Ten dokument zawiera informacje na temat możliwości kontroli dostępu do zasobów cyfrowych gromadzonych w instalacji systemu dLibra. Dokument przeznaczony jest dla administratorów systemu dLibra oraz osób, które chcą poznać możliwości tego systemu. |
Kontrola dostępu do systemu dLibra składa się z dwóch etapów:
Etapy te opisano szczegółowo poniżej.
W systemie dLibra możliwe są następujące sposoby autentykacji:
Po ustaleniu tożsamości użytkownika odbywa się określenie poziomu uprawnień danego użytkownika do żądanego zasobu. Możliwe są następujące poziomy uprawnień (na poziomie wydania publikacji):
Pozytywna weryfikacja uprawnień może odbyć się w jeden z następujących sposobów:
Członkiem danej grupy użytkownik może zostać albo poprzez przypisanie do tej grupy przez administratora, albo - w przypadku dynamicznych grup LDAP (patrz Podręcznik Administratora) - na podstawie atrybutów jakie są przypisane użytkownikowi w zewnętrznym serwerze LDAP.
Poniżej przedstawiono kilka przykładowych scenariuszy opisanych powyżej mechanizmów autentykacji i autoryzacji.
Opis: Biblioteka cyfrowa gromadzi zbiory, do których dostęp mogą mieć wszyscy użytkownicy Internetu.
Sposób konfiguracji: Użytkownicy publiczni mają przyznane prawo przeglądania dla wszystkich opublikowanych wydań. Nie potrzebują identyfikatora ani hasła żeby móc korzystać z gromadzonych zasobów.
Opis: Biblioteka cyfrowa gromadzi zbiory, do których dostęp mogą mieć wszyscy użytkownicy Internetu oraz zbiory, których treść powinna być dostępna tylko z komputerów o określonych adresach IP (np. z czytelni).
Sposób konfiguracji: Dla zbiorów dostępnych bez ograniczeń konfigurowany jest tak jak w scenariuszu 1. Poza tym stworzony jest specjalny użytkownik o nazwie "Czytelnia", którego hasło zna tylko administrator. Użytkownik "Czytelnia" ma skonfigurowane reguły dostępu bez hasła z adresów IP komputerów znajdujących się w czytelni. Użytkownik "Czytelnia" ma przyznane prawo przeglądaniadla zbiorów o ograniczonym dostępie. Użytkownicy komputerów w czytelni są poinstruowani, żeby w przypadku pytania o nazwę użytkownika i hasło podać nazwę "Czytelnia", a pole "hasło" pozostawić puste (tak na prawdę jego wartość jest w takiej sytuacji po prostu ignorowana). Użytkownicy o nazwę użytkownika pytani są tylko raz na początku każdej sesji. Próby takiego dostępu bez hasła z komputerów spoza wyznaczonego zakresu adresów IP nie powiodą się. Konieczne będzie wtedy podanie prawidłowego hasła użytkownika "Czytelnia".
Opis: Biblioteka cyfrowa gromadzi zbiory, do których dostęp mogą mieć wszyscy użytkownicy sieci wewnętrznej.
Sposób konfiguracji 1: Użytkownicy publiczni mają przyznane prawo przeglądaniadla wszystkich opublikowanych wydań. Nie potrzebują identyfikatora ani hasła żeby móc korzystać z gromadzonych zasobów. Biblioteka cyfrowa udostępniana jest tylko w sieci wewnętrznej przy pomocy zewnętrznych mechanizmów kontroli dostępu (firewalle itp.).
Sposób konfiguracji 2: Użytkownicy publiczni nie mają przyznanego prawa przeglądaniadla żadnego z opublikowanych wydań. Stworzona jest specjalna grupa "Intranet" skonfigurowana i wykorzystywana analogicznie do scenariusza 2. Uwaga: W przypadku takiej konfiguracji użytkownicy publiczni mają dostęp do metadanych obiektów cyfrowych - blokowany jest tylko dostęp do treści.
Opis: Biblioteka cyfrowa gromadzi zbiory, do których dostęp mogą mieć tylko wybrani użytkownicy.
Sposób konfiguracji: Należy założyć konta dla poszczególnych użytkowników i wprost przyznawać im właściwe uprawnienia do poszczególnych zasobów.
System dLibra posiada wbudowany mechanizm wykrywania prób nielegalnego dostępu. Jeżeli z jednego komputera (jednego adresu IP) nastąpi 5 kolejnych nieudanych prób autentykacji danego użytkownika, a odstęp między każdymi dwiema kolejnymi próbami będzie mniejszy niż 20 minut, to adres IP z którego nastąpiły próby autentykacji zostanie automatycznie dodany do listy adresów blokowanych dla tego użytkownika. Listą taką zarządza administrator biblioteki cyfrowej.