D.2. 常见 ACL
本节介绍所有四个子系统类型常见的默认访问控制配置。这些访问控制规则管理对基本和常见配置设置的访问,如日志记录和添加用户和组。
重要
这些 ACL 通常在每个子系统实例的
acl.ldif 文件中发生相同的 ACL。这些不是 共享的 ACL,因此配置文件或设置都由所有子系统实例保存在通用的。与所有其他实例配置一样,这些 ACL 与其他子系统实例独立维护,位于特定于实例的 acl.ldif 文件中。
D.2.1. certServer.acl.configuration
控制 ACL 配置的操作。默认配置是:
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | |||
|---|---|---|---|---|---|---|
| 读取 | 查看 ACL 资源并列出 ACL 资源、ACL 列表等效器和 ACL 等效器类型。 | Allow |
| |||
| 修改 | 添加、删除和更新 ACL 等效器。 | Allow | 管理员 |
D.2.2. certServer.admin.certificate
控制哪些用户可以通过证书管理器导入证书。默认情况下,任何人都允许此操作。默认配置是:
allow (import) user="anybody"
注意
此条目与用于配置实例的 CA 管理 Web 界面关联。此 ACL 仅在实例配置期间可用,且 CA 运行后不可用。
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| import | 导入 CA 管理员证书,并根据序列号检索证书。 | Allow | 任何人 |
D.2.3. certServer.auth.configuration
控制身份验证配置的操作。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | |||
|---|---|---|---|---|---|---|
| 读取 | 查看身份验证插件、身份验证类型、配置的身份验证管理器插件和验证实例。列出身份验证管理器插件和验证管理器实例。 | Allow |
| |||
| 修改 | 添加或删除身份验证插件和身份验证实例。修改身份验证实例。 | Allow | 管理员 |
D.2.4. certServer.clone.configuration
控制谁可以读取和修改克隆中使用的配置信息。默认设置为:
allow (modify,read) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 |
|---|---|---|---|
| 读取 | 查看原始实例配置。 | Allow | 企业管理员 |
| 修改 | 修改原始实例配置。 | Allow | 企业管理员 |
D.2.5. certServer.general.configuration
控制对子系统实例的常规配置的访问,包括谁可以查看并编辑 CA 的设置。
allow (read) group="Administrators" || group="Auditors" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents";allow (modify) group="Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | |||
|---|---|---|---|---|---|---|
| 读取 | 查看操作环境、LDAP 配置、SMTP 配置、服务器统计信息、加密、令牌名称、证书主题名称、证书别名、服务器、CA 证书以及所有用于管理的证书。 | Allow |
| |||
| 修改 | 修改 LDAP 数据库、SMTP 和加密的设置。发布导入证书、安装证书、信任和不信任 CA 证书、导入跨修复证书和删除证书。执行服务器重启和停止操作。登录所有令牌并检查令牌状态。根据需要运行自助范围。获取证书信息。处理证书主题名称。验证证书主题名称、证书密钥长度和证书扩展名。 | Allow | 管理员 |
D.2.6. certServer.log.configuration
控制对证书管理器的日志配置的访问,包括更改日志设置。
allow (read) group="Administrators" || group="Auditors" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents";allow (modify) group="Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | |||
|---|---|---|---|---|---|---|
| 读取 | 查看日志插件信息、日志插件配置和日志实例配置。列出日志插件和日志实例(不包括 NTEventLog)。 | Allow |
| |||
| 修改 | 添加和删除日志插件和日志实例。修改日志实例,包括日志滚动参数和日志级别。 | Allow | 管理员 |
D.2.7. certServer.log.configuration.fileName
限制访问以更改实例日志的文件名。
allow (read) group="Administrators" || group="Auditors" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents";deny (modify) user=anybody
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | |||
|---|---|---|---|---|---|---|
| 读取 | 查看日志实例的 fileName 参数的值。 | Allow |
| |||
| 修改 | 更改日志实例的 fileName 参数的值。 | 拒绝 | 任何人 |
D.2.8. certServer.log.content.system
控制谁可以查看实例的日志。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | |||
|---|---|---|---|---|---|---|
| 读取 | 查看日志内容。列出所有日志。 | Allow |
|
D.2.9. certServer.log.content.signedAudit
控制有权访问已签名的审计日志的人员。默认设置为:
allow (read) group="Auditors"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | |
|---|---|---|---|---|
| 读取 | 查看日志内容。列出日志。 | Allow |
|
D.2.10. certServer.registry.configuration
控制对管理 registry 的访问,即用于注册插件模块的文件。目前,这仅用于注册证书配置集插件。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"
| 操作 | 描述 | allow/Deny Access | 目标用户/组 | |||
|---|---|---|---|---|---|---|
| 读取 | 查看管理 registry、支持的策略约束、配置集插件配置和配置集插件列表。 | Allow |
| |||
| 修改 | 注册单个配置集实现插件。 | Allow | 管理员 |
