DokuWiki

It's better when it's simple

Outils pour utilisateurs

Outils du site


fr:acl

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
fr:acl [2016-03-31 12:03] Digitalinfr:acl [2020-08-20 14:08] (Version actuelle) – [Listes de contrôle d'accès (ACL)] acronyme sans accord. et il n'existe qu'une liste schplurtz
Ligne 1: Ligne 1:
 ====== Liste de contrôle d'accès (ACL) ====== ====== Liste de contrôle d'accès (ACL) ======
  
-[[DokuWiki]] - comme la plupart des wikis - est très ouvert par défaut. Chacun peut y créer, éditer et effacer des pages. Toutefois  il est compréhensible parfois de limiter l'accès à certaines ou à toutes les pages. C'est alors que les //listes de contrôle d'accès// (ACL) jouent leur rôle. Cette page vous livre une vue d'ensemble du fonctionnement des ACLs dans DokuWiki et sa configuration. +[[DokuWiki]] - comme la plupart des wikis - est très ouvert par défaut. Chacun peut y créer, éditer et effacer des pages. Toutefois  il est compréhensible parfois de limiter l'accès à certaines ou à toutes les pages. C'est alors que la //liste de contrôle d'accès// (ACL) joue son rôle. Cette page vous livre une vue d'ensemble du fonctionnement de l'ACL dans DokuWiki et sa configuration.
  
 +{{:aclexample.png?​400}}
  
  
 ===== Configuration générale ===== ===== Configuration générale =====
  
-Les ACLs peuvent être activés à l'installation et une politique initiale minimale est créée à ce moment là. +Les ACLs peuvent être activés à l'installation et une politique initiale minimale est créée à ce moment là. Tout peut être dorénavant configuré par interface graphique dans le gestionnaire de la liste des contrôles d'accès.  
-Tout peut être dorénavant configuré par interface graphique dans le gestionnaire de la liste des contrôles d'accès.  +Cependant, vous pouvez activer manuellement les ACLs dans DokuWiki. Pour cela, veuillez configurer le paramètre [[fr:config:useacl]] dans le gestionnaire des paramètres de configuration. Puis renommez ou copiez simplement les fichiers d’exemple ''conf/acl.auth.php.dist'' et  ''conf/users.auth.php.dist'' en respectivement ''conf/acl.auth.php'' et  ''conf/users.auth.php''. et la page de procédure de connexion devrait fonctionner.
-Cependant, vous pouvez activer manuellement les ACL dans DokuWiki. Pour cela, veuillez configurer le paramètre [[fr:config:useacl]] dans le gestionnaire des paramètres de configuration. Puis renommez ou copiez simplement les fichiers d’exemple ''conf/acl.auth.php.dist'' et  ''conf/users.auth.php.dist'' en respectivement ''conf/acl.auth.php'' et  ''conf/users.auth.php''. et la page de procédure de connexion devrait fonctionner.+
  
  
Ligne 17: Ligne 16:
 Il y a quelques options supplémentaires de configuration qui permettent le contrôle d'autres aspects des ACLs mais beaucoup trouveront les configurations par défaut satisfaisantes. Il y a quelques options supplémentaires de configuration qui permettent le contrôle d'autres aspects des ACLs mais beaucoup trouveront les configurations par défaut satisfaisantes.
  
-  * Paramètre de configuration [[fr:config:useacl]] -- active les ACL. Un bouton ''S'identifier'' apparaît.  +  * Paramètre de configuration [[fr:config:useacl]] -- active les ACLs. Un bouton ''S'identifier'' apparaît.  
-  * Paramètre de configuration [[fr:config:superuser]] -- active le super-utilisateur avec tous les droits ACL.+  * Paramètre de configuration [[fr:config:superuser]] -- active le super-utilisateur avec tous les droits ACLs.
   * Paramètre de configuration [[fr:config:disableactions]] -- interdit l’enregistrement des utilisateurs.   * Paramètre de configuration [[fr:config:disableactions]] -- interdit l’enregistrement des utilisateurs.
   * Paramètre de configuration [[fr:config:defaultgroup]] -- Groupe par défaut dans lequel les nouveaux utilisateurs. sont ajoutés.   * Paramètre de configuration [[fr:config:defaultgroup]] -- Groupe par défaut dans lequel les nouveaux utilisateurs. sont ajoutés.
Ligne 25: Ligne 24:
   * [[fr:faq:regdisable|FAQ: Comment désactiver l'inscription libre des utilisateurs ?]]   * [[fr:faq:regdisable|FAQ: Comment désactiver l'inscription libre des utilisateurs ?]]
  
