DokuWiki

It's better when it's simple

Outils pour utilisateurs

Outils du site


fr:acl

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
fr:acl [2016-02-20 15:50] – [Les ACLs par l'exemple] Digitalinfr:acl [2020-08-20 14:08] (Version actuelle) – [Listes de contrôle d'accès (ACL)] acronyme sans accord. et il n'existe qu'une liste schplurtz
Ligne 1: Ligne 1:
-:!: Page en cours de mise à jour - Ce qui n'est pas encore traduit est laissé en anglais. Vous pouvez aussi vous reporter à  la [[acl|page d'origine]] en anglais. 
- 
 ====== Liste de contrôle d'accès (ACL) ====== ====== Liste de contrôle d'accès (ACL) ======
-[[DokuWiki]] - comme la plupart des wikis - est très ouvert par défaut. Chacun peut y créer, éditer et effacer des pages. Toutefois  il est compréhensible parfois de limiter l'accès à certaines ou à toutes les pages. C'est alors que les //listes de contrôle d'accès// (ACL) jouent leur rôle. Cette page vous livre une vue d'ensemble du fonctionnement des ACLs dans DokuWiki et sa configuration. 
  
 +[[DokuWiki]] - comme la plupart des wikis - est très ouvert par défaut. Chacun peut y créer, éditer et effacer des pages. Toutefois  il est compréhensible parfois de limiter l'accès à certaines ou à toutes les pages. C'est alors que la //liste de contrôle d'accès// (ACL) joue son rôle. Cette page vous livre une vue d'ensemble du fonctionnement de l'ACL dans DokuWiki et sa configuration.
 +
 +{{:aclexample.png?​400}}
  
  
 ===== Configuration générale ===== ===== Configuration générale =====
  
-Les ACLs peuvent être activés à l'installation et une politique initiale minimale est créée à ce moment là. +Les ACLs peuvent être activés à l'installation et une politique initiale minimale est créée à ce moment là. Tout peut être dorénavant configuré par interface graphique dans le gestionnaire de la liste des contrôles d'accès.  
-Tout peut être dorénavant configuré par interface graphique dans le gestionnaire de la liste des contrôles d'accès.  +Cependant, vous pouvez activer manuellement les ACLs dans DokuWiki. Pour cela, veuillez configurer le paramètre [[fr:config:useacl]] dans le gestionnaire des paramètres de configuration. Puis renommez ou copiez simplement les fichiers d’exemple ''conf/acl.auth.php.dist'' et  ''conf/users.auth.php.dist'' en respectivement ''conf/acl.auth.php'' et  ''conf/users.auth.php''. et la page de procédure de connexion devrait fonctionner.
-Cependant, vous pouvez activer manuellement les ACL dans DokuWiki. Pour cela, veuillez configurer le paramètre [[fr:config:useacl]] dans le gestionnaire des paramètres de configuration. Puis renommez ou copiez simplement les fichiers d’exemple ''conf/acl.auth.php.dist'' et  ''conf/users.auth.php.dist'' en respectivement ''conf/acl.auth.php'' et  ''conf/users.auth.php''. et la page de procédure de connexion devrait fonctionner.+
  
  
Ligne 17: Ligne 16:
 Il y a quelques options supplémentaires de configuration qui permettent le contrôle d'autres aspects des ACLs mais beaucoup trouveront les configurations par défaut satisfaisantes. Il y a quelques options supplémentaires de configuration qui permettent le contrôle d'autres aspects des ACLs mais beaucoup trouveront les configurations par défaut satisfaisantes.
  
