Aide d'IBM Domino 9.0.1 Social Edition Administrator

SÉCURISATION

Restriction de l'accès administrateur
Vous pouvez spécifier des niveaux d'accès différents pour chacun des types d'administrateurs de votre organisation. Par exemple, vous souhaitez peut-être donner un accès "administrateur système" à quelques personnes seulement, alors que tous les administrateurs de votre équipe sont des administrateurs de base.

Pourquoi et quand exécuter cette tâche

Les droits d'accès administrateur sont attribués de façon hiérarchique. La hiérarchie des droits s'organise comme suit :

Administrateurs avec accès total : dispose de tous les droits et privilèges associés à tous les niveaux d'accès administrateur énumérés.
Administrateurs : dispose de tous les droits et privilèges attribués à l'administrateur de bases de documents et à l'administrateur de console (mais pas à l'administrateur système).
Administrateurs de console à distance : dispose des droits et privilèges associés à l'administrateur de console, en consultation uniquement (mais pas à l'administrateur système).
Administrateurs système : dispose des droits et privilèges associés à l'administrateur système à accès limité.

Vous n'avez pas besoin de répertorier chaque utilisateur individuellement dans chaque champ. L'ajout d'un utilisateur disposant du plus haut niveau d'accès administrateur confère automatiquement à cet utilisateur tous les droits des niveaux d'accès plus restreints situés à des niveaux inférieurs de la hiérarchie.

Pour limiter l'accès administrateur

Procédure

1. Dans Domino Administrator, cliquez sur l'onglet Configuration, puis ouvrez le document Serveur.

2. Cliquez sur l'onglet Sécurité.

3. Renseignez un ou plusieurs champs de la section Administrateurs, puis enregistrez le document. Pour tous ces champs, vous pouvez spécifier des noms hiérarchiques individuels, des groupes et des caractères génériques (par exemple, */Ventes/Audimatique). Séparez les différentes entrées par des virgules.

Remarque :

A l'exception du champ

Administrators

, tous ces champs sont vides par défaut, ce qui signifie que personne n'a ces droits d'accès.

Tableau 1. Descriptions de des accès administrateur

Champ Action

Administrateurs avec accès total Entrez le nom des administrateurs disposant d'un accès total à l'administration du serveur. Il s'agit du droit d'administration le plus élevé.

Administrateurs Entrez le nom des administrateurs autorisés à administrer le serveur. La valeur par défaut de ce champ est le nom de l'administrateur qui a configuré le serveur. Les administrateurs énumérés ci-dessous ont les droits suivants :

Droits d'accès Gestionnaire à la base de documents Web Administrator (WEBADMIN.NSF).
Droits de création, de mise à jour et de suppression de liens vers un dossier ou une base ;
Droits de création, de mise à jour et de suppression des LCA de lien de répertoire ;
Droits de compression et de suppression des bases de documents ;
Droits de création, de mise à jour et de suppression des index documentaires ;
Droits de création de bases de documents, de répliques et de modèles maîtres ;
Droits d'obtention et de définition de certaines options de base (par exemple, en/hors service, quotas de base, etc.) ;
Droits d'utilisation du suivi des messages et des objets ;
Droits d'utilisation de la console pour administrer à distance les serveurs UNIX™ ;
Droits d'émission de commande de console à distance.

Remarque : Si vous utilisez le contrôleur de serveur (Java™) et entrez un nom de groupe dans ce champ, le groupe doit avoir le type de groupe Multifonction afin que les noms d'administrateurs s'affichent dans le champ Administrateurs.
Remarque : Dans le cas de Domino 6.0 et versions ultérieures, si la variable Server_Restricted du fichier NOTES.INI est utilisée pour limiter l'accès au serveur, les administrateurs peuvent néanmoins ouvrir les bases de documents du serveur.

Administrateurs de base Entrez les noms des administrateurs en charge de l'administration des bases sur le serveur. Les administrateurs de bases ne se voient pas automatiquement attribuer un accès Gestionnaire aux bases du serveur et n'ont pas non plus accès à la base Web Administrator. Les utilisateurs énumérés ci-dessous ont uniquement les droits suivants :

Droits de création, de mise à jour et de suppression de liens vers un dossier ou une base ;
Droits de création, de mise à jour et de suppression des LCA de lien de répertoire ;
Droits de compression et de suppression des bases de documents ;
Droits de création, de mise à jour et de suppression des index documentaires ;
Droits de création de bases de documents, de répliques et de modèles maîtres ;
Droits d'obtention et de définition de certaines options de base (par exemple, en/hors service, quotas de base, etc.).

