使用 CA AppLogic® › 网格管理指南 › Role-Based Access Control › 管理用户和组

管理用户和组

管理本地用户

使用 CA AppLogic® 命令行界面 (CLI) 管理本地用户。 CLI 可用于：

• 创建或销毁本地用户
• 设置本地用户的配置文件属性（例如，电子邮件地址、真实姓名、区域设置等）
• 获取本地用户的信息（例如，ID、组成员身份、配置文件属性）
• 列出本地用户。 请注意，列出用户时，默认情况下，仅列出那些具有登录权限的用户。 用户列表命令的 --extended 选项可包括在没有登录权限的输出用户中。

创建本地用户时，不会对任何对象自动授予任何特定访问级别的权限（除非授予隐式本地组“all”这样的权限）。 通常，网格管理员会在创建用户之后将该用户添加到一个或多个本地组，并管理这些组向其成员提供访问级别权限。

有关用户管理命令的信息，请查看在线 CLI 参考。

管理全局用户

使用全局目录服务的特定工具，对全局用户进行维护－在 CA AppLogic® 之外创建、修改、删除。

但是，CA AppLogic® CLI 用户管理命令用于与全局用户一起使用，如下所示：

• user set－该命令用于设置全局用户配置文件属性，如区域设置或电子邮件地址。 这些属性存储在本地目录中，且仅针对执行该命令的特定网格进行设置。 CA AppLogic® 从未将任何信息写入全局目录服务。 CA AppLogic® 无法更改全局用户密码。
• user info－该命令用于获得全局用户的信息，包括任何用户配置文件属性。
• user list－该命令用于列出全局用户。

此外，CA AppLogic® CLI 命令用于提供访问网格和网格对象的全局用户权限。 通过以下一个或多个方式完成：

• 修改 ACL，提供用户所属的全局组的访问权限
• 将全局用户添加到可访问对象的本地组
• 修改 ACL 特别向全局用户提供访问权限

管理本地组

使用 CA AppLogic® 命令行界面 (CLI) 管理本地组。 CLI 可用于：

• 创建或销毁本地组
• 获取本地组的信息（例如，ID、成员列表）
• 更改本地组的会员
• 更改本地组是否可以拥有对象
• 列出本地组

本地组可能有本地用户、本地组、全局用户或全局组作为成员。 本地组创建时，其成员身份为空。

注意：建议您阅读组管理命令的相关信息。

管理全局组

全局组在 CA AppLogic® 之外进行维护。 但是，CA AppLogic® CLI 组管理命令用于与全局用户一起使用，如下所示：

group info

使用此命令可获得全局组的信息，包括组 ID 和成员信息。

group list

使用此命令可列出全局组。

group modify

使用此命令可更改全局组是否可以拥有对象。

全局组成员身份信息是在全局用户进行身份验证时缓存的。 在这种情况下，递归地确定用户的全局组成员身份，并且该成员身份信息缓存在本地目录服务中。 因此，缓存的全局组成员身份仅包括全局用户（只有那些在网格上曾经身份验证过的全局用户）。

如果添加当前登录的用户或从全局组中删除用户，更改会在用户注销且又登录之后才会生效。

在 CLI 用于列出全局组或获得全局组信息时，会从本地目录服务的缓存数据确定结果，而不是直接从全局目录服务读取。