Authentification d'utilisateurs globaux

Informations de référence › Manuel de référence du shell de ligne de commande › Utilisation du contrôle d'accès basé sur les rôles › Authentification utilisateur › Authentification d'utilisateurs globaux

Authentification d'utilisateurs globaux

Lorsqu'un utilisateur se connecte à l'interface utilisateur graphique de CA AppLogic® ou via SSH afin d'ouvrir un shell de ligne de commande, la connexion implique les deux opérations suivantes :

L'authentification utilise le service d'annuaire local ou global pour vérifier que le nom d'utilisateur et le mot de passe sont valides.
L'autorisation vérifie que l'utilisateur est habilité à se connecter. Vous pouvez avoir des utilisateurs qui ne sont pas autorisés à se connecter. Par exemple, si un service d'annuaire global est utilisé pour l'authentification, certains utilisateurs conservés par le service d'annuaire global sont susceptibles de ne pas pouvoir se connecter à une grille particulière.

Pour qu'un utilisateur soit autorisé à se connecter, il est généralement ajouté à un groupe qui dispose des autorisations de connexion sur la liste de contrôle d'accès à la grille. Il est possible d'accorder au groupe local implicite tous les droits de niveau d'accès sur la liste de contrôle d'accès à la grille (tous ces niveaux d'accès incluent les autorisations de connexion). Dans ce cas, tous les utilisateurs locaux et tous les utilisateurs globaux sont autorisés à se connecter. Généralement, un utilisateur est ajouté à un groupe local ou global qui possède ces droits.

Dans le cas d'un utilisateur global, l'ID unique de ce dernier n'est déterminé qu'à partir du moment où l'utilisateur s'authentifie pour la première fois à l'aide du service d'annuaire global. Par conséquent, il est impossible d'ajouter un utilisateur global à un groupe local tant que cet utilisateur ne s'est pas authentifié au moins une fois. Si le groupe local implicite all ne dispose pas des autorisations de connexion, alors le processus utilisé pour permettre à un utilisateur global de se connecter à une grille se présente comme suit :

L'utilisateur global se connecte à l'interface utilisateur graphique de CA AppLogic®. Bien que l'authentification réussisse, l'autorisation échoue car l'utilisateur global n'a pas d'autorisation de connexion. Toutefois, l'authentification ayant réussi, l'ID d'utilisateur global a été déterminé et l'appartenance au groupe globale de l'utilisateur global a également été déterminée. En conséquence, ces informations sont mises en cache dans le service d'annuaire local.
L'utilisateur global est ajouté à un groupe local disposant d'autorisations de connexion ou un groupe global dont l'utilisateur global est membre reçoit des droits de niveau d'accès sur la liste de contrôle d'accès à la grille. Une fois cette étape terminée, l'utilisateur global peut se connecter via l'interface utilisateur graphique de CA AppLogic® ou via SSH.