Administrateurs de console à distance Entrez le nom des administrateurs autorisés à utiliser la console à distance pour émettre des commandes au serveur.

Administrateurs en consultation uniquement Entrez le nom des administrateurs autorisés à utiliser la console à distance pour émettre les commandes apportant des informations d'état sur le système, telles que SHOW TASKS et SHOW SERVER.
Les administrateurs en consultation uniquement ne peuvent pas émettre de commandes affectant le fonctionnement du serveur.

Administrateur système Entrez le nom des administrateurs autorisés à exécuter un ensemble de commandes de système d'exploitation sur le serveur.
Le type et la gamme de commandes dépendent du système d'exploitation du serveur. Par exemple, les administrateurs d'un serveur Linux™ seraient capables de n'émettre que des commandes Linux.
Remarque : Cette fonction requiert que vous exécutiez le contrôleur du serveur Domino sur la machine du serveur.

Administrateur système à accès limité Entrez le nom des administrateurs autorisés à émettre les commandes de système d'exploitation répertoriées dans le champ Commandes système à accès limité.
Remarque : Cette fonction requiert que vous exécutiez le contrôleur du serveur Domino sur la machine du serveur.

Commandes système à accès limité Entrez le sous-ensemble de commandes de système d'exploitation pouvant être émis par l'administrateur système à accès limité. Le type et la gamme de commandes dépendent du système d'exploitation du serveur et des tâches que les administrateurs système à accès limité doivent exécuter.
Par exemple, vous voulez sans doute qu'un administrateur système à accès limité gère les files d'impression UNIX. Entrez les commandes UNIX pour gérer les files d'impression dans ce champ. Toutes les personnes dont vous entrez le nom dans le champ Administrateur système à accès limité auront accès à ces commandes uniquement.

Administrer le serveur à partir d'un navigateur (obsolète depuis Domino 6) Ce paramètre s'applique uniquement aux serveurs pré-Notes 6 pour garantir la compatibilité ascendante. Le client Domino Web Administrator fonctionne uniquement avec des serveurs Domino 6 (et versions ultérieures). Lorsqu'un annuaire Domino du domaine existant est mis à niveau de Domino 5 vers une version ultérieure, les serveurs qui ne sont pas mis à niveau doivent conserver ce paramètre dans leurs documents Serveur pour pouvoir utiliser des versions antérieures de l'outil Web Administrator.

Résultats

ATTENTION : Les administrateurs enregistrés dans les champs Administrateurs avec accès total, Administrateurs et Administrateurs de bases de l'onglet Sécurité d'un document Serveur sont autorisés à supprimer n'importe quelle base de ce serveur, même s'ils ne sont pas répertoriés comme gestionnaires dans la LCA de la base.

Administrateurs avec accès total

Pourquoi et quand exécuter cette tâche

Un administrateur avec accès total possède le plus haut niveau d'accès administrateur au serveur. Le mode administrateur avec accès total annule la nécessité d'exécuter un client Notes localement sur un serveur. La définition d'un accès administrateur complet résout tous les problèmes de contrôle d'accès susceptibles de se produire lorsque les seuls gestionnaires d'une LCA de base ont quitté une organisation.

Les administrateurs avec accès total énumérés ci-dessous ont les droits suivants :

Tous les droits accordés aux administrateurs à chaque niveau d'accès (voir tableau 1).
Un accès Gestionnaire, comprenant tous les droits d'accès, à toutes les bases de documents du serveur, quels que soient les paramètres LCA de la base.
Remarque : Les rôles LCA doivent toujours être activés manuellement dans le cas des administrateurs avec accès total.
Un accès Gestionnaire, comprenant tous les rôles et les droits d'accès, à la base Web Administrator (WEBADMIN.NFS) ;
Un accès à tous les documents de toutes les bases de documents, quel que soit le paramétrage des champs Noms de lecteur ;
La possibilité de créer des agents qui s'exécutent en mode non restreint avec des droits d'administration totaux ;
Un accès à toutes les données non chiffrées du serveur.
Remarque : L'administrateur avec accès total n'a pas d'autorisation d'accès aux données chiffrées. L'utilisation de la clé privée de l'utilisateur spécifié est requise pour déchiffrer des documents qui sont chiffrés avec des clés publiques. De même, une clé secrète est requise pour déchiffrer des documents avec des clés secrètes.

