保护 Introscope › 使用本地安全设置保护 Introscope › 在 domains.xml 中配置 CA Introscope® 域权限

在 domains.xml 中配置 CA Introscope® 域权限

当 CA APM 用户或组登录时，会应用权限。 如果在 CA APM 用户或组登录之后进行了更改，那么直到下次尝试登录时才会识别这些更改。 这意味着，如果在某个会话期间更改了权限，CA Introscope® 不会终止该会话。

CA Introscope® 权限是动态的；只要进行登录尝试，企业管理器就会检查 domains.xml 和 server.xml 文件。 因此，可以在不重新启动企业管理器的情况下更改权限。

系统按照以下顺序授予用户对域的权限：

• 在指定用户的每个域中列出的所有权限。
• 在用户所属的某个组的每个域中列出的所有权限。

另外，当访问域时，还会应用以下规则：

• 在权限方面，对待超级域的方式与对待其他任何域一样。
• 授予用户或组的任何超级域访问权限也允许用户或组在所有用户定义的域中使用这些权限。
• 一个用户或组可以对单个域拥有多个权限。
• 一个用户或组可以在多个域中拥有权限。

请执行以下步骤：

1. 使用 XML 编辑程序，打开 <EM_Home>/config 目录中的 domains.xml 文件。
2. 对于每个域，使用以下属性定义用户或组的权限。

   注意：如果用户或组有多个权限，请为每个用户/权限对使用一行。

   读取

   用户或组可以查看域中的所有代理和业务逻辑。

   该权限包括如下任务：

   • 查看调查器树（将显示域中用户有权访问的代理）
   • 在 Workstation 控制台中查看显示板
   • 在“调查器预览”窗格中查看度量标准和元素数据，包括调查器树中特定资源的默认前 N 个筛选视图
   • 查看任何管理模块、代理或元素设置
   • 查看报警消息
   • 在历史数据查看器中刷新历史数据和进行缩放
   • 更改历史数据查看器的历史日期范围选项
   • 显示/隐藏图表中的度量标准
   • 在数据查看器中向后或向前移动度量标准
   • 更改组和用户首选项（设置主显示板，显示管理模块名称和显示板名称）

   注意：具有读取权限的用户或组可以查看 Workstation 中的所有命令。 但他们无权访问的命令会被禁用。

   写入

   具有写入权限的用户或组不仅可以执行需要读取权限的所有操作，而且还可以：

   • 查看域中的所有代理和业务逻辑
   • 创建和编辑显示板
   • 编辑域中的所有监控逻辑

   run_tracer

   用户或组可以为代理启动事务跟踪会话。

   注意：该权限还需要分配读取权限。

   historical_agent_control

   用户或组可以安装和卸载代理。

   注意：该权限还需要分配读取权限。

   live_agent_control

   用户或组可以关闭针对某个域中的度量标准、资源和代理的报告

   注意：该权限还需要分配读取权限。

   dynamic_instrumentation

   用户或组可以执行动态检测。

   有关动态检测的详细信息，请参阅《CA APM Java 代理实施指南》或《CA APM .NET 代理实施指南》。

   thread_dump

   用户或组可以查看和使用“线程转储”选项卡。

   有关使用和配置线程转储的信息，请参阅《CA APM Workstation 用户指南》和《CA APM Java 代理实施指南》。

   full

   用户或组拥有域的所有可能权限。

   注意：所有 XML 标记都区分大小写。

3. 对任何其他用户或组，重复步骤 2（对于每个域，定义...）。
4. 保存并关闭 domains.xml 文件。

   CA APM 用户登录时，企业管理器会检查 domains.xml 文件，以查看用户是否拥有相应的域权限。

注意：如果 domains.xml 文件中有语法错误或其他错误，企业管理器将不会启动。