vous pouvez également utiliser cette fonction pour rechercher les noms des utilisateurs Notes enregistrés dans des groupes d'annuaires LDAP externes afin de contrôler la LCA de la base.

Lorsque vous ajoutez le nom d'un utilisateur ou d'un groupe d'un annuaire LDAP à la LCA d'une base de documents, adoptez le format LDAP pour le nom, mais préférez la barre oblique (/) à la virgule (,) comme séparateur. Par exemple, pour le nom d'un utilisateur dans l'annuaire LDAP :

uid=Laura Berthier,o=Audimatique,c=US

entrez dans la LCA de la base :

uid=Laura Berthier/o=Audimatique/c=US

Pour entrer dans une LCA le nom non hiérarchique d'un groupe d'annuaire LDAP, n'entrez que la valeur de l'attribut et non son nom. Par exemple, si le nom non hiérarchique du groupe LDAP est :

cn=gestionnaires

dans la LCA, entrez seulement :

gestionnaires

Pour entrer le nom hiérarchique d'un groupe, incluez les noms d'attribut LDAP dans les entrées de la LCA. Par exemple, si le nom hiérarchique du groupe est :

cn=gestionnaires,o=audimatique

dans la LCA, entrez :

cn=gestionnaires/o=audimatique

Notez que si les noms d'attribut que vous spécifiez correspondent exactement à ceux qui sont utilisés dans Notes (cn, ou, o, c), ils ne sont pas affichés dans la LCA.

Par exemple, si vous entrez dans une LCA :

cn=Laura Berthier/ou=Ouest/o=Audimatique/c=France

comme les attributs correspondent exactement à ceux utilisés dans Notes, le nom figure dans la LCA sous la forme :

Laura Berthier/Ouest/Audimatique/FR

Entrées de LCA admises pour les utilisateurs LDAP

Tableau 1. Entrées de LCA admises pour les utilisateurs LDAP

DN LDAP	Entrée de LCA
cn=Serge Davissont+ id=1234, ou=Ventes,o=Audimatique	cn=Serge Davissont+id=1234/ou=Ventes/o=Audimatique
cn=Serge Davissont,o=Audimatique\, S.A.	cn=Serge Davissont/o=Audimatique, S.A. Remarque : Si le nom LDAP comporte une barre oblique suivie d'un autre caractère, n'insérez pas la barre oblique quand vous spécifiez le nom dans la LCA de la base.
uid=smd12345,dc=Audimatique,dc=Com	uid=smd12345/dc=Audimatique/dc=Com
uid=Laura Berthier,o=Audimatique,c=US	uid=Laura Berthier/o=Audimatique/c=US

Anonyme

Un utilisateur ou un serveur qui accède à un serveur sans s'être d'abord authentifié est identifié par le serveur comme anonyme ("Anonymous"). L'accès anonyme à la base de documents est attribué aux utilisateurs Internet et Notes qui n'ont pas été authentifiés par le serveur.

En règle générale, l'accès Anonymous est utilisé dans les bases qui résident sur les serveurs disponibles au grand public. Vous pouvez contrôler le niveau d'accès accordé à un utilisateur ou un serveur anonyme en entrant le nom "Anonyme" dans la liste de contrôle d'accès et en attribuant un niveau d'accès adéquat. En règle générale, le niveau d'accès attribué aux utilisateurs anonymes est Lecteur.

L'entrée par défaut Anonymous de la LCA de tous les fichiers des modèles de base (.NTF) est définie sur le niveau d'accès Lecteur, ce qui permet aux utilisateurs et aux serveurs de lire les modèles lorsqu'ils créent ou actualisent les fichiers .NSF en fonction de ce modèle.

L'entrée par défaut Anonymous de la LCA pour les fichiers des bases de documents (.NSF) est définie sur Pas d'accès.