Activation du niveau d'accès administrateur avec accès total

Pourquoi et quand exécuter cette tâche

Pour travailler en mode Administrateur avec accès total, un administrateur doit :

Utiliser le client Domino Administrator.
Etre répertorié dans le champ Administrateurs avec accès total de la section Administrateurs de l'onglet Sécurité du document Serveur. Par défaut, ce champ est vide.
Activer le mode Accès complet aux fonctions d'administration dans le client Administrator en sélectionnant Administration -> Accès complet aux fonctions d'administration. Si ce mode n'est pas activé, les utilisateurs n'auront pas un accès administrateur total au serveur, même s'ils sont répertoriés en tant qu'administrateur avec accès total dans le document Serveur. A la place, ils se voient attribuer des droits d'administrateur.

Lorsque le mode Administrateur avec accès total est activé, le titre de la fenêtre du client, le titre de l'onglet et la barre d'état l'indiquent. Ces indications ont pour objectif de rappeler à l'utilisateur qu'il dispose du niveau de droits le plus élevé sur le serveur et de l'inviter à la prudence dans ses opérations.

Si un administrateur active le mode d'administration avec accès total dans le client Administrator, ce mode est également activé dans Domino Designer et dans les clients Notes. L'accès complet de l'administrateur est également reflété dans les titres de fenêtre, d'onglet et dans les barres d'état.

Si un utilisateur tente de passer au mode d'administrateur avec accès total mais qu'il n'est pas répertorié en tant que tel dans le document Serveur, l'utilisateur se voit refuser l'accès total et un message apparaît dans la barre d'état et sur la console du serveur. Le client adopte le mode d'accès total, mais l'utilisateur n'hérite pas d'un accès administrateur total à ce serveur. Si l'utilisateur tente de passer d'un serveur à un autre, son niveau d'accès est vérifié sur le document Serveur du serveur auquel il essaie d'accéder.

Désactivation du mode administrateur avec accès total

Vous pouvez désactiver le champ Administrateurs avec accès total en définissant le paramètre SECURE_DISABLE_FULLADMIN = 1 dans le fichier NOTES.INI. Ce paramètre désactive les droits d'administrateur avec accès total et remplace tous les noms répertoriés dans ce champ dans le document Serveur. Seul un utilisateur ayant physiquement accès au serveur et pouvant éditer le fichier NOTES.INI de celui-ci peut configurer ce paramètre NOTES.INI. Ce paramètre ne peut pas être défini à l'aide de la console du serveur, ni de la console à distance, ni depuis le document Serveur.

Options de gestion du mode administrateur avec accès total

Pourquoi et quand exécuter cette tâche

Il existe différentes façons de donner un accès complet à un administrateur.

Créez un fichier ID d'administration totale spécial : par exemple, Administration totale/Ventes/Audimatique et ne rentrez ce nom que dans le champ Administrateurs avec accès total. Vous devez alors vous connecter avec cet ID d'utilisateur ou passer à cet ID d'utilisateur afin d'obtenir ce niveau d'accès. Vous pouvez éventuellement configurer ce fichier ID pour demander plusieurs mots de passe.
Créez un certificateur de niveau OU (unité subordonnée) pour attribuer un accès administrateur total et créez des ID supplémentaires pour les administrateurs accrédités (par exemple, Jeanne Admin/Administration totale/Audimatique.
Laissez le champ Administrateurs avec accès total vide. Ajoutez le nom d'une personne accréditée pour les situations d'urgence et supprimez-le lorsque la situation a été résolue.
Renseignez le champ Administrateurs avec accès total avec quelques administrateurs accrédités.

Vous pouvez également effectuer le suivi de l'utilisation de cette fonction :

Configurez le descripteur d'événement pour envoyer une notification à l'aide du fichier EVENTS4.NSF lorsque l'option Accès complet aux fonctions d'administration est appelée.
Toute activité de base effectuée à l'aide de l'accès administrateur total est enregistrée dans le journal d'activité de la base, dans les propriétés de la base de documents.
L'utilisation de cette fonction est consignée par le serveur.

Concepts associés
Contrôleur de serveur et console Domino

Tâches associées
Attribution de l'accès à Web Administrator à d'autres administrateurs

Référence associée
Server_Restricted

Commentaires Aide ou Convivialité du produit ?

Aide sur l'aide

Tout le contenu de l'aide

Commentaires Aide ou Convivialité ?