-:!: **Sécurité:** La fonctionnalité des ACL est présente dans DokuWiki depuis longtemps et s'avère plutôt stable. Pour la sécurité de vos données, ne mettez jamais des //informations sensibles// dans votre wiki qui sont, malgré la robustesse des ACL, potentiellement accessibles par internet. +:!: **Sécurité:** La fonctionnalité des ACLs est présente dans DokuWiki depuis longtemps et s'avère plutôt stable. Pour la sécurité de vos données, ne mettez jamais des //informations sensibles// dans votre wiki qui sont, malgré la robustesse des ACLs, potentiellement accessibles par internet. 
  
 ===== Accès aux restrictions ===== ===== Accès aux restrictions =====
Ligne 46: Ligne 45:
   * **@user.** Tous les utilisateurs qui se sont enregistrés sont automatiquement membres du groupe « user »  par défaut. Utilisez-le pour attribuer des privilèges aux utilisateurs connectés. Le nom de ce groupe est configuré avec l'option [[fr:config:defaultgroup|defaultgroup]]. Contrairement au groupe virtuel  « ALL » , le groupe « user » est un vrai groupe auquel tous les utilisateurs sont ajoutés automatiquement en utilisant l’authentification en mode texte. Si vous utilisez un autre mode d’authentification vous aurez besoin d'utiliser les groupes fournis par ce mode.   * **@user.** Tous les utilisateurs qui se sont enregistrés sont automatiquement membres du groupe « user »  par défaut. Utilisez-le pour attribuer des privilèges aux utilisateurs connectés. Le nom de ce groupe est configuré avec l'option [[fr:config:defaultgroup|defaultgroup]]. Contrairement au groupe virtuel  « ALL » , le groupe « user » est un vrai groupe auquel tous les utilisateurs sont ajoutés automatiquement en utilisant l’authentification en mode texte. Si vous utilisez un autre mode d’authentification vous aurez besoin d'utiliser les groupes fournis par ce mode.
  
-Les groupes sont représentés en interne et dans le gestionnaire des contrôles d'accès (ACL) par un préfixe, le caractère: @ suivi du nom du groupe. Par exemple: @user+Les groupes sont représentés en interne et dans le gestionnaire des contrôles d'accès (ACLs) par un préfixe, le caractère: @ suivi du nom du groupe. Par exemple: @user
  
 ==== Configuration des ACLs ==== ==== Configuration des ACLs ====
  
-Pour facilement ajouter ou changer des permissions dans la liste de contrôles d'accès, rendez-vous via le menu Administrer dans la  Gestion de la liste des contrôles d'accès (ACL) dont vous trouverez le [[plugin:acl|détail ici]].+Pour facilement ajouter ou changer des permissions dans la liste de contrôles d'accès, rendez-vous via le menu Administrer dans la  Gestion de la liste des contrôles d'accès (ACLs) dont vous trouverez le [[plugin:acl|détail ici]].
  
 Pour ajouter une nouvelle règle, il y a essentiellement trois étapes: Pour ajouter une nouvelle règle, il y a essentiellement trois étapes:
Ligne 60: Ligne 59:
   - paramétrer la permission appropriée.    - paramétrer la permission appropriée. 
  
-Les règles existantes peuvent être modifiées ou supprimées en bas dans le tableau du gestionnaire de la liste des contrôles d'accès (ACL).+Les règles existantes peuvent être modifiées ou supprimées en bas dans le tableau du gestionnaire de la liste des contrôles d'accès (ACL)s.
  
