Module AACLs

Remarque préalable

Le mandataire AACLs est un backend OpenLDAP mais ne fait pas partie du projet OpenLDAP (http://www.openldap.org).

OpenLDAP est une marque déposée de la fondation OpenLDAP.

Présentation

Les AACLs sont des droits d'accès avancés à un annuaire LDAP standard (compatible LDAPv3). Il s'agit d'un mandataire (technologie OpenLDAP avec code spécifique InterLDAP) situé entre l'annuaire d'entreprise et les clients (ou applications clientes) LDAP. Pour profiter pleinement des fonctionnalités des AACLs, le client doit connaître les opérations étendues (extended) suivantes :

  • Reloadaacls : permet de recharger les AACLs en mémoire.
  • Testmodify : permet de savoir si l'attribut cible est accessible en écriture.
  • Testcreate : permet de savoir si l'entrée cible est accessible en création (non implémentée).
  • Testdelete : permet de savoir si l'entrée cible est accessible en suppression (non implémentée).
Cependant, le mandataire AACLs réagit parfaitement à un client LDAP standard, appliquant un masque en lecture ou en écriture sur les données de l'annuaire d'entreprise.

DIA_20061206_Architecture_AACLS_fr_V1

Qu'est-ce qu'un droit d'accès avancé ?

Ce droits permettent de définir des règles complexes à même de respecter des règles hiérarchiques et organisationnelles. Par exemple :

  • Un chef de structure peut modifier les personnes de sa structure sauf s'ils appartiennent à un second service hiérarchiquement supérieur.
  • Une secrétaire peut modifier les coordonnées des contacts de son supérieur hiérarchique.
  • Une application peut consulter les profils de tous les services d'une branche, sauf des administrateurs de ces services.
Exprimer ces relations avec les droits d'accès standards est très complexe, voire impossible. Surtout que les fiches des personnes sont souvent déclarées dans des branches (ou des annuaires) différents de la branche des services, des structures, des groupes, etc. Le mandataire AACLs permet de définir ces relations sous forme d'attributs LDAP, et donc de faciliter leur administration (un simple navigateur LDAP suffit).

Documentations