Aide sur l'aide

Tout le contenu de l'aide

Champ	Action
Administrateurs avec accès total	Entrez le nom des administrateurs disposant d'un accès total à l'administration du serveur. Il s'agit du droit d'administration le plus élevé.
Administrateurs	Entrez le nom des administrateurs autorisés à administrer le serveur. La valeur par défaut de ce champ est le nom de l'administrateur qui a configuré le serveur. Les administrateurs énumérés ci-dessous ont les droits suivants : Droits d'accès Gestionnaire à la base de documents Web Administrator (`WEBADMIN.NSF`). Droits de création, de mise à jour et de suppression de liens vers un dossier ou une base ; Droits de création, de mise à jour et de suppression des LCA de lien de répertoire ; Droits de compression et de suppression des bases de documents ; Droits de création, de mise à jour et de suppression des index documentaires ; Droits de création de bases de documents, de répliques et de modèles maîtres ; Droits d'obtention et de définition de certaines options de base (par exemple, en/hors service, quotas de base, etc.) ; Droits d'utilisation du suivi des messages et des objets ; Droits d'utilisation de la console pour administrer à distance les serveurs UNIX™ ; Droits d'émission de commande de console à distance. Remarque : Si vous utilisez le contrôleur de serveur (Java™) et entrez un nom de groupe dans ce champ, le groupe doit avoir le type de groupe Multifonction afin que les noms d'administrateurs s'affichent dans le champ Administrateurs. Remarque : Dans le cas de Domino 6.0 et versions ultérieures, si la variable `Server_Restricted` du fichier `NOTES.INI` est utilisée pour limiter l'accès au serveur, les administrateurs peuvent néanmoins ouvrir les bases de documents du serveur.
Administrateurs de base	Entrez les noms des administrateurs en charge de l'administration des bases sur le serveur. Les administrateurs de bases ne se voient pas automatiquement attribuer un accès Gestionnaire aux bases du serveur et n'ont pas non plus accès à la base Web Administrator. Les utilisateurs énumérés ci-dessous ont uniquement les droits suivants : Droits de création, de mise à jour et de suppression de liens vers un dossier ou une base ; Droits de création, de mise à jour et de suppression des LCA de lien de répertoire ; Droits de compression et de suppression des bases de documents ; Droits de création, de mise à jour et de suppression des index documentaires ; Droits de création de bases de documents, de répliques et de modèles maîtres ; Droits d'obtention et de définition de certaines options de base (par exemple, en/hors service, quotas de base, etc.).
Administrateurs de console à distance	Entrez le nom des administrateurs autorisés à utiliser la console à distance pour émettre des commandes au serveur.
Administrateurs en consultation uniquement	Entrez le nom des administrateurs autorisés à utiliser la console à distance pour émettre les commandes apportant des informations d'état sur le système, telles que SHOW TASKS et SHOW SERVER. Les administrateurs en consultation uniquement ne peuvent pas émettre de commandes affectant le fonctionnement du serveur.
Administrateur système	Entrez le nom des administrateurs autorisés à exécuter un ensemble de commandes de système d'exploitation sur le serveur. Le type et la gamme de commandes dépendent du système d'exploitation du serveur. Par exemple, les administrateurs d'un serveur Linux™ seraient capables de n'émettre que des commandes Linux. Remarque : Cette fonction requiert que vous exécutiez le contrôleur du serveur Domino sur la machine du serveur.
Administrateur système à accès limité	Entrez le nom des administrateurs autorisés à émettre les commandes de système d'exploitation répertoriées dans le champ Commandes système à accès limité. Remarque : Cette fonction requiert que vous exécutiez le contrôleur du serveur Domino sur la machine du serveur.
Commandes système à accès limité	Entrez le sous-ensemble de commandes de système d'exploitation pouvant être émis par l'administrateur système à accès limité. Le type et la gamme de commandes dépendent du système d'exploitation du serveur et des tâches que les administrateurs système à accès limité doivent exécuter. Par exemple, vous voulez sans doute qu'un administrateur système à accès limité gère les files d'impression UNIX. Entrez les commandes UNIX pour gérer les files d'impression dans ce champ. Toutes les personnes dont vous entrez le nom dans le champ Administrateur système à accès limité auront accès à ces commandes uniquement.
Administrer le serveur à partir d'un navigateur (obsolète depuis Domino 6)	Ce paramètre s'applique uniquement aux serveurs pré-Notes 6 pour garantir la compatibilité ascendante. Le client Domino Web Administrator fonctionne uniquement avec des serveurs Domino 6 (et versions ultérieures). Lorsqu'un annuaire Domino du domaine existant est mis à niveau de Domino 5 vers une version ultérieure, les serveurs qui ne sont pas mis à niveau doivent conserver ce paramètre dans leurs documents Serveur pour pouvoir utiliser des versions antérieures de l'outil Web Administrator.