10.2. 默认评估器
Red Hat Certificate Systemnbsp;Hat Certificate Red Hat Certificate Systemnbsp;System 提供 4 个默认评估器。在
CS.cfg
文件中会默认列出以下条目:
accessEvaluator.impl.group.class=com.netscape.cms.evaluators.GroupAccessEvaluator accessEvaluator.impl.ipaddress.class=com.netscape.cms.evaluators.IPAddressAccessEvaluator accessEvaluator.impl.user.class=com.netscape.cms.evaluators.UserAccessEvaluator accessEvaluator.impl.user_origreq.class=com.netscape.cms.evaluators.UserOrigReqAccessEvaluator
组
访问评估器评估用户的组成员资格属性。例如,在以下注册配置集条目中,只有 CA 代理才可以使用该配置集进行注册:
authz.acl=group="Certificate Manager Agents"
ipaddress
access evaluator 评估请求主体的 IP 地址。例如,在以下注册配置集条目中,只有指定 IP 地址的主机才可以使用该配置集进行注册:
authz.acl=ipaddress="a.b.c.d.e.f"
用户访问 evaluator 评估用户 ID 完全匹配。
例如,在以下注册配置集条目中,只有与列出的用户匹配的用户才可以使用该配置集进行注册:
authz.acl=user="bob"
user_origreq
访问 evaluator 根据前一个匹配的请求评估经过身份验证的用户。此特殊评估器专门设计用于续订的用户,确保请求续订的用户是拥有原始请求的用户。例如,在以下续订注册配置集条目中,经过身份验证的用户的 UID 必须与请求续订的用户 UID 匹配:
authz.acl=user_origreq="auth_token.uid"
新的评估器可以在当前框架中编写,并可通过 CS 控制台进行注册。默认的 evaluators 可用作模板,以展开和自定义到更目标的插件。