-  * Paramètre de configuration [[fr:config:useacl]] -- active les ACL. Un bouton ''S'identifier'' apparaît.  +  * Paramètre de configuration [[fr:config:useacl]] -- active les ACLs. Un bouton ''S'identifier'' apparaît.  
-  * Paramètre de configuration [[fr:config:superuser]] -- active le super-utilisateur avec tous les droits ACL.+  * Paramètre de configuration [[fr:config:superuser]] -- active le super-utilisateur avec tous les droits ACLs.
   * Paramètre de configuration [[fr:config:disableactions]] -- interdit l’enregistrement des utilisateurs.   * Paramètre de configuration [[fr:config:disableactions]] -- interdit l’enregistrement des utilisateurs.
   * Paramètre de configuration [[fr:config:defaultgroup]] -- Groupe par défaut dans lequel les nouveaux utilisateurs. sont ajoutés.   * Paramètre de configuration [[fr:config:defaultgroup]] -- Groupe par défaut dans lequel les nouveaux utilisateurs. sont ajoutés.
Ligne 25: Ligne 24:
   * [[fr:faq:regdisable|FAQ: Comment désactiver l'inscription libre des utilisateurs ?]]   * [[fr:faq:regdisable|FAQ: Comment désactiver l'inscription libre des utilisateurs ?]]
  
-:!: **Sécurité:** La fonctionnalité des ACL est présente dans DokuWiki depuis longtemps et s'avère plutôt stable. Pour la sécurité de vos données, ne mettez jamais des //informations sensibles// dans votre wiki qui sont, malgré la robustesse des ACL, potentiellement accessibles par internet. +:!: **Sécurité:** La fonctionnalité des ACLs est présente dans DokuWiki depuis longtemps et s'avère plutôt stable. Pour la sécurité de vos données, ne mettez jamais des //informations sensibles// dans votre wiki qui sont, malgré la robustesse des ACLs, potentiellement accessibles par internet. 
  
 ===== Accès aux restrictions ===== ===== Accès aux restrictions =====
Ligne 46: Ligne 45:
   * **@user.** Tous les utilisateurs qui se sont enregistrés sont automatiquement membres du groupe « user »  par défaut. Utilisez-le pour attribuer des privilèges aux utilisateurs connectés. Le nom de ce groupe est configuré avec l'option [[fr:config:defaultgroup|defaultgroup]]. Contrairement au groupe virtuel  « ALL » , le groupe « user » est un vrai groupe auquel tous les utilisateurs sont ajoutés automatiquement en utilisant l’authentification en mode texte. Si vous utilisez un autre mode d’authentification vous aurez besoin d'utiliser les groupes fournis par ce mode.   * **@user.** Tous les utilisateurs qui se sont enregistrés sont automatiquement membres du groupe « user »  par défaut. Utilisez-le pour attribuer des privilèges aux utilisateurs connectés. Le nom de ce groupe est configuré avec l'option [[fr:config:defaultgroup|defaultgroup]]. Contrairement au groupe virtuel  « ALL » , le groupe « user » est un vrai groupe auquel tous les utilisateurs sont ajoutés automatiquement en utilisant l’authentification en mode texte. Si vous utilisez un autre mode d’authentification vous aurez besoin d'utiliser les groupes fournis par ce mode.
  
-Les groupes sont représentés en interne et dans le gestionnaire des contrôles d'accès (ACL) par un préfixe, le caractère: @ suivi du nom du groupe. Par exemple: @user+Les groupes sont représentés en interne et dans le gestionnaire des contrôles d'accès (ACLs) par un préfixe, le caractère: @ suivi du nom du groupe. Par exemple: @user
  
 ==== Configuration des ACLs ==== ==== Configuration des ACLs ====
  
-Pour facilement ajouter ou changer des permissions dans la liste de contrôles d'accès, rendez-vous via le menu Administrer dans la  Gestion de la liste des contrôles d'accès (ACL) dont vous trouverez le [[plugin:acl|détail ici]].+Pour facilement ajouter ou changer des permissions dans la liste de contrôles d'accès, rendez-vous via le menu Administrer dans la  Gestion de la liste des contrôles d'accès (ACLs) dont vous trouverez le [[plugin:acl|détail ici]].
  
 Pour ajouter une nouvelle règle, il y a essentiellement trois étapes: Pour ajouter une nouvelle règle, il y a essentiellement trois étapes:
Ligne 60: Ligne 59:
   - paramétrer la permission appropriée.    - paramétrer la permission appropriée. 
  
-Les règles existantes peuvent être modifiées ou supprimées en bas dans le tableau du gestionnaire de la liste des contrôles d'accès (ACL).+Les règles existantes peuvent être modifiées ou supprimées en bas dans le tableau du gestionnaire de la liste des contrôles d'accès (ACL)s.
  
