第 11 章 管理证书系统用户和组
本章介绍了如何设置访问管理、代理服务和端到端页面的授权。
11.1. 关于授权
授权 是允许访问与证书系统关联的某些任务的过程。可将访问权限限制为允许某些任务到子系统的某些区域,用于某些用户或组,以及不同用户和组的不同任务。
注意
本节中讨论的每个组关联的 ACL 不能修改。
用户特定于在其中创建子系统的子系统。每个子系统拥有自己的一组用户,独立于安装的任何其他子系统。用户放置在组中,可以预定义或用户创建的。通过 访问控制列表 (ACL)将权限分配给组。在允许操作操作前,有与管理控制台、代理服务界面和最终实体页面相关的 ACL,执行授权检查。创建每个 ACL 中的 访问控制指令 (ACI),以明确允许或拒绝该 ACL 对指定用户、组或 IP 地址可能的操作。
ACL 包含所创建的默认组的默认 ACI 集合。可以修改这些 ACI,以更改预定义的组的权限,或为新创建的组分配特权。
授权通过以下流程:
- 用户使用证书系统用户 ID 和密码或证书向接口进行身份验证。
- 服务器通过匹配用户 ID 和密码与数据库中存储的用户 ID 和密码匹配,或者根据数据库中存储的证书检查证书来验证用户。使用基于证书的身份验证时,服务器还会检查证书是否有效,并通过将证书的 DN 与用户关联并检查用户条目来查找用户的组成员资格。使用基于密码的身份验证时,服务器会根据用户 ID 检查密码,然后通过将该用户 ID 与组中包含的用户 ID 关联来查找该用户的组成员资格。
- 当用户尝试执行操作时,授权机制会比较用户的用户 ID、用户所属的组,或者该用户的 IP 地址与该用户、组或 IP 地址设置的 ACL 地址进行比较。如果存在允许该操作的 ACL,则操作将继续。
