15.2. 默认组
用户的特权由用户的组(角色)成员资格决定。用户可以分配给的三个组(角色):
- 管理员。这个组被授予对管理界面中所有可用任务的完整访问权限。
- 代理。这个组被授予对代理服务接口中所有可用的任务的完整访问权限。
- 审核员。这个组被授予查看签名的审计日志的访问权限。此组没有任何其他特权。
为子系统之间的通信而创建第四个角色。管理员不应为这样的角色分配实际用户:
- 企业管理员。在配置期间,当每个子系统实例加入到安全域时,会自动将其作为企业管理员分配特定于子系统的角色。这些角色自动提供安全域中子系统之间的可信关系,以便每个子系统可以有效地与其他子系统交互。
15.2.1. 管理员
管理员有权执行所有管理任务。用户通过添加到组的 Administrators 组来指定为管理员。该组的每个成员都具有该证书系统实例的管理特权。
必须为每个证书系统实例定义一个管理员,但实例可以拥有的管理员数量没有限制。配置了实例时会创建第一个管理员条目。
管理员使用其证书系统用户 ID 和密码通过简单的绑定进行身份验证。
| 角色 | 描述 |
|---|---|
| 安全域管理员 |
默认情况下,托管域的 CA 的 CA 管理员被分配为安全域管理员。
|
| 企业 CA 管理员 |
|
| 企业 KRA 管理员 |
|
| Enterprise OCSP 管理员 |
|
| Enterprise TKS 管理员 |
|
| Enterprise TPS 管理员 |
|
如有必要,安全域管理员可以管理安全域和各个子系统上的访问控制。例如,安全域管理员可以限制访问,以便只有 KRA 部门才能设置 KRA 部门。
企业子系统管理员有足够的特权对域中的子系统执行操作。例如,企业 CA 管理员有权在配置过程中自动批准子 CA 证书。或者,安全域管理员也可以根据需要限制此右边。
15.2.2. 审核员
审核员可以查看签名的审计日志,并被创建来审核系统的操作。审核员无法以任何方式管理服务器。
一个审核员是通过将用户添加到 审核员 组,并将审核员的证书存储在用户条目中。审核员的证书用于加密用于为审计日志签名的密钥对的私钥。
在配置了子系统时,会设置 审核员 组。在配置过程中,不会将审核员分配给此组。
审核员使用其 UID 和密码通过简单的绑定向管理控制台进行身份验证。 经过身份验证后,审核员只能查看审计日志。它们无法编辑系统的其他部分。
15.2.3. 代理
代理通过将用户分配给适当的子系统代理组来创建,并且识别代理必须用于将 SSL 客户端身份验证用于子系统的证书,以便它能够服务来自代理的请求。每个子系统都有自己的代理组:
- 证书管理器代理组。
- 密钥恢复授权代理组。
- 在线证书状态管理器代理组。
- Token Key Service Agents 组。
- 令牌处理系统代理组。
每个证书系统子系统都有自己的代理,其角色由子系统定义。每个子系统必须至少有一个代理,但子系统可以具有代理数量。
证书系统通过检查其内部数据库中用户的 SSL 客户端证书来识别并验证具有代理特权的用户。
15.2.4. 企业组
注意
不应该将实际用户分配给此组。
在子系统配置期间,每个子系统实例都会加入到安全域。每个子系统实例将自动分配一个特定于子系统的角色,作为企业管理员。这些角色自动提供安全域中子系统之间的可信关系,以便每个子系统可以有效地与其他子系统交互。例如,这允许 OCSP 将 CRL 发布信息推送到域中的所有 CA 中,KRAs 来推送 KRA 连接器信息,CA 会自动批准 CA 中生成的证书。
企业子系统管理员有足够的特权对域中的子系统执行操作。每个子系统都有自己的安全域角色:
- 企业 CA 管理员
- 企业 KRA 管理员
- Enterprise OCSP 管理员
- Enterprise TKS 管理员
- Enterprise TPS 管理员
此外,CA 实例有一个安全域管理员组,用于管理域中的安全域、访问控制、用户和信任关系。
每个子系统管理员使用 SSL 客户端身份验证与安全域 CA 配置期间发布的子系统证书进行身份验证来对其他子系统进行身份验证。
