第 15 章 管理系统用户和组
本章解释了如何设置对管理、代理服务和端到端页面的访问权限的授权。
15.1. 关于授权
授权 是允许访问与证书系统关联的某些任务的过程。访问可以限制为允许特定用户或组对子系统的某些区域进行某些任务,以及不同的用户和组的不同任务。
用户特定于在其中创建它们的子系统。每个子系统都有自己的一组用户,独立于安装任何其他子系统。用户放置在组中,可以预定义或用户创建的组中。通过 访问控制列表 (ACL)将特权分配给组。管理控制台、代理服务界面和终端实体页面中的区域关联 ACL,这些页面在允许操作继续前执行授权检查。每个 ACL 中的 访问控制指令 (ACI)都会被创建,专门用于允许或拒绝该 ACL 到指定用户、组或 IP 地址可能的操作。
ACL 包含为创建的默认组的一组默认 ACI。可以修改这些 ACI,以更改预定义的组的权限,或为新创建的组分配特权。
授权通过以下流程:
- 用户使用证书系统用户 ID 和密码或证书对接口进行身份验证。
- 服务器通过将用户 ID 和密码与数据库中存储的用户或检查数据库中存储的证书匹配来验证用户。使用基于证书的身份验证时,服务器还通过将证书的 DN 与用户关联并检查用户条目来检查证书是否有效,并找到用户的组成员资格。使用基于密码的身份验证时,服务器会根据用户 ID 检查密码,然后通过将该用户 ID 与组中包含的用户 ID 关联来查找用户的组成员资格。
- 当用户尝试执行操作时,授权机制比较用户的用户 ID、用户所属的组,或者用户的 IP 地址与为该用户、组或 IP 地址设置的 ACL 地址进行比较。如果存在允许该操作的 ACL,则操作将继续进行。