全局用户身份验证

当用户登录到 CA AppLogic GUI，或使用 SSH 登录以打开命令行 shell 时，登录包括以下两次单独的操作：

身份验证使用本地或全局目录服务来验证用户名和密码是否有效。
授权验证用户是否有权登录。具有无权登录的用户是有效的。例如：在全局目录服务用于执行身份验证的情况下，并不是所有由全局目录服务维护的用户都可获准登录到特定的网格。

对于将被授予登录权限的用户，通常将该用户添加到对网格 ACL 具有登录权限的组。可以向隐式本地组授予对网格 ACL 的所有访问级别权限（所有这些访问级别包括登录权限）。在这种情况下，每个本地用户和每个全局用户都被授予登录权限。通常，用户被添加到授予这些权限的本地或全局组。

对于全局用户而言，直到用户使用全局目录服务第一次进行身份验证时，才确定该用户的唯一 ID。因此，不能将全局用户添加到本地组，直到该用户已经进行至少一次身份验证。如果未向隐式本地组 all 提供登录权限，那么用于向全局用户提供对网格的登录访问权限的过程如下所述：

全局用户登录到 CA AppLogic GUI。当身份验证成功时，授权失败，因为全局用户没有登录权限。由于身份验证已经成功，因此确定了全局用户 ID，并且还确定了全局用户的全局组成员身份。因此，该信息已缓存在本地目录服务中。
全局用户已添加到具有登录权限的本地组，或者，向全局用户所属的全局组授予对网格 ACL 的访问级别权限。该步骤完成后，全局用户可以通过 CA AppLogic GUI 或 SSH 成功地登录。