使用 CA AppLogic® › 网格管理指南 › Role-Based Access Control › 迁移对象
迁移对象
RBAC 影响授权对象迁移的方式、创建新迁移对象 ACL 的方式。
迁移操作依赖于 SSH 在远程网格上执行命令。 在此功能下,CA AppLogic® 仅从远程网格将 --import 迁移到本地网格。 如果用户使用 --export 选项迁移,那么 CA AppLogic® SSH 到远程网格并执行迁移 --import。
由此得出如果迁移对象 –-import,那么产生的新对象由在本地网格上执行迁移命令的该用户所拥有,该用户在产生的对象上具有 full 访问级别权限。 或者,如果迁移对象 --export,那么在远程网格上执行迁移命令 --import 的远程网格上的该用户拥有新对象并具有 full 访问级别权限。
对象迁移依赖于在两个网格之间建立的信任关系。 建立这种信任有两种不同的方式:
- 网格 L(本地网格)有公钥是网格 R(远程网格)的用户,网格 R 有公钥是网格 L 的用户。 在这种情况下,网格公钥/私钥对用于在迁移操作期间通过 SSH 执行远程命令。 这是最常见的信任关系,且在使用 CA AppLogic® GUI 迁移对象时总是必要的。
- 网格 L 和网格 R 各自有这样的用户,其公钥对应于用于 SSH 转发(由本地网格的执行用户打开的 shell)的私钥。 在这种情况下,迁移操作依赖于 SSH 转发(例如,在 PuTTY 会话中)以在迁移操作期间执行远程命令。
下表显示几个不同的迁移方案、前提条件和结果。 为了进行说明,该表针对下列示例用户:
- 网格 L 的用户 A-这是执行迁移命令的本地网格 L 的用户
- 网格 R 的用户 B-这是具有与用户 A 同样公钥的远程网格 R 的用户
- 网格 L 的用户 TA-该用户具有远程网格 R 的公钥,且用于在网格间建立信任
- 网格 R 的用户 TB-该用户具有本地网格 L 的公钥,且用于在网格间建立信任
|
迁移操作
|
前提条件
|
结果
|
|
使用 SSH 密钥转发迁移 --import
|
- 用户 A 在网格 L 上具有 app_developer 或 grid_administrator 访问级别权限。
- 用户 B 在网格 R 上具有 app_developer 或 grid_administrator 访问级别权限。
- 用户 B 在应用上具有 configure 或 full 访问级别权限。
|
在网格 L 上创建的生成应用由用户 A 拥有,且该用户在应用上具有 full 访问级别权限。
|
|
使用由网格公钥/私钥对建立的信任关系迁移 --import
|
- 用户 A 在网格 L 上具有 app_developer 或 grid_administrator 访问级别权限。
- 用户 TB 在网格 R 上具有 app_developer 或 grid_administrator 访问级别权限。
- 用户 TB 在应用上具有 configure 或 full 访问级别权限。
|
在网格 L 上创建的生成应用由用户 A 拥有,且该用户在应用上具有 full 访问级别权限。
|
|
使用 SSH 密钥转发迁移 --export
|
- 用户 A 在网格 L 上具有 app_developer 或 grid_administrator 访问级别权限。
- 用户 A 在应用上具有 configure 或 full 访问级别权限。
- 用户 B 在网格 R 上具有 app_developer 或 grid_administrator 访问级别权限。
|
在网格 R 上创建的生成应用由用户 B 拥有,且该用户在应用上具有 full 访问级别权限。
|
|
使用由网格公钥/私钥对转发建立的信任关系迁移 --export
|
- 用户 A 在网格 L 上具有 app_developer 或 grid_administrator 访问级别权限。
- 用户 A 在应用上具有 configure 或 full 访问级别权限。
- 用户 TA 在应用上具有 configure 或 full 访问级别权限。
- 用户 TB 在网格 R 上具有 app_developer 或 grid_administrator 访问级别权限。
|
在网格 R 上创建的生成应用由用户 TB 拥有,且该用户在应用上具有 full 访问级别权限。
|
版权所有 © 2013 CA。
保留所有权利。
|
|