|
|
|
RBAC steht für rollenbasiertes Zugriffskontrollsystem (RBAC) von CA AppLogic. Mit diesem System kann äußerst genau gesteuert werden, welche Benutzer welche Aktionen an welchen Objekten in einem Grid ausführen dürfen. Der allgemeine Zweck von RBAC besteht darin, vielen Benutzern die Arbeit in einem Grid zu erlauben, ohne sich dabei gegenseitig in die Quere zu kommen. RBAC ist nicht dafür ausgelegt, Mandantenfähigkeit bereitzustellen. Zum Beispiel können alle Benutzer die Liste aller Anwendungen fast auf die gleiche Weise anzeigen wie Benutzer in Linux die Dateien auflisten können, auf die sie keinen Zugriff haben (Namespaces von Objekten werden nicht getrennt).
RBAC unterstützt sowohl Benutzer als auch Gruppen mit dem Ziel, Benutzeraktionen zu genehmigen. Gruppen können Benutzer oder andere Gruppen als Mitglieder einschließen. Benutzer und Gruppen, die für ein bestimmtes Grid spezifisch sind, können mithilfe der Befehlszeilenschnittstelle (CLI) von CA AppLogic erstellt werden. Informationen zu Benutzern und Gruppen werden von einem Verzeichnisdienst verwaltet, der auf der Grid-Steuerung installiert wird.
RBAC unterstützt auch die optionale Verwendung von externen Verzeichnisdiensten wie Microsoft® Windows® Active Directory®. In diesem Fall werden bei der Authentifizierung eines Benutzers durch diesen Service die Informationen über Benutzer und Gruppen des externen Verzeichnisdienstes verwendet.
CA AppLogic bezieht sich auf Benutzer und Gruppen, die als lokale Benutzer zu einem spezifischen Grid gehören. Benutzer und Gruppen, die in einem externen Verzeichnisdienst verwaltet werden, werden als global bezeichnet. Auch die zugehörigen Verzeichnisdienste werden in lokal und global unterschieden. Ein Grid kann konfiguriert werden, um nur lokale Benutzer und Gruppen zu verwenden, oder sowohl lokale als auch globale Benutzer und Gruppen zu verwenden.
Benutzer und Gruppen werden auch als Prinzipale bezeichnet. Um einen Prinzipal eindeutig zu identifizieren, wird jedem Prinzipal eine eindeutige Kennung oder Prinzipal-ID zugewiesen. Wenn der Prinzipal ein Benutzer ist, wird die Prinzipal-ID oft als Benutzer-ID bezeichnet, und wenn der Prinzipal eine Gruppe ist, wird die Prinzipal-ID oft als Gruppen-ID bezeichnet. Die Prinzipal-ID kann verwendet werden, um Bereich, Typ und Namen des Prinzipals zu suchen. Der Bereich des Prinzipals zeigt an, ob der Prinzipal lokal oder global ist; der Typ des Prinzipals zeigt an, ob der Prinzipal ein Benutzer oder eine Gruppe ist; der Name des Prinzipals ist sein allgemein gebräuchlicher Name. Zum Beispiel ist der lokale Benutzer John ein Prinzipal des Bereichs "Lokal" vom Typ "Benutzer" mit dem Namen "John".
Die Hauptfunktion von RBAC ist, Benutzerautorisierung zu gewähren. Dazu verwendet RBAC Zugriffssteuerungslisten (Access Control Lists - ACLs). Es gibt drei Typen von Grid-Objekten, denen eine ACL zugeordnet ist: Anwendungen, globale Kataloge und das Grid selbst. Eine ACL besteht aus einem Eigentümer und einer Liste von Einträgen. Der Eigentümer ist ein Prinzipal und verfügt über das ausdrückliche Recht, die ACL zu ändern. Jeder Eintrag besteht aus einem Prinzipal und einer entsprechenden Zugriffsebene, die bestimmt, wie dieser Prinzipal autorisiert wird, um Aktionen auf dem Objekt auszuführen. Eine Zugriffsebene ist eine Sammlung bestimmter Berechtigungen. Zum Beispiel hat das Grid-Objekt eine Zugriffsebene mit Namen grid_administrator, und eine der in dieser Zugriffsebene enthaltenen Berechtigungen ist die Berechtigung, sich beim Grid anzumelden. Jeder Prinzipal in einer ACL wird mit einer Prinzipal-ID dargestellt.
RBAC beseitigt nicht den Verwalterzugriff auf das Grid. Operationen, die vom Verwalter ausgeführt werden, sind nicht von der Genehmigung abhängig.
| Copyright © 2012 CA. Alle Rechte vorbehalten. |
|