Autenticación de usuarios globales

Información de referencia › Guía de referencia del shell de la línea de comandos › Uso del control de acceso basado en roles › Autenticación del usuario › Autenticación de usuarios globales

Autenticación de usuarios globales

Cuando un usuario se conecta a la GUI de CA AppLogic, o se conecta mediante SSH para abrir una shell de línea de comandos, el inicio de sesión está formado por las siguientes dos operaciones independientes:

La autenticación utiliza el servicio de directorio local o global para verificar que el nombre de usuario y la contraseña so válidos.
La autorización verifica que el usuario tiene permiso para acceder. Se pueden tener usuarios que no tienen permiso para acceder. Por ejemplo, en el caso de que un servicio de directorio global se utilice para realizar la autenticación, es probable que no todos los usuarios mantenidos por el servicio de directorio global puedan acceder a un grid determinado.

Para que se conceda permiso de inicio de sesión a un usuario, este usuario está por lo general agregado a un grupo que tiene permiso de inicio de sesión en el ACL del grid. Se pueden conceder derechos de nivel de acceso al grupo local implícito "todos" en el ACL del grid (todos esos niveles de acceso incluyen permiso de inicio de sesión). En este caso, se concede permiso para acceder a todos los usuarios locales y globales. Normalmente, se agrega un usuario a un grupo local o global al que se le conceden estos derechos.

En el caso de un usuario global, el ID único del usuario no se determina hasta que el usuario se autentica la primera vez que utiliza el servicio de directorio global. Como resultado, no se puede agregar un usuario global a un grupo local hasta que ese usuario se ha autenticado como mínimo una vez. Si no se proporciona permiso de inicio de sesión al grupo local implícito "todos", el proceso que se utiliza para ofrecer al usuario acceso al grid es el siguiente:

El usuario global se conecta a la GUI de CA AppLogic. Aunque la autenticación sea correcta, no se puede realizar la autorización porque el usuario global no tiene permiso de inicio de sesión. Como la autenticación se ha realizado correctamente, se ha determinado el ID de usuario global y la pertenencia al grupo global del usuario global. Como resultado, esta información se ha almacenado en la memoria caché del servicio de directorio local.
El usuario global se agrega a un grupo local con permiso de inicio de sesión, o se proporcionan derechos de nivel de acceso al ACL del grid a un grupo global al cual pertenece el usuario global. Una vez que este paso se ha realizado, el usuario global puede acceder correctamente a través de la GUI de CA AppLogic o mediante SSH.