Verwenden von CA AppLogic® › Grid-Administrationshandbuch › Rollenbasierte Zugriffskontrolle › Verwaltung beim Erstellen neuer Objekt-ACLs

Verwaltung beim Erstellen neuer Objekt-ACLs

Mit CA AppLogic® 3.1.x kann die Erstellung neuer Objekt-ACLs verwaltet werden. Die Eigentümer- und Prinzipaleinträge einer neu erstellten Objekt-ACL können über einen Benutzer oder über eine Gruppe bestimmt werden. Dies ermöglicht eine erhebliche Flexibilität beim Verwalten des Zugriffs auf neu erstellte Objekte. Die neue Objekt-ACL-Verwaltung führt folgende Konzepte ein:

Definition der neuen Objekt-ACL - Eine Definition der neuen Objekt-ACL kann zu einem bestimmten Benutzer oder zu einer bestimmten Gruppe zugeordnet werden. Die Definition der neuen Objekt-ACL und eine Objekt-ACL sind in der Form identisch. Sie besteht aus einem Eigentümer und einer Liste von Einträgen, in der jeder Eintrag aus einem Prinzipal und einer entsprechenden Zugriffsebene besteht. Jeder noch vorhandene Benutzer und Gruppe können, müssen jedoch nicht, über eine zugeordnete Definition der neuen Objekt-ACL verfügen. Wenn die Definition der neuen Objekt-ACL zu einem Benutzer zugeordnet wird, muss der Eigentümer dann entweder dieser Benutzer oder eine Gruppe (oder leer) sein. Wenn die Definition der neuen Objekt-ACL zu einer Gruppe zugeordnet wird, muss der Eigentümer eine Gruppe (oder leer) sein.

Primäre Gruppe - Eine primäre Gruppe ist eine Benutzerprofileigenschaft, die jene Gruppe anzeigt, die verwendet werden kann, um die neue Objekt-ACL für den entsprechenden Benutzer zu bestimmen. Die primäre Gruppe eines Benutzers kann festgelegt werden, wenn der Benutzer erstellt wird, oder indem der Befehl user set verwendet wird. Wenn die primäre Gruppe eines Benutzers nicht ausdrücklich festgelegt wurde, wird sie standardmäßig auf die implizite lokale Gruppe "all" festgelegt.

Wenn ein Benutzer eine neue Anwendung oder eine globalen Katalog erstellt, migriert oder importiert, wird die ACL des neuen Objekts folgendermaßen erstellt:

1. Wenn der ausführende Benutzer über eine zugeordnete Definition der neuen Objekt-ACL verfügt, verwenden Sie diese Definition, um die neue Objekt-ACL zu bestimmen.
2. Wenn jedoch die primäre Gruppe des ausführenden Benutzers über eine zugeordnete Definition der neuen Objekt-ACL verfügt, verwenden Sie diese Definition, um die neue Objekt-ACL zu bestimmen.
3. Legen Sie andernfalls den ausführenden Benutzer als Eigentümer des neuen Objekts fest, und stellen Sie diesem Benutzer volle Zugriffsebenenrechte bereit.

Eine Definition der neuen Objekt-ACL wird verwendet, um die Inhalte einer neuen Objekt-ACL folgendermaßen zu bestimmen:

1. Bestimmen Sie den Eigentümer in der ACL:
   • Wenn die Definition der neuen Objekt-ACL einen Benutzer als Eigentümer definiert hat und dieser Benutzer ein ausführender Benutzer ist, dann legen Sie den ausführenden Benutzer als Eigentümer in der neuen ACL fest.
   • Wenn jedoch die Definition der neuen Objekt-ACL eine Gruppe als Eigentümer definiert hat und diese Gruppe den ausführenden Benutzer als Mitglied beinhaltet, dann legen Sie diese Gruppe als Eigentümer in der neuen ACL fest.
   • Legen Sie andernfalls den ausführenden Benutzer als Eigentümer in der neuen ACL fest.
2. Bestimmen Sie die Liste von Einträgen in der ACL:
   • Schließen Sie jeden Eintrag aus der Definition der neuen Objekt-ACL in die neue ACL ein.
   • Stellen Sie dem ausführenden Benutzer vollen Zugriff in der neuen ACL bereit, wenn der Benutzer nicht bereits über vollen Zugriff (entweder ausdrücklich oder über Gruppenmitgliedschaft) verfügt. Dies überschreibt einen Eintrag in der Definition der neuen Objekt-ACL für den ausführenden Benutzer, wenn dieser vorhanden ist.

