Restrictions de temps d'utilisateur, Création de restrictions et de rôles multiples – HP Integrated Lights-Out 4 Manuel d'utilisation
Page 309
www.exemple.com. Cependant, la restriction DNS *.exemple.com correspond à n'importe quelle
machine de la société exemple.
Les restrictions DNS risquent de susciter des ambiguïtés, car un hôte peut avoir plusieurs points
d'origine. Les restrictions DNS ne correspondent pas nécessairement en tous points à un seul
système.
L'utilisation des restrictions basées sur le protocole DNS peut créer des complications au niveau
de la sécurité. Les protocoles de services de noms ne sont pas sécurisés. Un individu mal intentionné,
ayant accès au réseau, peut placer un service DNS de terminaison sur le réseau, créant un faux
critère de restriction d'adresses. Lorsque vous mettez en œuvre des restrictions d'adresse basées
sur un service DNS, n'oubliez pas de prendre les politiques de sécurité organisationnelles en
considération.
Restrictions de temps d'utilisateur
Les administrateurs peuvent placer des restrictions de temps sur les comptes des utilisateurs
d'annuaire (
). Les restrictions de temps limitent la capacité de l'utilisateur à se connecter
(s'authentifier) à l'annuaire. Généralement, des restrictions de temps sont appliquées par
l'intermédiaire de l'heure au niveau du serveur d'annuaire. Si le serveur d'annuaire se trouve dans
un fuseau horaire différent ou si une réplique dans un fuseau horaire différent est accessible, des
informations de fuseau horaire de l'objet géré peuvent être utilisées pour ajuster l'heure relative.
Le serveur d'annuaire évalue les restrictions de temps de l'utilisateur, mais la détermination peut
être compliquée par des changements de fuseau horaire ou le mécanisme d'authentification.
Figure 152 Restrictions de temps d'utilisateur
User
LOM
Client
Workstation
Directory
Server
User time restrictions are
enforced by the directory server
Création de restrictions et de rôles multiples
L'application la plus utile au niveau des rôles multiples consiste à restreindre un ou plusieurs
privilèges de sorte que ces derniers ne s'appliquent pas à toutes les situations. D'autres rôles
fournissent différents privilèges sous d'autres contraintes. L'utilisation de restrictions et de rôles
multiples permet à l'administrateur de créer des relations de privilèges complexes et arbitraires
avec un nombre minimum de rôles.
Par exemple, une organisation peut avoir une stratégie de sécurité dans laquelle les administrateurs
LOM sont autorisés à utiliser le périphérique LOM à partir du réseau d'entreprise, mais ne peuvent
réinitialiser le serveur qu'en dehors des heures ouvrées.
Les administrateurs d'annuaire pourraient être tentés de créer deux rôles pour remédier à cette
situation, mais il faut être extrêmement prudent à ce sujet. En effet, créer un rôle fournissant les
privilèges de réinitialisation de serveur requis et restreindre son application aux heures non ouvrées
permettraient à des administrateurs extérieurs au réseau de l'entreprise de réinitialiser le serveur,
ce qui est contraire à la plupart des stratégies de sécurité.
Gestion distante activée via l'annuaire 309