Verwenden von CA AppLogic® › Grid-Administrationshandbuch › Rollenbasierte Zugriffskontrolle › Verwalten von Benutzern und Gruppen

Verwalten von Benutzern und Gruppen

Verwalten von lokalen Benutzern

Lokale Benutzer werden mithilfe der CA AppLogic®-Befehlszeilenschnittstelle (CLI) verwaltet. Die CLI kann für folgende Vorgänge verwendet werden:

• Erstellen oder Löschen lokaler Benutzer
• Festlegen der Profileigenschaften von lokalen Benutzern (zum Beispiel: E-Mail-Adresse, wirklicher Name, Gebietsschema, etc.)
• Abrufen von Informationen für einen lokalen Benutzer (zum Beispiel: ID, Gruppenmitgliedschaft, Profileigenschaften)
• Auflisten lokaler Benutzer. Beachten Sie, dass bei der Auflistung von Benutzern standardmäßig nur Benutzer aufgelistet werden, die über eine Anmeldeberechtigung verfügen. Die Option "--extended" des Benutzerlistenbefehls kann verwendet werden, um in die Ausgabe Benutzer einzuschließen, die nicht über eine Anmeldeberechtigung verfügen.

Wenn ein lokaler Benutzer erstellt wird, werden diesem nicht automatisch bestimmte Zugriffsebenenrechte auf einem Objekt erteilt (außer wenn die implizite lokale Gruppe "all" über diese Rechte verfügt). Nachdem ein Grid-Administrator einen Benutzer erstellt hat, fügt er normalerweise diesen Benutzer zu einer oder mehreren lokalen Gruppen hinzu. Diese Gruppen werden so verwaltet, dass sie ihre Mitglieder mit Zugriffsebenenrechten versorgen.

Informationen zu Benutzerverwaltungsbefehlen finden Sie in der CLI-Online-Referenz.

Verwalten von globalen Benutzern

Globale Benutzer werden außerhalb von CA AppLogic® mit den Tools, die für den globalen Verzeichnisdienst spezifisch sind, verwaltet, d.h. erstellt, geändert oder gelöscht.

Allerdings können die CLI-Benutzerverwaltungsbefehle von CA AppLogic® verwendet werden, um mit globalen Benutzern folgendermaßen zu arbeiten:

• user set: Dieser Befehl kann verwendet werden, um globale Benutzerprofileigenschaften wie das Gebietsschema oder die E-Mail-Adresse festzulegen. Diese Eigenschaften werden im lokalen Verzeichnis gespeichert und werden nur für das jeweilige Grid festgelegt, auf dem der Befehl ausgeführt wird. CA AppLogic® schreibt niemals Informationen in einen globalen Verzeichnisdienst. CA AppLogic® kann ein globales Benutzerkennwort nicht ändern.
• user info: Dieser Befehl kann verwendet werden, um Informationen für einen globalen Benutzer einschließlich beliebiger Benutzerprofileigenschaften abzurufen.
• user list: Dieser Befehl kann verwendet werden, um globale Benutzer aufzulisten.

Außerdem werden CLI-Befehle von CA AppLogic® verwendet, um globalen Benutzern die Berechtigung zu gewähren, auf das Grid und Grid-Objekte zuzugreifen. Dies erfolgt mithilfe einer oder mehrerer der folgenden Methoden:

• Ändern einer ACL, um Zugriff auf eine globale Gruppe zu gewähren, zu der der Benutzer gehört.
• Hinzufügen des globalen Benutzer zu einer lokalen Gruppe, die Zugriff auf ein Objekt hat.
• Ändern einer ACL, um speziell diesem globalen Benutzer Zugriff zu gewähren.

Verwalten lokaler Gruppen

Lokale Gruppen werden mithilfe der CA AppLogic®-Befehlszeilenschnittstelle (CLI) verwaltet. Die CLI kann für folgende Vorgänge verwendet werden:

• Erstellen oder Löschen lokaler Gruppen
• Abrufen von Informationen für eine lokale Gruppe (zum Beispiel: ID, Mitgliederliste)
• Ändern der Mitgliedschaft einer lokalen Gruppe
• Ändern der Einstellung, ob eine lokale Gruppe Objekte besitzen kann
• Auflisten lokaler Gruppen

Lokale Gruppen können lokale Benutzer, lokale Gruppen, globale Benutzer oder globale Gruppen als Mitglieder haben. Wenn eine lokale Gruppe erstellt wird, ist ihre Mitgliedschaft leer.

Hinweis: Wir empfehlen, dass Sie die Informationen zu den Gruppenverwaltungsbefehlen lesen.

Verwalten von globalen Gruppen

Globale Gruppen werden außerhalb von CA AppLogic® verwaltet. Allerdings können die CLI-Gruppenverwaltungsbefehle von CA AppLogic® verwendet werden, um mit globalen Gruppen folgendermaßen zu arbeiten:

group info

Verwenden Sie diesen Befehl, um Informationen für eine globale Gruppe, einschließlich der Gruppen-ID und Mitgliedschaftsinformation, abzurufen.

group list

Verwenden Sie diesen Befehl, um globale Gruppen aufzulisten.

group modify

Verwenden Sie diesen Befehl, um die Einstellung zu ändern, ob eine globale Gruppe Objekte besitzen kann oder nicht.

Informationen zu globalen Gruppenmitgliedschaften werden zwischengespeichert, wenn sich ein globaler Benutzer authentifiziert. In diesem Fall wird die globale Gruppenmitgliedschaft des Benutzers rekursiv bestimmt, und diese Mitgliedschaftsinformation wird im lokalen Verzeichnisdienst zwischengespeichert. Dadurch enthält die zwischengespeicherte globale Gruppenmitgliedschaft nur globale Benutzer (und nur diejenigen globalen Benutzer, die sich zuvor auf dem Grid authentifiziert haben).

Wenn ein Benutzer, der gegenwärtig angemeldet ist, zu einer globalen Gruppe hinzugefügt oder aus ihr entfernt wird, werden die Änderungen sichtbar, nachdem der Benutzer sich abgemeldet und erneut angemeldet hat.

Wenn CLI verwendet wird, um globale Gruppen aufzulisten oder Informationen über eine globale Gruppe abzurufen, werden die Ergebnisse von zwischengespeicherten Daten im lokalen Verzeichnisdienst bestimmt, und nicht direkt vom globalen Verzeichnisdienst gelesen.