 ==== Les ACLs par l'exemple==== ==== Les ACLs par l'exemple====
Ligne 75: Ligne 74:
   - En fait pas vraiment personne - tous les droits sont donnés aux membres du groupe ''devel''.   - En fait pas vraiment personne - tous les droits sont donnés aux membres du groupe ''devel''.
   - Et naturellement on donne les autorisations à l’utilisateur  ''bigboss'' aussi, qui est le seul à pouvoir supprimer des fichiers téléversés.   - Et naturellement on donne les autorisations à l’utilisateur  ''bigboss'' aussi, qui est le seul à pouvoir supprimer des fichiers téléversés.
-  - Cependant, l'équipe "devel ne veut pas que leur boss voit la page funstuff. Rappelez-vous que l'exacte correspondance explicite en droits d'une page surpasse les permissions supérieures d'un namespace.  +  - L'équipe ''marketing''l'autorisation de lire le contenu de l’espace de nom ''devel'', mais pas de le modifier. 
-  - Et pour finir, l'équipe marketing ont l'autorisation de modification de la page ''devel:marketing'' également.+  - L'équipe ''devel''  ne veut pas que leur boss voit la page funstuff. Rappelez-vous que l'exacte correspondance explicite en droits d'une page surpasse les permissions supérieures d'un namespace.  
 +  - Et pour finir, l'équipe ''marketing''l'autorisation de modification de la page ''devel:marketing''.
   - Les permissions pour l’espace de nom ''marketing'' sont fixées. Tous les membres du groupe ''marketing'' sont autorisés à  télécharger vers le serveur dans cet espace - les autres utilisateurs sont assignés par la ligne 1, ils sont limités à la création et à l’édition. L’utilisateur ''bigboss'' hérite de ses droits de la ligne 2 et peut aussi télécharger.   - Les permissions pour l’espace de nom ''marketing'' sont fixées. Tous les membres du groupe ''marketing'' sont autorisés à  télécharger vers le serveur dans cet espace - les autres utilisateurs sont assignés par la ligne 1, ils sont limités à la création et à l’édition. L’utilisateur ''bigboss'' hérite de ses droits de la ligne 2 et peut aussi télécharger.
   - La dernière ligne concerne la page ''start'' qui est autorisée en lecture seule pour tout le monde. Seuls, les super-utilisateurs seront toujours capables de modifier cette page.    - La dernière ligne concerne la page ''start'' qui est autorisée en lecture seule pour tout le monde. Seuls, les super-utilisateurs seront toujours capables de modifier cette page. 
Ligne 109: Ligne 109:
  
  
-Les restrictions d'accès sont archivées dans le fichier ''conf/acl.auth.php'', qui doit être accessible en écriture par le serveur web si vous voulez utiliser le gestionnaire de la liste des contrôles d'accès (ACL). Il n'est pas recommandé+Les restrictions d'accès sont archivées dans le fichier ''conf/acl.auth.php'', qui doit être accessible en écriture par le serveur web si vous voulez utiliser le gestionnaire de la liste des contrôles d'accès (ACLs). Il n'est pas recommandé
 d'éditer ce fichier manuellement. Il est préférable de passer par le menu d'administration. d'éditer ce fichier manuellement. Il est préférable de passer par le menu d'administration.
  
Ligne 118: Ligne 118:
     *Un niveau de permission (voir ci-dessous)     *Un niveau de permission (voir ci-dessous)
  
-Il y a 7 niveaux de permissions représentés par un nombre entier. Les plus hauts niveaux incluent ceux qui sont en dessous. Ainsi si vous avez l'autorisation de modifier, vous pouvez également lire. Cependant, l'autorisation //admin// de //255// ne peut pas être utilisée dans le fichier''conf/acl.auth.php''. C'est géré en interne selon l'option [[fr:config:superuser]].+Il y a 7 niveaux de permissions représentés par un nombre entier. Les plus hauts niveaux incluent ceux qui sont en dessous. Ainsi si vous avez l'autorisation de modifier, vous pouvez également lire. Cependant, l'autorisation //admin// de //255// ne peut pas être utilisée dans le fichier ''conf/acl.auth.php''. C'est géré en interne selon l'option [[fr:config:superuser]].
  
