上一主题: 管理对象 ACL下一主题: 初始对象 ACL

使用 CA AppLogic®网格管理指南Role-Based Access Control管理新对象 ACL 的创建

管理新对象 ACL 的创建

CA AppLogic® 3.1.x 介绍了管理新对象 ACL 创建的功能。 新建对象 ACL 的所有者和主体条目可由用户或组确定。 这在管理对新建对象的访问方面提供了相当大的灵活性。 新对象 ACL 管理介绍了以下概念:

新对象 ACL 定义 -新对象 ACL 定义可与特定的用户或组关联。 新对象 ACL 定义在形式上与对象 ACL 相同。 它包含所有者和条目列表,其中每个条目包含主体和相应的访问级别。 每个现有用户和组可能有或没有关联的新对象 ACL 定义。 如果新对象 ACL 定义与用户关联,那么所有者一定是该用户或组(或为空)。 如果新对象 ACL 定义与组关联,那么所有者一定是组(或为空)。

主要组 -主要组是用户配置文件属性,表示针对相应用户可用于确定新对象 ACL 的组。 用户的主要组可在创建用户时设置或通过使用 user set 命令设置。 如果用户的主要组没有显式设置,那么它默认为隐式本地组 all。

在用户创建、迁移或导入新应用或全局目录时,新对象的 ACL 创建如下:

  1. 如果执行的用户有关联的新对象 ACL 定义,那么使用该定义来确定新对象 ACL。
  2. 或,如果执行用户的主要组有关联的新对象 ACL 定义,那么使用该定义来确定新对象 ACL。
  3. 或,使执行的用户成为新对象的所有者,并提供该用户 full 访问级别权限。

新对象 ACL 定义用于确定新对象 ACL 的内容如下:

  1. 确定 ACL 中的所有者:
  2. 确定 ACL 中的条目列表:

在用户复制现有应用时,ACL 的副本创建如下:

新对象 ACL 管理介绍了一些新的 CLI 实用工具,并修改了几个现有实用工具,如下所示:

user set and user create

这些命令引入了一个新的选项:group=<group>[,<group>]*。该 group 选项可用于设置用户的主要组,并将用户添加为本地组的成员,如下所示:

修改该命令以显示用户的主要组,如果存在,新对象 ACL 定义与该用户关联。

user get_newobj_acl

显示与用户关联的新对象 ACL。

user put_newobj_acl

替换与用户关联的新对象 ACL。

user modify_newobj_acl

修改与用户关联的新对象 ACL。

group info and group get

如果存在,修改这些命令以显示与组关联的新对象 ACL 定义。

group get_newobj_acl

显示与组关联的新对象 ACL。

group put_newobj_acl

替换与组关联的新对象 ACL。

group modify_newobj_acl

修改与组关联的新对象 ACL。

以下示例说明管理新对象 ACL 创建的典型案例:

  1. 要管理新对象 ACL 的创建(如对象访问模仿 CA AppLogic® 版本 2.9.x 和更低版本的行为),创建隐式本地组 all 的新对象 ACL 定义,如下所示:

    默认情况下,每个用户的主要组是隐式本地组 all。 在该示例中,用户每次创建新对象时,每个人都拥有它且对它有 full 访问权限。

  2. 要管理单个用户的新对象 ACL 创建,请为该特定用户创建新的对象 ACL 定义。
  3. 要管理一组用户的新对象 ACL 创建,请将每个用户的主要组设置为特定组,并为该组创建新对象 ACL 定义。
  4. 要管理所有用户的新对象 ACL 创建,请为隐式本地组 all 创建新对象 ACL 定义。 这将影响每个用户(其主要组是隐式本地组 all,且没有与其自身关联的新对象 ACL 定义)。