Listas de controle de acesso (ACLs) de LDAP

Em muitos casos, provavelmente não gostaria de limitar o acesso a dados existentes no servidor de diretórios de LDAP.  Por exemplo, um servidor de LDAP existente na Intranet da empresa poderia conter uma lista telefônica dos empregados da empresa.  É provável que gostasse que todos os empregados pudessem ver os dados desta lista telefônica.  No entanto, imagine que o presidente da empresa não quer que todos os empregados tenham acesso ao seu número de telefone.  Nesse caso, poderia criar uma lista de controle de acesso (ACL).  Com esta ACL, poderia limitar o acesso a essa entrada do servidor apenas aos empregados cujas chamadas o presidente estivesse interessado em receber.

Com as ACLs, pode controlar os utilizadores que têm autoridade para adicionar e eliminar objetos de diretório.  Pode igualmente especificar se os utilizadores podem ou não ler, escrever, procurar e comparar atributos de diretório.  As ACLs podem ser herdadas ou explícitas.  Ou seja, pode utilizar ACLs de uma das seguintes formas:

• Configurar explicitamente uma ACL para um objeto específico.
• Especificar que os objetos herdam ACLs de objetos que se encontrem em níveis superiores da hierarquia de diretórios de LDAP.

Talvez o presidente do exemplo anterior não pretendesse que todos os empregados tivessem acesso ao seu número de telefone.  No entanto, gostaria que todos os gestores lhe pudessem ter acesso.  Nesse caso, poderia utilizar um Grupo de ACL para simplificar a concessão de autoridade aos gestores.  Os grupos de ACL permitem-lhe conceder acesso a grupos específicos de utilizadores em vez de conceder autoridade individualmente. Isto é particularmente útil se o mesmo grupo de pessoas necessitar de ter acesso a mais do que um conjunto de objetos.  Se, por exemplo, os mesmos gestores que tinham acesso ao número de telefone do presidente necessitassem, mais tarde, de aceder a entradas relativas a salários, poderia voltar a utilizar o grupo de ACL.

Modelos ACL

Todas as versões do Directory Services suportam um modelo de permissões de nível de classe de acesso.  Neste modelo, cada tipo de atributo de LDAP tem uma classificação de "Normal", "Sensível" ou "Crítica".  São os arquivos esquemas de atributos que controlam estas classificações.  Ao adicionar um utilizador a uma ACL do objeto, especifica as classificações que o utilizador pode ler, escrever, procurar e comparar.  Na maior parte dos esquemas, o número de telefone seria classificado como um atributo "Normal".  Deste modo, para permitir o acesso dos gestores do exemplo anterior ao número de telefone do presidente, atribuir-lhes-ia acesso de leitura aos atributos "Normal" do objeto da lista telefônica do presidente. Continuariam a não ter acesso a informações "Sensíveis" e "Críticas".  Todas as versões do Directory Services suportam a definição de permissões de nível de classe de acesso.

A partir da V5R1, o Directory Services também suporta o modelo de permissões de nível de atributo.  Neste modelo, poderá especificar as autoridades de leitura, escrita, pesquisa e comparação para atributos específicos, independentemente da sua classe de acesso.  Considere novamente o exemplo anterior.  No modelo de permissões de nível de atributo, poderá atribuir aos gerentes acesso de leitura ao atributo número de telefone, mesmo que eles normalmente não tenham acesso aos atributos "Normais".

O modelo de permissões de nível de atributo só é compatível com os servidores SecureWay Directory Services versão 3.2 e superior.  Por predefinição, não está ativado.  Tem a possibilidade de o ativar quando trabalhar com ACLs.  Depois de ativado, o modelo só poderá ser desativado através da reconfiguração do servidor e do restauro da base de dados do diretório.  Antes de se decidir a ativar este modelo, lembre-se de que não o poderá administrar a partir de qualquer cliente LDAP V2 (incluindo as versões pré-V5R1 do Operations Navigator) e de que tentar fazê-lo poderá danificar as entradas da ACL.

Valores especiais da ACL

Inicialmente, todos os objetos do servidor de diretórios do Directory Services têm uma ACL que contém um grupo de ACL especial, NC=Alguém, que inclui todos os utilizadores do diretório.  Por predefinição, este grupo tem acesso de leitura, procura e comparação aos atributos de classe normal de todos os objetos.

Pode desejar que alguns objetos tenham as mesmas permissões de acesso para todos os utilizadores ligados ao servidor de diretórios através de uma ligação que não seja anônima.  Para o fazer, utilize o grupo especial de listas para o controle de acesso (ACL) cn=Authenticated.

Para especificar quais as permissões de acesso que um objeto pode ter, utilize o DN especial cn=this. Isto permite que as entradas descendentes que herdam as suas ACLs sejam autorizadas automaticamente a efetuar operações nos respectivos objetos.

Informações adicionais

Para administrar ACLs através do Operations Navigator, não necessita de saber os detalhes sobre o modo como o Directory Services implementa as ACLs.  No entanto, se pretender especificar atributos relacionados com ACLs quando utilizar arquivos de LDIF ou pretender utilizar ACLs com os utilitários de linha de comandos de LDAP, terá de se familiarizar com os atributos utilizados pelas ACLs.