 ^ Nom     ^ Niveau  ^ s’applique à               ^ Permission                                                                                         ^ Constante Dokuwiki  ^ ^ Nom     ^ Niveau  ^ s’applique à               ^ Permission                                                                                         ^ Constante Dokuwiki  ^
Ligne 144: Ligne 144:
 </file> </file>
  
-----  +L'ordre dans ce fichier n'a aucune importance car le fichier est parcouru et analysé dans sa globalitéde manière complète à la recherche d'une correspondance permission utilisateur/page couranteQuand une correspondance est trouvée, la recherche s'arrête simplementSi aucune correspondance n'est trouvéeles permissions du groupe sur la page sont analysés et en l'absence d'un résultat positif, la vérification continue dans le prochain espace de noms au niveau supérieur.
-Please note that **order does not matter** in the file. The file is parsed as wholethen a perfect match for the current page/user combo is searched forWhen a match is found further matching is abortedIf no match is foundgroup permissions for the current page are checked. If no match is found the check continues in the next higher namespace.+
  
-:!: **Note:** To configure users or groups with special chars (like whitespacesyou need to URL escape themThis only applies to specialchars in the lower 128 byte rangeThe ACL file uses UTF-8 encoding so any multibytechars can be written as is.+:!: **Note:** Pour configurer des utilisateurs ou des groupes comportant des caractères spéciaux (comme des espaces blancs), vous devez échapper les caractères dans les chaines d'URL. Ceci ne concerne que les caractères spéciaux dans le bas de la plage des 128 octetsLe fichier ACLs utilise l'encodage UTF-8 de sorte que toute les caractères multi-octets peuvent être écrits.
  
-:!: **Note:** When using $conf['authtype'] = 'ad'; and groups names with spaces needing to be written in the acl.auth.php with a "%5f" replacing the spaces instead of "%20". This is because Group names with spaces are first converted into underscores "_" which are "%5f". 
  
-:!: **Note:** The delete permission affects media files onlyPages can be deleted (and restored) by everyone with at least edit permissionSomeone who has upload permissions but no delete permissions can not overwrite existing media files anymore.+:!: **Note:** Quand $conf['authtype'] = 'ad'; est utilisé et que les noms des groupes comportent des espaces blancs, le fichier acl.auth.php a besoin d'une conversion des espaces avec un "%5f" au lieu de "%20"Ceci parce que les espaces dans les noms de groupes sont convertis en premier avec le tiret bas "_" soit "%5f"  
  
-==== User Wildcards ==== 
  
-It is possible to use user and group wildcards in the ACLs. This can be useful for Wikis with many registered users, if you want to give each user or group a personal namespace where only he/she has write access, and you don't want to edit the ACLs for each of them. To accomplish that **''%USER%''** is replaced by the username of the currently logged in user and **''%GROUP%''** by all the groups of this user.+:!: **Note:** La permission d'effacement affecte les fichiers de médias seulement. Les pages peuvent être effacées (et restaurées) par chacun. Quelqu'un qui n'a que des permissions de téléchargement mais aucune permission d'effacement ne peut écraser les fichiers de médias existants.
  
-In the following example a logged-in user gains full access (upload/delete) permissions for the user's namespace ''user:<username>:*'' and revoke all access from other namespaces located in ''user:*''.+==== Motif de remplacement (Wildcard) pour les utilisateurs ==== 
 + 
 +Il est possible d'utiliser un motif de remplacement dans les ACLs. Cela s'avère très utile pour les wikis avec beaucoup d'utilisateurs enregistrés quand vous voulez donner à chaque utilisateur ou groupe un espace de noms personnel. Au lieu de donner des droits pour chacun d'entre eux, vous pouvez utiliser la variable **''%USER%''** qui sera remplacée à la volée au moment de l'authentification par le nom d'utilisateur (username) et la variable **''%GROUP%''** par celle du ou des groupes auxquels il appartient. 
 + 
 +Dans l'exemple suivant, un utilisateur authentifié obtient un privilège complet sur les permissions (upload/delete) pour l'espace de noms utilisateur ''user:<username>:*'' et révoque tous les accès à partir d'autres espaces de noms situés dans '' user: * ''.
  
