访问级别关系

使用 CA AppLogic® › 网格管理指南 › Role-Based Access Control › 访问级别关系

访问级别关系

下图提供网格对象访问级别间关系的直观表示：

APP--

下图提供应用和全局目录访问级别间关系的直观表示：

应用和全局目录访问级别间关系的直观表示

下表详细说明根据提供给执行用户的网格访问级别，所允许的各种操作。

	网格操作	monitor	app_operator	app_developer	grid_operator	grid_administrator
应用管理	列出应用	X	X	X	X	X
	迁移应用³ 或类⁴			X		X
	配给应用⁶			X		X
	创建或导入应用			X		X
目录管理	列出目录	X	X	X	X	X
	迁移目录⁵ 或类⁴			X		X
	创建全局目录			X		X
网格管理	显示或列出显示板消息	X	X	X	X	X
	显示控制器系统日志消息	X	X	X	X	X
	显示网格高可用性信息	X	X	X	X	X
	显示网格信息	X	X	X	X	X
	列出服务器	X	X	X	X	X
	显示服务器信息	X	X	X	X	X
	SCP/SFTP 通过 /_impex 转发			X		X
	显示网格 ACL				X	X
	标记或重置控制器系统日志				X	X
	创建、销毁或修改显示板消息				X	X
	设置、重新加电、重新启动或关闭网格				X	X
	检查网格高可用性				X	X
	设置、禁用、启用、识别、重新加电、关闭、打开、重新启动或关闭服务器				X	X
	显示或修改任何对象的 ACL					X
用户/组/配额管理	用户登录	X	X	X	X	X
	列出用户/组/配额	X	X	X	X	X
	显示用户/组/配额信息	X	X	X	X	X
	创建或销毁用户					X
	解锁任何用户²					X
	设置任何用户配置文件属性²					X
	创建或修改配额					X
	创建、销毁或修改组					X
卷管理	列出卷	X	X	X	X	X
	显示卷信息¹	X	X	X	X	X
	显示卷的修复状态	X	X	X	X	X
	创建、销毁、格式化、重命名或调整大小卷⁷		X	X	X	X
	复制卷⁸		X	X	X	X
	设置、管理、fscheck 或 fsrepair 卷¹⁰		X	X	X	X
	导入或导出卷⁹			X		X
	检查、清理、迁移或修复卷				X	X
	在全局卷上执行写入操作					X

¹ 获得有关应用用户卷的信息，应用本地目录类卷或单例卷在应用上至少需要 read 访问级别权限。获得全局目录类卷的信息，在目录上至少需要 read 访问级别权限。

² 提供用户可以登录，任何用户可以解锁自己的用户帐户，任何用户可以设置自己的用户配置文件属性。

³ 迁移应用 --export 在应用上需要 full 访问级别权限。

⁴ 迁移全局目录类 --import 在全局目录上需要 full 访问级别权限。迁移应用本地目录类或单例 --import 在应用上需要 full 访问级别权限。迁移全局目录类 --export 在全局目录上需要 configure 或 full 访问级别权限。迁移应用本地目录类或单例 --export 在应用上需要 configure 或 full 访问级别权限。

⁵ 迁移应用本地目录 --import 在应用上需要 full 访问级别权限。迁移应用本地目录 --export 在应用上需要 configure 或 full 访问级别权限。迁移全局目录 --export 在目录上需要 configure 或 full 访问级别权限。

⁶ 配置应用在应用上至少需要 read 访问级别权限。配置 filer 系统应用是一个特殊情况，对应用开发人员和网格管理员不设限制。

⁷ 如果卷是应用用户或单例类卷，那么这些卷操作在应用上需要 full 访问级别权限。创建到应用用户卷的符号链接也需要链接应用的 full 访问级别权限。全局卷的写入操作需要 grid_administrator 访问级别权限。

⁸ 复制卷时，如果源卷是全局目录类卷，那么在目录上至少需要 control 访问级别权限。如果源卷是应用用户卷、应用本地目录类卷或应用单例卷，那么在应用上至少需要 read 访问级别权限。如果目标卷是应用用户卷或应用单例卷，那么在应用上需要 full 访问级别权限。