Tableau 2. Conditions d'accès anonyme à une base de documents

	Accès anonyme activé pour le protocole Internet	Accès anonyme non activé pour le protocole Internet
Accès anonyme activé dans la LCA de la base	Les utilisateurs accèdent à la base en bénéficiant du niveau d'accès de l'entrée Anonyme. Ainsi, si Anonymous est défini avec le niveau d'accès Lecteur, les utilisateurs anonymes qui accèdent à la base disposent de l'accès Lecteur.	Les utilisateurs sont invités à s'authentifier quand ils tentent d'accéder à une ressource sur le serveur. Si l'utilisateur n'est pas répertorié dans la base (par le biais d'une entrée de groupe, d'une entrée avec un caractère générique ou d'un nom d'utilisateur explicitement répertorié), il peut accéder à la base en bénéficiant du niveau d'accès de l'entrée Par défaut.
Niveau "Pas d'accès" défini pour l'entrée Anonymous de la LCA de la base de documents	Si l'entrée Anonymous a été définie sur "Pas d'accès" et que les privilèges "Ecrire des documents publics" et "Lire des documents publics" sont désactivés, les utilisateurs anonymes ne sont pas autorisés à accéder à la base et sont invités à s'authentifier. Lorsqu'ils s'authentifient, leur nom est contrôlé dans la LCA de la base pour déterminer le niveau d'accès à la base qui doit être accordé.
Anonyme non répertorié dans la LCA de la base de documents	Les utilisateurs anonymes accèdent à la base de documents en bénéficiant du niveau d'accès de l'entrée Par défaut. Ainsi, si -Default- est défini avec le niveau d'accès Lecteur et qu'il n'y a pas d'entrée Anonymous dans la LCA, les utilisateurs anonymes qui accèdent à la base disposent d'un accès Lecteur.

Les utilisateurs anonymes (ceux qui accèdent à la base via l'entrée Anonymous et ceux dont l'accès se fait par le biais de l'entrée -Default-) qui tentent d'effectuer dans la base une opération non autorisée par leur niveau d'accès sont invités à s'authentifier. A titre d'exemple, si Anonyme est défini avec le niveau d'accès Lecteur, et qu'un utilisateur anonyme essaie de créer un nouveau document, il lui est demandé de s'authentifier par un nom et un mot de passe.

Conseil : Si vous voulez que tous les utilisateurs s'authentifient lorsqu'ils accèdent à une base, définissez l'entrée Anonymous dans la LCA de la base sur Pas d'accès et veillez à ce que les privilèges Ecrire des documents publics et Lire des documents publics soient désactivés. Ajoutez le nom de l'utilisateur Internet à la LCA avec le niveau d'accès que vous voulez.

Le serveur Domino utilise le nom de groupe Anonyme aux seules fins de vérification des contrôles d'accès. A titre d'exemple, si Anonymous est défini avec le niveau d'accès Auteur dans la LCA de la base, le nom véritable de l'utilisateur s'affiche dans le champ Auteurs de ces documents. L'affichage du nom véritable n'est possible que pour les utilisateurs anonymes de Notes et ne s'étend pas aux utilisateurs Internet anonymes. Les champs Auteurs ne représentent pas une option de sécurité, indépendamment de l'utilisation de l'accès anonyme. Si la validité du nom de l'auteur est requise pour des besoins de sécurité, le document doit être signé.

ID de réplique

Pour permettre à un agent d'une base de documents d'utiliser @DbColumn ou @DbLookup pour extraire des données d'une autre base, entrez l'ID de réplique de la base comportant l'agent dans la LCA de la base contenant les données à extraire. La base comportant l'agent doit disposer au moins d'un accès Lecteur à la base contenant les données à extraire. Les deux bases de documents doivent être sur le même serveur. 85255B42:005A8fA4 est un exemple d'ID de réplique dans la LCA d'une base. Vous pouvez entrer l'ID de réplique en majuscules ou en minuscules, mais pas entre guillemets.

Si vous n'ajoutez pas l'ID de réplique à la liste de contrôle d'accès, la seconde base pourra cependant consulter les données, si le niveau d'accès Par défaut de votre base correspond au moins à Lecteur.

