|
|
|
身份验证是出于访问网格的目的,确认用户身份的过程。 通过安全 shell (SSH) 访问命令行界面 (CLI) 时,AppLogic 支持在 GUI 的基于密码的身份验证和基于公钥的身份验证。
使用基于密码身份验证的内置本地目录服务执行本地用户的 GUI 身份验证。
全局用户的 GUI 身份验证依赖于针对基于密码身份验证的外部全局目录服务。
本地和全局用户的 SSH 身份验证依赖于 SSH,提供基于公钥的身份验证。 全局用户的公共 SSH 密钥在本地由每个网格进行维护,因为多数全局目录不提供该功能。
全局用户使用 SSH 访问 CLI 时,产生的交互式的命令行 shell 要求用户使用全局目录服务立刻进行验证。 这样做的目的是维护网格和全局目录服务之间的信任关系。
对于全局用户,禁用通过 SSH 的非交互式远程命令行的执行。
当用户登录到 AppLogic GUI,或使用 SSH 登录以打开命令行 shell 时,登录包括以下两次单独的操作:身份验证和授权。 即使身份验证成功,如果用户没有登录的权限 1,仍会拒绝对网格的访问。 针对网格 ACL 定义的所有访问级别提供要登录的权限。 只要授予该用户在网格 ACL 上的任何一种访问级别权限,或该用户是有如此权限的组的成员,那么该用户具有登录的权限。
当全局用户身份验证时,系统将从全局目录服务中读取该用户的全局组成员身份。 该信息缓存在本地目录服务中。 在确定该用户是否有权执行操作时,会使用此缓存的全局组成员身份信息。
1 这是有效的使用情况,因为存在没有登录权限的用户。 通常,仅允许在全局目录服务中维护的所有用户的有限子集登录到特定的网格。 同时,网格管理员可能想拒绝某个特定用户的登录权限,有效地做法是禁用用户的帐户,而不销毁它。
| 版权所有 © 2012 CA。 保留所有权利。 |
|