|
|
|
RBAC 是 CA AppLogic 基于角色的访问控制系统。 它提供粒度控制,用户可以通过该控制对网格中的某些对象执行某些操作。 RBAC 的常规用途是允许多个用户在单个网格上工作,而不触及其他用户的工作。 RBAC 不提供多重租赁。 例如,所有用户均可以查看所有应用的列表,与 Linux 中的用户可以列出他们无权访问的文件的方式非常相似(不分离对象名称空间)。
RBAC 支持将用户和组用于授权用户操作。 组可能包括作为成员的用户或其他组。 可以使用 CA AppLogic 命令行界面 (CLI) 创建特定于特定网格的用户和组。 用户和组信息是包括在网格控制器上的目录服务中进行维护的。
RBAC 还支持使用外部目录服务(可选),如 Microsoft® Windows® Active Directory®。 在这种情况下,用户和组的信息是在用户使用该服务进行验证时从外部目录服务获取的。
CA AppLogic 将特定于网格的用户和组称为本地。 将外部目录服务中维护的用户和组称为全局。 各自的目录服务也区分为本地或全局。 可以将网格配置为仅使用本地用户和组,或使用本地和全局的用户和组。
用户和组也称为主体。 要特别识别主体,会为每个主体分配一个唯一标识符或主体 ID。 如果主体是用户,通常主体 ID 会被命名为用户 ID,同样,如果主体是组,主体 ID 通常被命名为组 ID。 主体 ID 可用于查找主体范围、类型和名称。 主体范围是指主体为本地还是全局;主体类型是指主体为用户还是组;主体名称是其人们可用的普通名称。 例如,本地用户 John 是具有本地范围、用户类型、名为 John 的主体。
RBAC 的主要功能是提供用户授权。 为了实现授权,RBAC 使用访问控制列表 (ACL)。 有三种与 ACL 关联的网格对象类型:应用、全局目录和网格本身。 ACL 包含所有者和条目列表。 所有者是主体,且具有修改 ACL 的隐式权利。 每个条目包含主体和相应的访问级别,对授权该主体在对象上执行操作的方式进行管理。 访问级别命名为权限集合。 例如,网格对象有名为“grid_administrator”的访问级别,包含在该访问级别中的权限之一是允许登录到网格。 ACL 中的每个主体均由主体 ID 表示。
RBAC 不消除维护人员对网格的访问权限。 由维护人员所执行的操作不受授权影响。
| 版权所有 © 2012 CA。 保留所有权利。 |
|