 ==== Les ACLs par l'exemple==== ==== Les ACLs par l'exemple====
Ligne 75: Ligne 74:
   - En fait pas vraiment personne - tous les droits sont donnés aux membres du groupe ''devel''.   - En fait pas vraiment personne - tous les droits sont donnés aux membres du groupe ''devel''.
   - Et naturellement on donne les autorisations à l’utilisateur  ''bigboss'' aussi, qui est le seul à pouvoir supprimer des fichiers téléversés.   - Et naturellement on donne les autorisations à l’utilisateur  ''bigboss'' aussi, qui est le seul à pouvoir supprimer des fichiers téléversés.
-  - Cependant, l'équipe "devel ne veut pas que leur boss voit la page funstuff. Rappelez-vous que l'exacte correspondance explicite en droits d'une page surpasse les permissions supérieures d'un namespace.  +  - L'équipe ''marketing''l'autorisation de lire le contenu de l’espace de nom ''devel'', mais pas de le modifier. 
-  - Et pour finir, l'équipe marketing ont l'autorisation de modification de la page ''devel:marketing'' également.+  - L'équipe ''devel''  ne veut pas que leur boss voit la page funstuff. Rappelez-vous que l'exacte correspondance explicite en droits d'une page surpasse les permissions supérieures d'un namespace.  
 +  - Et pour finir, l'équipe ''marketing''l'autorisation de modification de la page ''devel:marketing''.
   - Les permissions pour l’espace de nom ''marketing'' sont fixées. Tous les membres du groupe ''marketing'' sont autorisés à  télécharger vers le serveur dans cet espace - les autres utilisateurs sont assignés par la ligne 1, ils sont limités à la création et à l’édition. L’utilisateur ''bigboss'' hérite de ses droits de la ligne 2 et peut aussi télécharger.   - Les permissions pour l’espace de nom ''marketing'' sont fixées. Tous les membres du groupe ''marketing'' sont autorisés à  télécharger vers le serveur dans cet espace - les autres utilisateurs sont assignés par la ligne 1, ils sont limités à la création et à l’édition. L’utilisateur ''bigboss'' hérite de ses droits de la ligne 2 et peut aussi télécharger.
   - La dernière ligne concerne la page ''start'' qui est autorisée en lecture seule pour tout le monde. Seuls, les super-utilisateurs seront toujours capables de modifier cette page.    - La dernière ligne concerne la page ''start'' qui est autorisée en lecture seule pour tout le monde. Seuls, les super-utilisateurs seront toujours capables de modifier cette page. 
Ligne 109: Ligne 109:
  
  
-Les restrictions d'accès sont archivées dans le fichier ''conf/acl.auth.php'', qui doit être accessible en écriture par le serveur web si vous voulez utiliser le gestionnaire de la liste des contrôles d'accès (ACL). Il n'est pas recommandé+Les restrictions d'accès sont archivées dans le fichier ''conf/acl.auth.php'', qui doit être accessible en écriture par le serveur web si vous voulez utiliser le gestionnaire de la liste des contrôles d'accès (ACLs). Il n'est pas recommandé
 d'éditer ce fichier manuellement. Il est préférable de passer par le menu d'administration. d'éditer ce fichier manuellement. Il est préférable de passer par le menu d'administration.
  
Ligne 146: Ligne 146:
 L'ordre dans ce fichier n'a aucune importance car le fichier est parcouru et analysé dans sa globalité, de manière complète à la recherche d'une correspondance permission utilisateur/page courante. Quand une correspondance est trouvée, la recherche s'arrête simplement. Si aucune correspondance n'est trouvée, les permissions du groupe sur la page sont analysés et en l'absence d'un résultat positif, la vérification continue dans le prochain espace de noms au niveau supérieur. L'ordre dans ce fichier n'a aucune importance car le fichier est parcouru et analysé dans sa globalité, de manière complète à la recherche d'une correspondance permission utilisateur/page courante. Quand une correspondance est trouvée, la recherche s'arrête simplement. Si aucune correspondance n'est trouvée, les permissions du groupe sur la page sont analysés et en l'absence d'un résultat positif, la vérification continue dans le prochain espace de noms au niveau supérieur.
  
-:!: **Note:** Pour configurer des utilisateurs ou des groupes comportant des caractères spéciaux (comme des espaces blancs), vous devez échapper les caractères dans les chaines d'URL. Ceci ne concerne que les caractères spéciaux dans le bas de la plage des 128 octets. Le fichier ACL utilise l'encodage UTF-8 de sorte que toute les caractères multi-octets peuvent être écrits.+:!: **Note:** Pour configurer des utilisateurs ou des groupes comportant des caractères spéciaux (comme des espaces blancs), vous devez échapper les caractères dans les chaines d'URL. Ceci ne concerne que les caractères spéciaux dans le bas de la plage des 128 octets. Le fichier ACLs utilise l'encodage UTF-8 de sorte que toute les caractères multi-octets peuvent être écrits.
  
  
Ligne 154: Ligne 154:
 :!: **Note:** La permission d'effacement affecte les fichiers de médias seulement. Les pages peuvent être effacées (et restaurées) par chacun. Quelqu'un qui n'a que des permissions de téléchargement mais aucune permission d'effacement ne peut écraser les fichiers de médias existants. :!: **Note:** La permission d'effacement affecte les fichiers de médias seulement. Les pages peuvent être effacées (et restaurées) par chacun. Quelqu'un qui n'a que des permissions de téléchargement mais aucune permission d'effacement ne peut écraser les fichiers de médias existants.
  