-In this case logged-in user has access to own namespace only and have not access to users namespaces (even view names of namespaces) of other users.  
  
 <file> <file>
 # #
-Grant full access to logged in user's namespace+Accorde un accès complet aux utilisateurs dans :user
 user:%USER%:         %USER%  AUTH_DELETE user:%USER%:         %USER%  AUTH_DELETE
 # #
-Allow to browse own namespace via the index+Autorise la lecture dans son propre espace de noms et à naviguer via l'index
 user:                  %USER%  AUTH_READ user:                  %USER%  AUTH_READ
 # #
-Allow read only access to start page located in "user" namespace +Autorise la lecture seulement dans la page start située dans  :user
 user:start             %USER%  AUTH_READ user:start             %USER%  AUTH_READ
 # #
-Disable all access to user's home namespaces not owned by logged in user  +Désactive tous les accès à l'espace personnel dans l'espace de noms :user  
-(include view namespaces via the index+#au groupe @user lorsqu'ils ne sont pas authentifiés par la variable %USER%,  
 +# incluant la vue de l'index des pages et espaces de noms.
 user:                @user   AUTH_NONE user:                @user   AUTH_NONE
 # #
-Allow members of 'group' to edit pages in the 'group' namespace. +Autorise les membres de 'group' à modifier les pages dans l'espace de noms  
-# be carefulif you have a user namespaceall members of the default group  +'group'Soyez vigilantsi vous avez un espace de noms utilisateurs,  
-will gain access to it+tous les membres du groupe par défaut y auront accès.
 %GROUP%:              %GROUP% AUTH_EDIT %GROUP%:              %GROUP% AUTH_EDIT
 </file> </file>
  
-:!: **Note:** version 2009-12-25c "Lemming" has some caveatIf you addupdate or remove ACL entries from the admin interface then DokuWiki will replace %USER% in the second field of the ACL to ''%25USER%25'' (this is [[https://bugs.dokuwiki.org/index.php?do=details&task_id=1955|bug FS#1955]]). To avoid thischange permissions manually only (by editing: ''conf/acl.auth.php''or correct them manually after each operation in the admin interface because ''%25USER%25'' does not work as expected, only ''%USER%'' should be used in the ''conf/acl.auth.php''This bug is fixed in newer versions.+:!: **Note:** Avertissement pour la version 2009-12-25c "Lemming"Si vous ajoutezmettez à jour ou supprimer les entrées des ACLs depuis l'interface d'administration, DokuWiki remplacera %USER% dans le second champ des ACLs par ''%25USER%25'' (c'est un[[https://bugs.dokuwiki.org/index.php?do=details&task_id=1955|bug FS#1955]]). Pour l'éviterchanger manuellement les permissions (en éditant: ''conf/acl.auth.php''ou corrigez les manuellement après chaque changement dans l'interface d'administration car ''%25USER%25'' ne fonctionne pas comme attendu. Seul ''%USER%'' devrait être utilisé dans ''conf/acl.auth.php''Ce bug a été corrigé dans les plus récentes versions
 + 
 +:!: **Note:** Le motif de remplacement (wildcard) a changé en décembre 2008 de  @ à % -- si vous faîtes une mise à niveau à partir d'une ancienne version, vous devez modifier en conséquence vos paramètres dans les ACLs
  
-:!: **Note:** The wildcard changed from @ to % in December 2008 -- if you are upgrading from an older version you need to adjust your ACL setup accordingly. 
  
  ===== Credits =====   ===== Credits ===== 
  --- //[[philippe@bdsemin.com|Philippe LAPEYRIE]] 2006-05-19 00:12//\\  --- //[[philippe@bdsemin.com|Philippe LAPEYRIE]] 2006-05-19 00:12//\\
  --- //[[user>Digitalin|Digitalin]] 2016-02-20 15:23// Mise à jour  --- //[[user>Digitalin|Digitalin]] 2016-02-20 15:23// Mise à jour
 +
fr/acl.1455979839.txt.gz · Dernière modification : 2016-02-20 15:50 de Digitalin

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki