Sécurité Alfresco : comment configurer le contrôle des accès ?

Votre Alfresco est pénétré par des personnes externes à l’entreprise qui ont accès à votre propriété intellectuelle. Un cauchemar dont vous vous réveillez en sueurs ? Le scénario du dernier film d’espionnage faisant triompher Bruce Willis ?

Pas nécessairement mais c’est un sujet fréquent d’interrogations. En effet, il existe une fonctionnalité permettant à un gestionnaire de site d’inviter un utilisateur jusque là inexistant dans Alfresco. Si cette possibilité est intéressante pour une plate-forme ouverte–dans le cas d’un projet regroupant des équipes hétérogènes–dans un environnement d’entreprise on préfère contrôler l’accès à l’application en gérant les comptes dans un annuaire LDAP. Une telle fonctionnalité constitue alors une faille de sécurité dans le système, d’où l’importance de bien configurer Alfresco en fonction de vos besoins.

Configuration par défaut

Dans l’onglet « Membres » d’un site Share, le bouton « Inviter des personnes » nous envoie vers un formulaire permettant de rechercher un utilisateur (ou un groupe) pour l’inviter sur le site. En dessous de cette interface, une boite permet de saisir le nom et prénom d’un utilisateur, ainsi que son adresse e-mail. En cliquant sur « Inviter » un compte sera créé dans Alfresco et un mail sera envoyé aux utilisateurs.

Modifier la configuration

Selon la documentation officielle1 : « Cette fonctionnalité est désactivée si l’installation de votre application ne permet pas la création de nouveaux utilisateurs2 ». Si cela ne vous paraît pas très explicite, précisons que l’authentification d’un utilisateur depuis la base interne d’Alfresco–c’est à dire ne provenant pas d’une base LDAP–doit être désactivée pour que cette fonctionnalité cesse d’être accessible. Techniquement cela correspond à désactiver le sous-système d’authentification « alfrescoNtlm » dans votre fichier de configuration alfresco-global.properties, puis à le remplacer par une authentification LDAP.

Par exemple :

authentication.chain=passthru1:passthru,ldap1:ldap,alfrescoNtlm1:alfrescoNtlm

devient :

authentication.chain=passthru1:passthru,ldap1:ldap

En savoir plus

1 http://docs.alfresco.com/4.0/index.jsp?topic=%2Fcom.alfresco.enterprise.doc%2Ftasks%2Fmembers-invite.html

2 This feature is disabled if your installation of the application does not support the creation of new users.

Vous avez besoin d’aide pour configurer correctement votre Alfresco ? N’hésitez-pas à nous contacter.