11.2. 默认评估
Red Hat Certificate System 提供四个默认的评估者。
CS.cfg 文件中默认列出以下条目:
accessEvaluator.impl.group.class=com.netscape.cms.evaluators.GroupAccessEvaluator accessEvaluator.impl.ipaddress.class=com.netscape.cms.evaluators.IPAddressAccessEvaluator accessEvaluator.impl.user.class=com.netscape.cms.evaluators.UserAccessEvaluator accessEvaluator.impl.user_origreq.class=com.netscape.cms.evaluators.UserOrigReqAccessEvaluator
组 访问评估评估用户的组成员资格属性。例如,在以下注册配置集条目中,只允许 CA 代理使用该配置集注册:
authz.acl=group="Certificate Manager Agents"
ipaddress 访问 evaluator 评估请求主题的 IP 地址。例如,在以下注册配置集条目中,只有指定 IP 地址的主机才可以通过该配置集注册:
authz.acl=ipaddress="a.b.c.d.e.f"
用户访问 evaluator 评估用户 ID 以进行完全匹配。
authz.acl=user="bob"
user_origreq 访问 evaluator 根据之前匹配的请求评估经过身份验证的用户是否相等。此特殊评估器专为续订目的而设计,以确保请求续订的用户是拥有原始请求的用户。例如,在以下续订注册配置集条目中,经过身份验证的用户的 UID 必须与请求续订的用户的 UID 匹配:
authz.acl=user_origreq="auth_token.uid"
新的评估器可以在当前框架中编写,并可通过 CS 控制台注册。默认的 evaluator 可用作模板,以扩展到更目标插件中。
