11.2. 默认组
用户的特权由其组(角色)成员资格决定。用户可以分配到三个组(角色):
- 管理员。这个组被授予对管理界面中所有可用任务的完整访问权限。
- 代理。这个组被授予对代理服务接口中所有可用任务的完整访问权限。
- 审核员.这个组被授予查看签名的审计日志的访问权限。这个组没有任何其他特权。
有第四个角色专门用于子系统之间的通信。管理员绝不应该为这样的角色分配真实用户:
- 企业管理员.在配置期间加入安全域时,每个子系统实例将自动作为企业管理员分配特定于子系统的角色。这些角色在安全域中的子系统之间自动提供可信关系,以便每个子系统可以有效地执行与其他子系统的交互。
11.2.1. 管理员
管理员具有执行所有管理任务的权限。通过添加到组的 Administrators 组,将用户指定为管理员。该组的每个成员都有该证书系统实例的管理特权。
每个证书系统实例必须至少定义一个管理员,但对实例可以具有的管理员数量没有限制。配置实例时会创建第一个管理员条目。
管理员通过使用其证书系统用户 ID 和密码简单的绑定进行身份验证。
| 角色 | 描述 |
|---|---|
| 安全域管理员 |
默认情况下,托管域的 CA 的 CA 管理员被分配为安全域管理员。 |
| 企业 CA 管理员 |
|
| Enterprise KRA Administrators |
|
| 企业 OCSP 管理员 |
|
| 企业 TKS 管理员 |
|
| Enterprise TPS Administrators |
|
根据需要,安全域管理员可以管理安全域和各个子系统上的访问控制。例如,安全域管理员可以限制访问,以便只有财务部门 KRA 管理员可以设置财务部门 KRA。
企业子系统管理员被授予足够的特权,可以对域中的子系统执行操作。例如,企业 CA 管理员具有在配置过程中自动批准 SubCA 证书的权限。或者,安全域管理员可以在需要时限制此权限。
11.2.2. 审核员
审核员可以查看签名的审计日志,并创建了用于审核系统操作。审核员无法以任何方式管理服务器。
审核员是通过将用户添加到 Auditors 组创建的,并将审核员的证书存储在用户条目中。审核员的证书用于加密用于为审计日志签名的密钥对的私钥。
配置子系统时,将设置 Auditors 组。在配置过程中没有将审核员分配给这个组。
审核员通过使用 UID 和密码的简单绑定进行身份验证到管理控制台中。经过身份验证后,审核员只能查看审计日志。它们无法编辑系统的其他部分。
11.2.3. 代理
代理是分配了最终用户证书和密钥管理特权的用户。代理可以访问代理服务接口。
代理是通过将用户分配给适当的子系统代理组并识别代理必须用来向子系统进行 SSL 客户端身份验证的证书来创建的,以便它能够服务来自代理的请求。每个子系统都有自己的代理组:
- 证书管理器代理组。
- 密钥恢复授权代理组。
- 在线证书状态管理器组。
- Token Key Service Agents 组。
- 令牌处理系统代理组。
每个证书系统子系统具有自己的代理,角色由 子系统定义。每个子系统必须至少有一个代理,但子系统可以有的代理数量没有限制。
证书系统通过在其内部数据库中检查用户的 SSL 客户端证书来识别和验证具有代理特权的用户。
11.2.4. 企业级组
不应为该组分配任何实际用户。
在子系统配置过程中,每个子系统实例都加入到一个安全域。每个子系统实例自动作为企业管理员分配特定于子系统的角色。这些角色在安全域中的子系统之间自动提供可信关系,以便每个子系统可以有效地执行与其他子系统的交互。例如,这允许 OCSP 将 CRL 发布信息推送到域中的所有 CA,KRA 推送 KRA 连接器信息,CA 用于自动批准 CA 中生成的证书。
企业子系统管理员被授予足够的特权,可以对域中的子系统执行操作。每个子系统都有自己的安全域角色:
- 企业 CA 管理员
- Enterprise KRA Administrators
- 企业 OCSP 管理员
- 企业 TKS 管理员
- Enterprise TPS Administrators
此外,还有管理安全域、访问控制、用户和信任关系的 CA 实例的 Security Domain Administrators 组。
每个子系统管理员使用 SSL 客户端身份验证和安全域 CA 中发布的子系统证书向其他子系统进行身份验证。
