La autenticación es el proceso de confirmación de la identidad de un usuario con la finalidad de acceder al grid. AppLogic admite la autenticación basada en contraseña en la GUI y la autenticación basada en clave pública cuando se accede a la interfaz de la línea de comandos (CLI) mediante una shell segura (SSH).
Se realiza la autenticación de la GUI para los usuarios locales mediante el servicio de directorio local incorporado para la autenticación basada en contraseña.
La autenticación de la GUI para usuarios globales confía en el servicio de directorio global externo para la autenticación basada en contraseña.
La autenticación de SSH para usuarios locales y globales confía en SSH para que proporcione autenticación basada en clave pública. Cada grid mantiene localmente claves de SSH públicas para usuarios globales porque la mayor parte de los directorios globales no proporcionan esta capacidad.
Cuando un usuario global accede al CLI mediante SSH, la shell de la línea de comandos interactiva que resulta requiere que el usuario se autentique a la vez con el servicio de directorio global. Esto se hace para mantener la relación de confianza entre el grid y el servicio de directorio global.
La ejecución de línea de comandos remota no interactiva mediante SSH se desactiva para usuarios globales.
Cuando un usuario se conecta a la GUI de AppLogic o se conecta mediante SSH para abrir una shell de línea de comandos, el inicio de sesión está formado por dos operaciones independientes: autenticación y autorización. Incluso cuando la autenticación se realiza correctamente, el acceso al grid se deniega si el usuario no tiene permiso para iniciar sesión. Todos los niveles de acceso definidos para la ACL del grid proporcionan permiso para iniciar sesión. Mientras al usuario se le conceda cualquier tipo de derechos de nivel de acceso en la ACL del grid, o sea un miembro de un grupo con tales derechos, el usuario tendrá permiso para conectarse.
Cuando un usuario global se autentica, la pertenencia a un grupo global de ese usuario se lee del servicio de directorio global. Esta información se almacena en la memoria caché del servicio de directorio local. Esta información de pertenencia a grupo global en caché se utiliza al determinar si se autoriza o no que el usuario realice la acción.
1 Es un caso de uso válido para que haya usuarios que no tienen permisos para iniciar sesión. Por lo general, solamente un subconjunto limitado de todos los usuarios mantenidos en un servicio de directorio global pueden conectarse a un grid en particular. Asimismo, un administrador de grid puede denegar la capacidad de un usuario en concreto de conectarse, con lo que desactivaría la cuenta del usuario sin destruirlo.
|
Copyright © 2013 CA.
Todos los derechos reservados.
|
|