Sécurité Alfresco : comment configurer le contrôle des accès ?

Votre Alfresco est pénétré par des personnes externes à l’entreprise qui ont accès à votre propriété intellectuelle. Un cauchemar dont vous vous réveillez en sueurs ? Le scénario du dernier film d’espionnage faisant triompher Bruce Willis ?

Pas nécessairement mais c’est un sujet fréquent d’interrogations. En effet, il existe une fonctionnalité permettant à un gestionnaire de site d’inviter un utilisateur jusque là inexistant dans Alfresco. Si cette possibilité est intéressante pour une plate-forme ouverte–dans le cas d’un projet regroupant des équipes hétérogènes–dans un environnement d’entreprise on préfère contrôler l’accès à l’application en gérant les comptes dans un annuaire LDAP. Une telle fonctionnalité constitue alors une faille de sécurité dans le système, d’où l’importance de bien configurer Alfresco en fonction de vos besoins.

Configuration par défaut

Dans l’onglet « Membres » d’un site Share, le bouton « Inviter des personnes » nous envoie vers un formulaire permettant de rechercher un utilisateur (ou un groupe) pour l’inviter sur le site. En dessous de cette interface, une boite permet de saisir le nom et prénom d’un utilisateur, ainsi que son adresse e-mail. En cliquant sur « Inviter » un compte sera créé dans Alfresco et un mail sera envoyé aux utilisateurs.

Modifier la configuration

Selon la documentation officielle1 : « Cette fonctionnalité est désactivée si l’installation de votre application ne permet pas la création de nouveaux utilisateurs2 ». Si cela ne vous paraît pas très explicite, précisons que l’authentification d’un utilisateur depuis la base interne d’Alfresco–c’est à dire ne provenant pas d’une base LDAP–doit être désactivée pour que cette fonctionnalité cesse d’être accessible. Techniquement cela correspond à désactiver le sous-système d’authentification « alfrescoNtlm » dans votre fichier de configuration alfresco-global.properties, puis à le remplacer par une authentification LDAP.

Par exemple :

authentication.chain=passthru1:passthru,ldap1:ldap,alfrescoNtlm1:alfrescoNtlm

devient :

authentication.chain=passthru1:passthru,ldap1:ldap

En savoir plus

1 http://docs.alfresco.com/4.0/index.jsp?topic=%2Fcom.alfresco.enterprise.doc%2Ftasks%2Fmembers-invite.html

2 This feature is disabled if your installation of the application does not support the creation of new users.

Vous avez besoin d’aide pour configurer correctement votre Alfresco ? N’hésitez-pas à nous contacter.

Configuration avancée à chaud d’Alfresco

Un des grands atouts d’Alfresco réside dans ses fortes capacités de paramétrage. Alfresco Entreprise permet de modifier certains paramètres à chaud (c’est à dire sans redémarrage d’Alfresco). Cependant cela nécessite un outil spécifique (généralement Jconsole) qui n’est pas toujours disponible et est difficile à prendre en main. StarXpert fournit une solution innovante pour modifier ces paramètres en les regroupant dans un simple fichier de configuration au format csv. Pour modifier les paramètres, il suffit désormais de modifier le fichier csv avec un simple logiciel bureautique tel que Calc ou Excel.

Par exemple :

  • Spécifier le dossier d’installation d’OpenOffice utilisé par Alfresco :

Alfresco:Type=Configuration,Category=OOoJodconverter,id1=default jodconverter.officeHome /opt/openoffice.org3
  • Changer « true » en « false »permet de désactiver l’accès cifs :
Alfresco:Type=Configuration,Category=fileServers,id1=default cifs.enabled true
  • Changer « false » en « true » permet d’autoriser l’accès aux documents Google Docs :
Alfresco:Type=Configuration,Category=googledocs,id1=default googledocs.googleeditable.enabled false

Puis, StarXpert a développé un utilitaire en JAVA (avec un moteur Java pour l’exécution et des webscripts pour l’interface) permettant de charger le fichier csv modifié directement depuis Share, et de prendre en compte les changements immédiatement, sans interruption de service. L’utilitaire se présente comme suit :

Sauvegarder sa configuration Alfresco deviens un jeu d’enfant.

Par ailleurs, si nos clients ne souhaitent pas effectuer eux-mêmes le paramétrage de leur Alfresco, il leur suffit de nous envoyer leur fichier csv pour que nous le modifiions à leur place. Ils pourront ensuite le charger à l’aide de l’utilitaire. Cette opération pourra s’effectuer sans que nous ayons besoin d’obtenir l’accès à leur serveur Alfresco.

Le nouvel utilitaire fait partie d’une suite d’outils que StarXpert est en train de développer pour faciliter l’administration d’Alfresco.

NB : Cette nouvelle fonctionnalité requiert la version Alfresco Enterprise !

En savoir plus sur Alfresco Share

Démonstration de la Gestion Documentaire Alfresco