View Source

Ten dokument zawiera informacje na temat możliwości kontroli dostępu do zasobów cyfrowych gromadzonych w instalacji systemu dLibra. Dokument przeznaczony jest dla administratorów systemu dLibra oraz osób, które chcą poznać możliwości tego systemu.

Informacje ogólne

Kontrola dostępu do systemu dLibra składa się z dwóch etapów:

etapu uwierzytelnienia, na którym określana jest tożsamość użytkownika,
etapu autoryzacji, na którym to etapie następuje sprawdzenie, czy dany użytkownik ma prawo dostępu do żądanego zasobu.

Etapy te opisano szczegółowo poniżej.

Uwierzytelnienie

W systemie dLibra możliwe są następujące sposoby autentykacji:

Uwierzytelnienie podstawowe - użytkownik wprost podaje nazwę użytkownika i hasło. Hasło użytkownika może być przechowywane w systemi dLibra lub na zewnętrznym serwerze LDAP.
Uwierzytelnienie IP - użytkownik podaje tylko nazwę użytkownika, przy czym korzysta z komputera, którego adres sieciowy spełnia reguły dostępu bez hasła dla danego użytkownika. Reguły te muszą być wcześniej zdefiniowane w systemie dLibra przez administratora.
Uwierzytelnienie SSO (dostępna tylko w aplikacji czytelnika) - identyfikator użytkownika pobierany jest z zewnętrznego systemu Single Sign-On na podstawie "biletu" SSO przekazanego przez użytkownika w żądaniu HTTP.

Autoryzacja

Po ustaleniu tożsamości użytkownika odbywa się określenie poziomu uprawnień danego użytkownika do żądanego zasobu. Możliwe są następujące poziomy uprawnień (na poziomie wydania publikacji):

brak uprawnień,
prawo przeglądania - prawo do odczytania wszystkich opublikowanych wydań publikacji,
prawo odczytu - prawo do odczytania wszystkich wydań publikacji,
prawo zarządzania - prawo do zarządzania publikacją (np. tworzenia nowego wydania lub przyznania praw dostępu).

Pozytywna weryfikacja uprawnień może odbyć się w jeden z następujących sposobów:

Autoryzacja bezpośrednia - użytkownik, bądź jedna z grup do których on należy, ma wprost przyznane odpowiednie prawo do danego zasobu (zazwyczaj prawo przeglądania).
_Autoryzacja implikowana_ - użytkownik, bądź jedna z grup do których on należy, ma przyznane do danego zasobu uprawnienie wyższego poziomu, niż uprawnienie pożądane. Dla przykładu: wymagane jest prawo przeglądania, a użytkownik czy też grupa ma prawo odczytu.

Członkiem danej grupy użytkownik może zostać albo poprzez przypisanie do tej grupy przez administratora, albo - w przypadku dynamicznych grup LDAP (patrz Podręcznik Administratora) - na podstawie atrybutów jakie są przypisane użytkownikowi w zewnętrznym serwerze LDAP.

Przykładowe scenariusze

Poniżej przedstawiono kilka przykładowych scenariuszy opisanych powyżej mechanizmów autentykacji i autoryzacji.

1. Biblioteka cyfrowa z publikacjami dostępnymi bez ograniczeń

Opis: Biblioteka cyfrowa gromadzi zbiory, do których dostęp mogą mieć wszyscy użytkownicy Internetu.
Sposób konfiguracji: Użytkownicy publiczni mają przyznane prawo przeglądania dla wszystkich opublikowanych wydań. Nie potrzebują identyfikatora ani hasła żeby móc korzystać z gromadzonych zasobów.

2. Biblioteka cyfrowa z wydzielonymi zbiorami o ograniczonym dostępie

Opis: Biblioteka cyfrowa gromadzi zbiory, do których dostęp mogą mieć wszyscy użytkownicy Internetu oraz zbiory, których treść powinna być dostępna tylko z komputerów o określonych adresach IP (np. z czytelni).
Sposób konfiguracji: Dla zbiorów dostępnych bez ograniczeń konfigurowany jest tak jak w scenariuszu 1. Poza tym stworzony jest specjalny użytkownik o nazwie "Czytelnia", którego hasło zna tylko administrator. Użytkownik "Czytelnia" ma skonfigurowane reguły dostępu bez hasła z adresów IP komputerów znajdujących się w czytelni. Użytkownik "Czytelnia" ma przyznane prawo przeglądaniadla zbiorów o ograniczonym dostępie. Użytkownicy komputerów w czytelni są poinstruowani, żeby w przypadku pytania o nazwę użytkownika i hasło podać nazwę "Czytelnia", a pole "hasło" pozostawić puste (tak na prawdę jego wartość jest w takiej sytuacji po prostu ignorowana). Użytkownicy o nazwę użytkownika pytani są tylko raz na początku każdej sesji. Próby takiego dostępu bez hasła z komputerów spoza wyznaczonego zakresu adresów IP nie powiodą się. Konieczne będzie wtedy podanie prawidłowego hasła użytkownika "Czytelnia".

3. Biblioteka cyfrowa dostępna dla wszystkich w sieci wewnętrznej

Opis: Biblioteka cyfrowa gromadzi zbiory, do których dostęp mogą mieć wszyscy użytkownicy sieci wewnętrznej.
Sposób konfiguracji 1: Użytkownicy publiczni mają przyznane prawo przeglądaniadla wszystkich opublikowanych wydań. Nie potrzebują identyfikatora ani hasła żeby móc korzystać z gromadzonych zasobów. Biblioteka cyfrowa udostępniana jest tylko w sieci wewnętrznej przy pomocy zewnętrznych mechanizmów kontroli dostępu (firewalle itp.).
Sposób konfiguracji 2: Użytkownicy publiczni nie mają przyznanego prawa przeglądaniadla żadnego z opublikowanych wydań. Stworzona jest specjalna grupa "Intranet" skonfigurowana i wykorzystywana analogicznie do scenariusza 2. Uwaga: W przypadku takiej konfiguracji użytkownicy publiczni mają dostęp do metadanych obiektów cyfrowych - blokowany jest tylko dostęp do treści.

4. Biblioteka cyfrowe ze ścisłą kontrolą dostępu

Opis: Biblioteka cyfrowa gromadzi zbiory, do których dostęp mogą mieć tylko wybrani użytkownicy.
Sposób konfiguracji: Należy założyć konta dla poszczególnych użytkowników i wprost przyznawać im właściwe uprawnienia do poszczególnych zasobów.

Mechanizm wykrywania prób nielegalnego dostępu

System dLibra posiada wbudowany mechanizm wykrywania prób nielegalnego dostępu. Jeżeli z jednego komputera (jednego adresu IP) nastąpi 5 kolejnych nieudanych prób autentykacji danego użytkownika, a odstęp między każdymi dwiema kolejnymi próbami będzie mniejszy niż 20 minut, to adres IP z którego nastąpiły próby autentykacji zostanie automatycznie dodany do listy adresów blokowanych dla tego użytkownika. Listą taką zarządza administrator biblioteki cyfrowej.