当访问者尝试访问资源时,CA ControlMinder 通过按照预先确定的顺序运行一次或多次检查来检查访问权限,直至其获得结果。 如果在任何一次检查中生成了访问结果(拒绝或允许访问),则 CA ControlMinder 不会进一步执行检查而是返回结果。
CA ControlMinder 运行这些检查的顺序很重要。 默认情况下,对于每项资源,CA ControlMinder 均按以下顺序检查访问记录:
最后两项检查的顺序由 accpacl 选项的设置确定。 您可以通过使用 selang 命令设置选项 setpacl- 来禁用对资源 PACL 的使用。
一个 Access Control 列表可以包含多个影响用户的条目。 例如,可以包含与用户显式相关的条目,还可以包含用户所属的每个组的条目。 CA ControlMinder 在进入下个级别之前检查每个级别所有可能的条目。 有关 CA ControlMinder 如何解决每个级别的冲突规则的详细信息,请参阅《用户和组访问权限之间的互动》。
示例:对文件的结果权限
在下表中,假设名为 user1 的访问者尝试读取资源 file1。
在下表中,CA ControlMinder 按照 accpacl 选项的默认设置使用 PACL。
|
NACL 中用于 user1 的条目 |
ACL 中用于 user1 的条目 |
PACL 中用于 user1 的条目 |
defaccess 中的条目 |
结果权限 |
|---|---|---|---|---|
|
读取 |
(Any) |
(Any) |
(Any) |
拒绝读取权限 |
|
(Not defined) |
无 |
(Any) |
(Any) |
拒绝读取权限 |
|
(Not defined) |
读取 |
(Any) |
(Any) |
授予读取权限 |
|
(Not defined) |
(Not defined) |
via pgm securereader |
(Any) |
允许通过 securereader 程序读取 |
|
(Not defined) |
(Not defined) |
(Not defined) |
读取 |
授予读取权限 |
如果条目显示为 (Not defined),则表示 Access Control 列表中不存在用于 user1 的条目。
如果条目显示为 (Any),则表示该 Access Control 列表中的条目无关紧要,因为 CA ControlMinder 不对其进行检查。
CA ControlMinder 检查的顺序为从左到右。 请注意,对于所有行来说,具有定义的访问权限的单元格右侧的单元格均具有值 (Any)。 相反,包含定义的访问权限的单元格左侧的所有单元格均具有值 (Not defined)。
|
版权所有 © 2013 CA。
保留所有权利。
|
|