Wenn ein Benutzer eine vorhandene Anwendung kopiert, wird die ACL der Kopie folgendermaßen erstellt:

• Der Eigentümer wird, wie oben in der Objekterstellung beschrieben, bestimmt.
• Die Haupteinträge der ursprünglichen ACL werden intakt kopiert. Keiner dieser Einträge wird geändert, und es werden keine neuen Einträge hinzugefügt.

In der neuen Objekt-ACL-Verwaltung wird eine Reihe von neuen CLI-Hilfsprogrammen eingeführt und einige vorhandene Hilfsprogramme werden folgendermaßen geändert:

user set and user create

Diese Befehle führen eine neue Option ein: group=<group>[,<group>]* Die Option "group" kann verwendet werden, um die primäre Gruppe eines Benutzers festzulegen und den Benutzer folgendermaßen lokalen Gruppen als Mitglied hinzuzufügen:

• Der Benutzer wird in alle lokalen Gruppen auf der Liste als Mitglied hinzugefügt.
• Die primäre Gruppe des Benutzers wird in der ersten Gruppe auf der Liste festgelegt.
• Nur die erste Gruppe auf der Liste darf eine globale Gruppe sein.

  user info
  

Dieser Befehl wird geändert, um die primäre Gruppe des Benutzers und die Definition der neuen Objekt-ACL (falls vorhanden), die dem Benutzer zugeordnet ist, anzuzeigen.

user get_newobj_acl

Anzeigen der neuen Objekt-ACL, die einem Benutzer zugeordnet ist.

user put_newobj_acl

Ersetzen der neuen Objekt-ACL, die einem Benutzer zugeordnet ist.

user modify_newobj_acl

Ändern der neuen Objekt-ACL, die einem Benutzer zugeordnet ist.

group info and group get

Diese Befehle werden geändert, um die Definition der neuen Objekt-ACL, die einer Gruppe (falls vorhanden) zugeordnet ist, anzuzeigen.

group get_newobj_acl

Anzeigen der neuen Objekt-ACL, die einer Gruppe zugeordnet ist.

group put_newobj_acl

Ersetzen der neuen Objekt-ACL, die einer Gruppe zugeordnet ist.

group modify_newobj_acl

Ändern der neuen Objekt-ACL, die einer Gruppe zugeordnet ist.

Die folgenden Beispiele zeigen typische Anwendungsfälle für die Verwaltung beim Erstellen neuer Objekt-ACLs:

1. Um das Erstellen neuer Objekt-ACLs so zu verwalten, dass der Objektzugriff das Verhalten von CA AppLogic®-Versionen (2.9.x und früher) imitiert, erstellen Sie folgendermaßen eine Definition der neuen Objekt-ACL für die implizite lokale Gruppe "all":
   • Der Eigentümer ist die implizite lokale Gruppe "all".
   • Die Liste von Einträgen stellt der impliziten lokalen Gruppe "all" volle Zugriffsebenenrechte zur Verfügung.

   Standardmäßig ist jede primäre Gruppe des Benutzers die implizite lokale Gruppe "all". In diesem Beispiel ist es so, dass jedes Mal, wenn ein Benutzer ein neues Objekt erstellt, jeder der Eigentümer sein kann, und das Objekt für alle voll zugänglich ist.

2. Um das Erstellen neuer Objekt-ACLs durch einen einzelnen Benutzers zu verwalten, erstellen Sie eine Definition der neuen Objekt-ACL für diesen bestimmten Benutzer.
3. Um das Erstellen neuer Objekt-ACLs durch eine Gruppe von Benutzer zu verwalten, legen Sie die primäre Gruppe für jeden Benutzer für eine bestimmte Gruppe fest, und erstellen Sie für diese Gruppe eine Definition der neuen Objekt-ACL.
4. Um das Erstellen neuer Objekt-ACLs aller Gruppen zu verwalten, erstellen Sie eine Definition der neuen Objekt-ACL für die implizite lokale Gruppe "all". Dies hat Auswirkungen auf alle Benutzer, deren primäre Gruppe die implizite lokale Gruppe "all" ist und die keine Definition der neuen Objekt-ACL zugeordnet haben.