アプリケーションは、作成、プロビジョン、インポート、またはマイグレートの操作を使用して作成できます。 同様に、グローバル カタログは、作成、インポート、またはマイグレートの操作を使用して作成できます。 ユーザがアプリケーションまたはグローバル カタログを作成すると、その ACL はそのユーザを所有者として作成され、そのユーザに full アクセス レベル権限を提供します。
アプリケーションがユーザによってコピーされると、新しく作成されたアプリケーション ACL は元のアプリケーション ACL のエントリを保持し、コピーしたユーザが所有者になります。 コピーしたユーザには、コピーされたアプリケーションで full アクセス レベル権限が明示的には付与されませんが、このユーザは新規オブジェクトの ACL の変更によって同様の権限を行使することができます。
デフォルトでは、エクスポート、インポート、またはマイグレートではオブジェクト ACL のエントリは保持されませんが、これを可能にするコマンド ライン オプションは存在します。
エクスポート中に ACL エントリを保持するには、--preserve_acl、--preserve_local_acl、または --preserve_global_acl オプションを使用します。 これらのオプションを使用すると、ACL エントリまたは ACL の選択されたエントリ部分がオブジェクトと共にエクスポートされます。
マイグレートまたはインポート中に ACL エントリを保持するには、同様に --preserve_acl、--preserve_local_acl、または --preserve_global_acl オプションを使用します。 マイグレートまたはインポートでは、リクエストされた ACL エントリは、そのプリンシパル ID が、新規オブジェクトが作成されたグリッド上の有効なプリンシパルに相当する場合のみ保持されます。 そのため、ACL 内のグローバル ユーザまたはグローバル グループのエントリを保持するには、オブジェクトが作成されたグリッドで、それらのグローバル ユーザとグループを管理するグローバル ディレクトリ サービスを使用する必要があります。 ローカルのプリンシパル エントリの場合、プリンシパル ID は、グリッド上の既存のローカル プリンシパルに対応している必要があります。 ローカル ユーザまたはローカル グループが作成されると、ランダム ID が割り当てられることに注意してください。 このため、2 つの異なるグリッド上の John という名前の 2 人のローカル ユーザが異なる ID を持つことになります。 その結果、オブジェクトを別のグリッドにマイグレートしたときに、一方のグリッド上の John を ACL エントリとして保持することができません。別のグリッド上の John が異なる ID を持っているためです。 現在、グリッド間で ID を保持できるローカル プリンシパルは、暗黙のローカル グループ all およびローカル グループ admin のみです。 これらの 2 つのローカル プリンシパルのみが、異なるグリッド上で同じ ID を持っています。 当然のことながら、同じグリッド上でオブジェクトをエクスポートしてからインポートした場合も、ほかのローカル プリンシパル エントリは保持できます。
マイグレートまたはインポート時にこれらのオプションが使用された場合、そのオブジェクトの ACL は通常どおりに作成されます。 たとえば、実行ユーザが新規オブジェクトの所有者になり、full アクセス レベル権限を付与されます。
Copyright © 2012 CA. All rights reserved. |
|