⁹ 导入应用用户卷或单例类卷在应用上需要 full 访问级别权限。导出应用用户卷或应用单例卷在应用上需要 configure 或 full 访问级别权限。

¹⁰ 如果卷是应用用户卷、应用本地目录类卷或单例卷，那么在应用上需要 full 访问级别权限。如果卷是全局目录类卷，那么在目录上需要 configure 或 full 访问级别权限。

网格管理员没有修改或销毁应用或全局目录的隐式权限；然而，网格管理员可以通过修改对象 ACL 授予自己这样的权限。

具有 grid_administrator 访问权限的用户可以将所有者设置为任何人。具有所有其他访问权限的用户仅可以将所有者设置为其自己或其所属的组。

注意：请确保您定义成所有者的任何组都有 can_own 属性。

下表详细说明根据提供给执行用户的应用访问级别，所允许的各种操作。

应用操作	read	control	configure	full
监控应用	X	X	X	X
显示应用配置	X	X	X	X
显示应用、组件或 iface 信息	X	X	X	X
获取应用包描述符	X	X	X	X
复制应用⁴	X	X	X	X
登录到应用 Web 控制台		X	X	X
启动、停止、建立、清理、继续、修复或重新启动应用³		X	X	X
禁用、启用或重置组件 iface		X	X	X
启动、停止、继续或重新启动组件		X	X	X
导出应用²			X	X
修改应用配置			X	X
在 GUI 编辑器中编辑应用				X
创建、销毁分支、复制或移动应用本地目录类⁵				X
通过 /app SCP 转发到运行的应用¹				X
登录到组件（SSH、文本、图形或 Web）				X
锁定或解锁应用				X
重命名或销毁应用				X
显示或修改应用 ACL				X
在 GUI 编辑器中配置应用注意：在用户尝试编辑有“configure”权限，而不是“full”访问权限的应用时，GUI 编辑器以仅配置模式打开。在仅配置模式下，用户可以配置应用，但他们无法更改其定义。			X	X
在 GUI 编辑器中查看应用注意：在用户尝试编辑有“read”或“control”访问权限，而不是“configure”或“full”访问权限的应用时，GUI 编辑器以只读模式打开。用户无法以“只读”模式更改应用的定义或配置。	X	X	X	X

¹ 要求用户在网格上具有 app_operator、app_developer 或 grid_administrator 访问级别权限。

² 导入或导出应用、全局目录或全局目录类在网格上需要 app_developer 或 grid_administrator 访问级别权限。

³ 除停止和清理操作外，所有这些操作对于应用中每个引用的全局目录类，在目录上至少需要 control 访问级别权限。

⁴ 复制应用在网格上需要 app_developer 或 grid_administrator 访问级别权限。

⁵ 在复制或移动类时，如果源类是应用单例或应用本地目录类，或者目标类是应用单例或应用本地目录类，那么在应用上需要 full 访问级别权限。如果源类是全局目录类，那么在目录上至少需要 control 访问级别权限。如果目标类是全局目录类，那么在目录上需要 full 访问级别权限。

下表详细说明根据提供给执行用户的目录访问级别，所允许的各种操作。

目录操作	read	control	configure	full
显示类信息	X	X	X	X
获取类描述符	X	X	X	X
使用类		X	X	X
复制类¹		X	X	X
分支类²			X	X
导出目录或类³			X	X
创建、销毁或重命名类				X
锁定或解锁类				X
销毁目录				X
显示或修改目录 ACL				X

如果源类是应用单例或应用本地目录类，或者目标类是应用单例或应用本地目录类，那么在应用上需要 full 访问级别权限。如果源类是全局目录类，那么在目录上至少需要 control 访问级别权限。如果目标类是全局目录类，那么在目录上需要 full 访问级别权限。

将类分支在应用上需要 full 访问级别权限。
导入或导出应用、全局目录或全局目录类在网格上需要 app_developer 或 grid_administrator 访问级别权限。