Ordre d'évaluation des entrées de la LCA

Les entrées de la LCA sont évaluées dans un ordre spécifique afin de déterminer le niveau d'accès qui sera attribué à un utilisateur authentifié essayant d'accéder à la base de documents. Si un utilisateur n'arrive pas à s'authentifier sur un serveur alors que l'accès y est autorisé, l'accès s'effectue comme si le nom de l'utilisateur était "Anonymous.

• La LCA contrôle d'abord le nom d'utilisateur pour voir s'il correspond à une entrée explicite. La LCA vérifie tous les noms d'utilisateur correspondants. A titre d'exemple, Sandra E Cordier/Ouest/Audimatique/FR correspondrait aux entrées Sandra E Cordier/Ouest/Audimatique/FR et Sandra E Cordier. Si deux entrées distinctes correspondant à une même personne sont définies avec plusieurs niveaux d'accès (par exemple, appliqués à un moment ou à un autre par différents administrateurs), l'utilisateur qui essaie d'accéder à la base bénéficie du plus haut niveau d'accès ainsi que de l'ensemble des privilèges des deux entrées.

  Remarque : Si vous entrez uniquement le nom usuel dans la LCA (par exemple, Sandra E Cordier), cette entrée n'a une correspondance que si le nom d'utilisateur et le serveur de la base se trouvent dans la même hiérarchie de domaine. Par exemple, si l'utilisateur est Sandra E Cordier, dont le nom hiérarchique est Sandra E Cordier/Ouest/Audimatique, et que le serveur de la base est Fabrication/UsineCie, l'entrée Sandra E Cordier ne dispose pas du niveau d'accès approprié pour les LCA du serveur Fabrication/UsineCie. Vous devez entrer le nom au format hiérarchique complet pour que l'utilisateur dispose du niveau d'accès adéquat pour les LCA des serveurs d'autres domaines.

• Si la LCA ne trouve pas de correspondance au nom d'utilisateur, elle vérifie qu'il en existe une pour une entrée de nom de groupe. Dans le cas où une personne essayant d'accéder à la base correspond à plusieurs entrées de groupe (si, par exemple, elle est membre de Ventes et qu'il existe deux entrées de groupe correspondantes, Ventes Audimatique et Responsables ventes), elle bénéficie du plus haut niveau d'accès ainsi que de l'ensemble des privilèges accordés aux deux entrées.

  Remarque : Si l'utilisateur correspond à une entrée explicite de la LCA et qu'il est membre d'un groupe figurant également dans la LCA, cet utilisateur dispose systématiquement du niveau d'accès attribué à l'entrée explicite, même si le niveau d'accès du groupe est plus élevé.

• Si la LCA ne trouve aucune correspondance avec le nom de groupe, elle essaie de voir s'il est possible d'en établir une avec une entrée comportant un caractère générique. Si la personne essayant d'accéder à la base correspond à plusieurs entrées avec un caractère générique, elle bénéficie du plus haut niveau d'accès ainsi que de l'ensemble des privilèges accordés aux entrées correspondantes comportant un caractère générique.
• Si une entrée de groupe et une entrée contenant un caractère générique s'appliquent à un utilisateur tentant d'accéder à la base, l'utilisateur se voit octroyer l'accès attribué à l'entrée de groupe. Par exemple, si le groupe Ventes dispose d'un accès Lecteur et que l'entrée à caractère générique */Ouest/Audimatique bénéficie d'un accès Gestionnaire alors que les deux entrées s'appliquent à l'utilisateur, ce dernier dispose alors d'un accès Lecteur à la base de documents.
• Enfin, s'il est impossible d'établir une correspondance avec les entrées de la LCA de la base, la personne bénéficie du niveau d'accès défini pour l'entrée -Default-.

Tâches associées
Niveau d'accès maximal à Internet via l'authentification par nom et mot de passe
Création et modification de groupes
Ajout d'une autre langue et d'un nom à un ID utilisateur
Pour configurer une LCA de base

Commentaires Aide ou Convivialité du produit ?

Aide sur l'aide

Tout le contenu de l'aide

Commentaires Aide ou Convivialité ?

Aide sur l'aide