Revue SMART DSI Connexion Newsletter
iTPro.fr

Actualités, Dossiers et Ressources IT Professionnelles - mercredi 24 avril 2024

> Tech > Une simple question d’approbation

Une simple question d’approbation

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Partons de la relation d’approbation la plus simple qui soit : une approbation dans un seul sens, non transitive, entre deux domaines. Le domaine A approuve le domaine B, mais le domaine A n’approuve aucun des domaines que le domaine B approuve. La figure 1 montre une approbation non transitive,

comparée à une approbation transitive. (Pour des informations de sécurité à propos des divers types de relations d’approbation, voir l’encadré « De nombreux types d’approbation »). Quand le domaine A approuve le domaine B, que se passe-t-il réellement ? Qui le domaine A approuvet- il en réalité ? Les utilisateurs du domaine B acquièrent-ils soudainement l’accès aux ressources du domaine A ? Les administrateurs du domaine B obtiennent-ils un quelconque accès au domaine A ?

Tout d’abord, que se passe-t-il dans une relation d’approbation ? Dans ce cas, le domaine approbateur est le domaine A et le domaine approuvé est le domaine B. Du point de vue du domaine A, la direction de l’approbation est sortante. Les ordinateurs du domaine A approuvent les DC du domaine B pour authentifier les comptes utilisateur et ordinateur et spécifier les appartenances aux groupes. Quand un administrateur du domaine A ouvre l’ACL d’un fichier ou d’un dossier et sélectionne de nouveaux comptes et groupes à ajouter à l’ACL, l’administrateur voit les comptes et les groupes provenant du domaine B en plus du domaine A. L’administrateur peut aussi rendre les comptes des groupes du domaine B membres des groupes du domaine A et, en général, peut utiliser les comptes des groupes du domaine B partout il peut utiliser les comptes et groupes du domaine A. Les utilisateurs du domaine B peuvent accéder aux ressources du domaine A pour lequel ils possèdent les permissions appropriées.

Qui le domaine A approuve-t-il vraiment ? Les utilisateurs du domaine B? Les administrateurs du domaine B ? Si vous établissez une approbation dans laquelle le domaine A approuve le domaine B, vous voulez évidemment que les utilisateurs du domaine B puissent accéder à certaines ressources du domaine A. Vous pouvez établir cet accès en accordant les permissions appropriées aux groupes du domaine B après avoir établi l’approbation. Mais, les administrateurs du domaine B obtiennent-ils un accès supplémentaire au domaine A ?

La réponse évidente est que les administrateurs du domaine B ne gagnent pas plus d’accès que les autres utilisateurs du domaine B, excepté qu’ils peuvent ajouter et enlever des utilisateurs aux groupes du domaine B, lesquels pourraient avoir accès aux ressources du domaine A. Autrement dit, si un administrateur du domaine A accorde un accès quelconque à un groupe du domaine B, un administrateur du domaine B peut octroyer ou révoquer cet accès aux utilisateurs du domaine B, en ajustant simplement l’appartenance au groupe du domaine B. Par conséquent, en surface, les relations d’approbations semblent plutôt bénignes. Pourtant, il existe un moyen documenté par lequel les administrateurs du domaine B peuvent gagner illicitement l’accès administratif au domaine A. C’est ce que je décris dans la section suivante.

Téléchargez cette ressource

Guide de technologie 5G pour l’entreprise

Guide de technologie 5G pour l’entreprise

Pourquoi la 5G est-elle faite pour votre entreprise ? La 5G peut améliorer la vitesse, la fiabilité et la capacité de votre réseau, permettant ainsi une meilleure collaboration, une productivité accrue et une prise de décision plus rapide. Notre livre blanc " The Big Book of Enterprise 5G" vous fournit les informations stratégiques dont vous avez besoin pour prendre des décisions éclairées et préparer votre entreprise à prospérer dans l'ère de la 5G. Cradlepoint, part of Ericsson est le leader mondial des solutions de réseau sans fil 4G LTE et 5G fournies via le cloud. Connectez vos employés, lieux et objets avec la 4G LTE et la 5G pour un WAN sans fil d'entreprise.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
Découvrir tous les articles de la chaîne Tech

Les articles les plus consultés

A travers cette chaîne
A travers ITPro

Les plus consultés sur iTPro.fr

Sur le même sujet

Les 6 étapes vers un diagnostic réussi

Les 6 étapes vers un diagnostic réussi
Cybersécurité Active Directory et les attaques de nouvelle génération

Cybersécurité Active Directory et les attaques de nouvelle génération
Et si les clients n’avaient plus le choix ?

Et si les clients n’avaient plus le choix ?
Activer la mise en veille prolongée dans Windows 10

Activer la mise en veille prolongée dans Windows 10
Une baie de stockage c’est quoi ?

Une baie de stockage c’est quoi ?

A lire aussi sur le site

Identity Days 2024 à l’honneur !

Les identités numériques sont fondamentales dans l’univers de la cybersécurité. Retour sur la création de l’évènement phare des Identity Days, un événement technique et concret ! Des diverses problématiques liées aux identités jusqu’à la CADIM en passant par les Identity Days, décryptage avec Sylvain Cortes, VP Strategy Hackuity et créateur, co-fondateur des Identity Days.
Revue Smart DSI

La Revue du Décideur IT

Les portails de données internes, piliers stratégiques des organisations data-centric

Découvrez le rôle des portails de données internes : des piliers essentiels pour toute organisation désireuse d’adopter une stratégie data-centric.

A la Une des Ressources IT

Inscrivez-vous !
Les mégatendances cybersécurité et cyber protection 2024

Les mégatendances cybersécurité et cy...

Découvrir Guide de technologie 5G pour l’entreprise

Guide de technologie 5G pour l’...

Découvrir Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement ...

Découvrir Guide de Sécurité IA et IoT

Guide de Sécurité IA et IoT

Découvrir Préparer l’entreprise aux technologies interconnectées

Préparer l’entreprise aux techn...

Découvrir