Uso de CA AppLogic® › Guía de administración del grid › Control de acceso basado en roles › Gestión de usuarios y grupos

Gestión de usuarios y grupos

Gestión de usuarios locales

Los usuarios locales se gestionan mediante la interfaz de línea de comandos (CLI) de CA AppLogic®. La interfaz de línea de comandos se puede utilizar para:

• Crear o destruir usuarios locales
• Establecer propiedades de perfil para los usuarios locales (por ejemplo, dirección de correo electrónico, nombre real, configuración regional, etc.)
• Obtener información de usuarios locales (por ejemplo, ID, pertenencia a grupos, propiedades de perfil)
• Enumerar usuarios locales. Se debe tener en cuenta que, de forma predeterminada, cuando se enumeran usuarios sólo se muestran aquéllos que disponen de permiso para iniciar sesión. Se puede utilizar la opción --extended del comando user list para que se incluyan en la salida los usuarios que no tienen permiso para iniciar sesión.

Cuando se crean usuarios locales, estos no obtienen de forma automática ningún derecho de nivel de acceso sobre ningún objeto (a menos que se hayan concedido tales derechos al grupo local implícito all) Habitualmente, tras crear un usuario, el administrador del grid agrega el usuario a uno o más grupos locales. Estos grupos se gestionan para proporcionar derechos de nivel de acceso a sus miembros.

Consulte el material de referencia en línea de la interfaz de línea de comandos para obtener información acerca de los comandos de gestión de usuario.

Gestión de usuarios globales

Los usuarios globales se mantienen (lo cual incluye la creación, modificación y supresión) fuera de CA AppLogic®, mediante herramientas específicas para el servicio de directorio global.

Sin embargo, los comandos de gestión de usuarios de la interfaz de línea de comandos de CA AppLogic® se pueden utilizar para trabajar con usuarios globales de la forma siguiente:

• user set: este comando se puede utilizar para establecer propiedades de perfil de usuarios globales, como la configuración regional o la dirección de correo electrónico. Estas propiedades se almacenan en el directorio local y se establecen únicamente para el grid específico para el cual se ejecuta el comando. CA AppLogic® nunca escribe información en los servicios de directorio globales. CA AppLogic® no puede cambiar la contraseña de usuarios globales.
• user info: este comando se puede utilizar para obtener información de un usuario global, incluyendo cualquier propiedad de perfil de usuario.
• user list: este comando se puede utilizar para enumerar usuarios globales.

Además, los comandos de la interfaz de línea de comandos de CA AppLogic® se utilizan para proporcionar a los usuarios globales permiso para acceder al grid y a los objetos del mismo. Esto se puede realizar mediante uno o varios de los métodos siguientes:

• modificar una lista de control de acceso para proporcionar acceso al grupo global al cual pertenece el usuario
• agregar el usuario global a un grupo local que disponga de acceso a un objeto
• modificar una lista de control de acceso para proporcionar acceso específicamente al usuario global

Gestión de grupos locales

Los grupos locales se gestionan mediante la interfaz de línea de comandos (CLI) de CA AppLogic®. La interfaz de línea de comandos se puede utilizar para:

• Crear o destruir grupos locales
• Obtener información para un grupo local (por ejemplo ID o lista de miembros)
• Cambiar la pertenencia de un grupo local
• Cambiar la opción por la cual un grupo local puede poseer objetos
• Enumerar los grupos locales.

Los grupos locales pueden tener como miembros usuarios locales, grupos locales, usuarios globales o grupos globales. Cuando se crean grupos locales, la pertenencia aparece en blanco.

Nota: Se recomienda la lectura de la información acerca de los comandos de gestión de grupo.

Gestión de grupos globales

Los grupos globales se mantienen fuera de CA AppLogic®. Sin embargo, los comandos de gestión de grupos de la interfaz de línea de comandos de CA AppLogic® se pueden utilizar para trabajar con grupos globales de la forma siguiente:

group info

Utilice este comando para obtener información de un grupo global, incluido el ID del grupo y la información de pertenencia.

group list

Utilice este comando para enumerar grupos globales.

group modify

Utilice este comando para cambiar la opción por la cual un grupo global puede poseer objetos.

La información de pertenencia a un grupo global se almacena en la memoria caché cuando un usuario global realiza la autenticación. En este caso, la pertenencia del usuario a un grupo global se determina de forma recursiva y esta información de pertenencia se almacena en la memoria caché del servicio de directorio local. Por ello, la pertenencia de grupo global en caché incluye sólo usuarios globales (y sólo aquéllos que previamente han iniciado sesión en el grid).

Si se agrega o se elimina de un grupo global un usuario que se encuentra conectado, los cambios se aplican después de que el usuario cierre sesión y la inicie de nuevo.

Cuando se utiliza la interfaz de línea de comandos para enumerar grupos globales o para obtener información sobre un grupo global, los resultados se determinan a partir de los datos en caché del servicio de directorio local, en lugar de leerlos directamente en el servicio de directorio global.