Referenzinformationen › Befehlszeilen-Shell-Referenzhandbuch › Verwenden der rollenbasierten Zugriffskontrolle (RBAC) › Benutzerauthentifizierung › Globale Benutzerauthentifizierung

Globale Benutzerauthentifizierung

Wenn sich ein Benutzer bei der CA AppLogic®-GUI anmeldet oder sich mit SSH anmeldet, um eine Befehlszeilen-Shell zu öffnen, besteht die Anmeldung aus den beiden folgenden getrennten Operationen:

• Authentifizierung verwendet entweder den lokalen oder globalen Directory-Service, um zu überprüfen, ob Benutzername und Kennwort gültig sind.
• Mit der Genehmigung wird überprüft, ob der Benutzer die Berechtigung hat, sich anzumelden. Es ist zulässig, Benutzer zu haben, die nicht über die Berechtigung zur Anmeldung verfügen. Beispiel: Wenn ein globaler Directory-Service für die Authentifizierung verwendet wird, ist höchstwahrscheinlich nicht allen vom globalen Directory-Service verwalteten Benutzern erlaubt, sich bei einem bestimmten Grid anzumelden.

Damit einem Benutzer die Anmeldeberechtigung erteilt wird, wird dieser Benutzer normalerweise einer Gruppe hinzugefügt, die Anmeldeberechtigung für die Grid-ACL hat. Es ist möglich, der impliziten lokalen Gruppe alle Zugriffsebenenrechte für die Grid-ACL zu erteilen (für alle derartigen Zugriffsebenen ist eine Anmeldeberechtigung erforderlich). In diesem Fall wird jedem lokalen Benutzer und jedem globalen Benutzer die Berechtigung zur Anmeldung erteilt. Normalerweise wird ein Benutzer einer lokalen oder globalen Gruppe hinzugefügt, die über diese Rechte verfügt.

Im Falle eines globalen Benutzers wird die eindeutige ID des Benutzers erst bestimmt, wenn sich der Benutzer erstmalig mithilfe des globalen Directory-Service authentifiziert. Dadurch ist es nicht möglich, einen globalen Benutzer einer lokalen Gruppe hinzuzufügen, solange sich dieser Benutzer nicht mindestens einmal authentifiziert hat. Wenn der impliziten lokalen Gruppe "all" keine Anmeldeberechtigung gewährt wird, dann ist der Prozess, mit dem sich ein globaler Benutzer anmelden kann und Zugriff auf ein Grid erhält, wie folgt:

1. Der globale Benutzer meldet sich bei der CA AppLogic®-GUI an. Während die Authentifizierung erfolgreich verläuft, schlägt die Genehmigung fehl, weil der globale Benutzer keine Anmeldeberechtigung hat. Da aber die Authentifizierung erfolgreich war, konnten die globale Benutzer-ID und auch die globale Gruppenmitgliedschaft des globalen Benutzers bestimmt werden. Dadurch wurde diese Information im lokalen Directory-Service zwischengespeichert.
2. Der globale Benutzer wird einer lokalen Gruppe mit Anmeldeberechtigung hinzugefügt, oder eine globale Gruppe, in der der globale Benutzer Mitglied ist, erhält Zugriffsebenenrechte für die Grid-ACL. Sobald dieser Schritt fertiggestellt ist, kann sich der globale Benutzer erfolgreich über die CA AppLogic®-GUI oder über SSH anmelden.