-==== Caractère générique de remplacement (Wildcard) pour les utilisateurs ====+==== Motif de remplacement (Wildcard) pour les utilisateurs ====
  
-Il est possible d'utiliser des caractères génériques de remplacement dans les ACLs. Cela s'avère très utile pour les wikis avec beaucoup d'utilisateurs enregistrés quand vous voulez donner à chaque utilisateur ou groupe un espace de noms personnel. Au lieu de donner des droits pour chacun d'entre eux, vous pouvez utiliser la variable **''%USER%''** qui sera remplacée à la volée au moment de l'authentification par le nom d'utilisateur (username) et la variable **''%GROUP%''** par celle du ou des groupes auxquels il appartient.+Il est possible d'utiliser un motif de remplacement dans les ACLs. Cela s'avère très utile pour les wikis avec beaucoup d'utilisateurs enregistrés quand vous voulez donner à chaque utilisateur ou groupe un espace de noms personnel. Au lieu de donner des droits pour chacun d'entre eux, vous pouvez utiliser la variable **''%USER%''** qui sera remplacée à la volée au moment de l'authentification par le nom d'utilisateur (username) et la variable **''%GROUP%''** par celle du ou des groupes auxquels il appartient.
  
 Dans l'exemple suivant, un utilisateur authentifié obtient un privilège complet sur les permissions (upload/delete) pour l'espace de noms utilisateur ''user:<username>:*'' et révoque tous les accès à partir d'autres espaces de noms situés dans '' user: * ''. Dans l'exemple suivant, un utilisateur authentifié obtient un privilège complet sur les permissions (upload/delete) pour l'espace de noms utilisateur ''user:<username>:*'' et révoque tous les accès à partir d'autres espaces de noms situés dans '' user: * ''.
Ligne 185: Ligne 185:
 :!: **Note:** Avertissement pour la version 2009-12-25c "Lemming". Si vous ajoutez, mettez à jour ou supprimer les entrées des ACLs depuis l'interface d'administration, DokuWiki remplacera %USER% dans le second champ des ACLs par ''%25USER%25'' (c'est un[[https://bugs.dokuwiki.org/index.php?do=details&task_id=1955|bug FS#1955]]). Pour l'éviter, changer manuellement les permissions (en éditant: ''conf/acl.auth.php'') ou corrigez les manuellement après chaque changement dans l'interface d'administration car ''%25USER%25'' ne fonctionne pas comme attendu. Seul ''%USER%'' devrait être utilisé dans ''conf/acl.auth.php''. Ce bug a été corrigé dans les plus récentes versions. :!: **Note:** Avertissement pour la version 2009-12-25c "Lemming". Si vous ajoutez, mettez à jour ou supprimer les entrées des ACLs depuis l'interface d'administration, DokuWiki remplacera %USER% dans le second champ des ACLs par ''%25USER%25'' (c'est un[[https://bugs.dokuwiki.org/index.php?do=details&task_id=1955|bug FS#1955]]). Pour l'éviter, changer manuellement les permissions (en éditant: ''conf/acl.auth.php'') ou corrigez les manuellement après chaque changement dans l'interface d'administration car ''%25USER%25'' ne fonctionne pas comme attendu. Seul ''%USER%'' devrait être utilisé dans ''conf/acl.auth.php''. Ce bug a été corrigé dans les plus récentes versions.
  
-:!: **Note:** Le caractère générique de remplacement (wildcard) a changé en décembre 2008 de  @ à % -- si vous faîtes une mise à niveau à partir d'une ancienne version, vous devez modifier en conséquence vos paramètres dans les ACLs. +:!: **Note:** Le motif de remplacement (wildcard) a changé en décembre 2008 de  @ à % -- si vous faîtes une mise à niveau à partir d'une ancienne version, vous devez modifier en conséquence vos paramètres dans les ACLs.  
  
  ===== Credits =====   ===== Credits ===== 
  --- //[[philippe@bdsemin.com|Philippe LAPEYRIE]] 2006-05-19 00:12//\\  --- //[[philippe@bdsemin.com|Philippe LAPEYRIE]] 2006-05-19 00:12//\\
  --- //[[user>Digitalin|Digitalin]] 2016-02-20 15:23// Mise à jour  --- //[[user>Digitalin|Digitalin]] 2016-02-20 15:23// Mise à jour
 +
fr/acl.1459418604.txt.gz · Dernière modification : 2016-03-31 12:03 de Digitalin

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki