Création de restrictions et de rôles multiples – HP Integrated Lights-Out 2 Manuel d'utilisation
Page 178
Création de restrictions et de rôles multiples
L'application la plus utile au niveau des rôles multiples consiste à restreindre un ou plusieurs
privilèges de sorte que ces derniers ne s'appliquent pas à toutes les situations. D'autres rôles
fournissent différents privilèges sous d'autres contraintes. L'utilisation de restrictions et de rôles
multiples permet à l'administrateur de créer des relations de privilèges complexes et arbitraires
avec un nombre minimum de rôles.
Par exemple, une organisation peut avoir une stratégie de sécurité dans laquelle les administrateurs
LOM sont autorisés à utiliser le périphérique LOM à partir du réseau entreprise mais ne peuvent
réinitialiser le serveur qu'en dehors des heures ouvrées.
Les administrateurs d'annuaire pourraient être tentés de créer deux rôles pour remédier à cette
situation, mais il faut être extrêmement prudent à ce sujet. En effet, créer un rôle fournissant les
privilèges de réinitialisation de serveur requis et restreindre son application aux heures non ouvrées
permettrait à des administrateurs extérieurs au réseau de l'entreprise de réinitialiser le serveur, ce
qui est contraire à la plupart des stratégies de sécurité.
Dans l'exemple donné, la stratégie de sécurité édicte que l'utilisation générale soit restreinte aux
clients appartenant au sous-réseau d'entreprise et que la capacité de réinitialisation du serveur
soit restreinte, en plus, après les heures d'ouverture normales.
Alternativement, l'administrateur d'annuaire pourrait créer un rôle qui accorderait le privilège de
connexion et le restreindrait au réseau d'entreprise, puis en créerait un autre qui accorderait
uniquement le privilège de réinitialisation de serveur et en restreindrait l'exercice après les heures
d'ouverture normales. Cette configuration est plus facile à superviser mais elle est plus risquée car
une administration en continu peut créer un autre rôle qui accorderait le privilège de connexion
aux utilisateurs dotés d'adresses extérieures au réseau d'entreprise. Cela pourrait permettre
178
Services d'annuaire