CA AppLogic 3.1.x では、新規オブジェクト ACL 作成を管理する機能が導入されています。 新しく作成されたオブジェクト ACL の所有者およびプリンシパルのエントリは、ユーザまたはグループによって決まります。 これにより、新しく作成されたオブジェクトへのアクセスを管理する上でかなりの柔軟性が実現します。 新規オブジェクト ACL 管理では以下の概念が導入されました。
新規オブジェクト ACL 定義 - 新規オブジェクト ACL 定義は特定のユーザまたはグループに関連付けることができます。 新規オブジェクト ACL 定義の形式はオブジェクト ACL の形式と同一です。 所有者とエントリのリストで構成され、各エントリはプリンシパルおよび対応するアクセス レベルで構成されます。 残りの各ユーザおよびグループには、新規オブジェクト ACL 定義が関連付けられている場合といない場合があります。 新規オブジェクト ACL 定義がユーザに関連付けられている場合、所有者はそのユーザまたはグループ(または空)のいずれかである必要があります。 新規オブジェクト ACL 定義がグループに関連付けられている場合、所有者はグループ(または空)である必要があります。
プライマリ グループ - プライマリ グループは、対応するユーザの新規オブジェクト ACL を判断するために使用できるグループを示すユーザ プロファイル プロパティです。 ユーザのプライマリ グループは、そのユーザの作成時に user set コマンドによって設定できます。 ユーザのプライマリ グループが明示的に設定されていない場合、暗黙のローカル グループ all がデフォルトで使用されます。
ユーザが新規アプリケーションまたはグローバル カタログを作成、マイグレート、インポートした場合、新規オブジェクトの ACL は以下のように作成されます。
新規オブジェクト ACL 定義を使用して、新規オブジェクト ACL の内容を以下のように決定します。
ユーザが既存のアプリケーションをコピーした場合、コピーの ACL は以下のように作成されます。
新規オブジェクト ACL 管理では、以下のように多くの新しい CLI ユーティリティが導入され、いくつかの既存のユーティリティが変更されました。
user set と user create
これらのコマンドでは、新しいオプション group=<group>[,<group>]* が導入されています。group オプションを使用して、ユーザのプライマリ グループを設定し、ユーザをローカル グループにメンバとして以下のように追加できます。
user info
このコマンドは、ユーザのプライマリ グループを表示するために変更されました。ユーザに関連付けられた新規オブジェクト ACL 定義がある場合はそれも表示されます。
user get_newobj_acl
ユーザに関連付けられた新規オブジェクト ACL を表示します。
user put_newobj_acl
ユーザに関連付けられた新規オブジェクト ACL を置換します。
user modify_newobj_acl
ユーザに関連付けられた新規オブジェクト ACL を変更します。
group info と group get
これらのコマンドは、グループに関連付けられた新規オブジェクト ACL 定義が存在する場合に表示するよう変更されました。
group get_newobj_acl
グループに関連付けられた新規オブジェクト ACL を表示します。
group put_newobj_acl
グループに関連付けられた新規オブジェクト ACL を置換します。
group modify_newobj_acl
グループに関連付けられた新規オブジェクト ACL を変更します。
以下の例は、新規オブジェクト ACL 作成を管理する典型的な事例を示しています。
デフォルトでは、各ユーザのプライマリ グループは暗黙のローカル グループ all です。 この例では、ユーザが新規オブジェクトを作成するたびに、全ユーザがそれを所有し、完全にアクセスできるようになります。
Copyright © 2012 CA. All rights reserved. |
|