14.2. 默认组
用户的特权由用户的 group(role)成员身份决定。用户可以分配给以下三个组(角色):
- 管理员。此组被授予对管理界面中所有可用任务的完全访问权限。
- 代理。此组被授予对代理服务接口中所有可用任务的完全访问权限。
- 审核员.通过此组查看签名的审计日志,可以访问此组。这个组没有任何其他特权。
有一个专为子系统之间的通信而创建的第四个角色。管理员绝对不应将真实用户分配给这样的角色:
- 企业管理员。在配置期间,每个子系统实例将自动分配一个特定于子系统的角色,作为企业管理员。这些角色在安全域的子系统之间自动提供可信关系,这样每个子系统都可以高效地与其他子系统交互。
14.2.1. 管理员
管理员具有执行所有管理任务的权限。用户通过将 添加到组的 Administrators 组来指定或识别为管理员。该组的每个成员均具有证书证书系统nbsp;System 的管理权限。
必须至少为每个证书证书系统nbsp;System 实例定义了一个管理员,但实例可以拥有的管理员数量没有限制。配置实例时会创建第一个管理员条目。
管理员使用其证书证书系统nbsp 并通过简单的绑定进行身份验证;系统用户 ID 和密码。
| 角色 | 描述 |
|---|---|
| 安全域管理员 |
默认情况下,托管域的 CA 管理员将作为安全性域管理员分配。
|
| Enterprise CA 管理员 |
|
| 企业 KRA 管理员 |
|
| Enterprise OCSP 管理员 |
|
| Enterprise TKS 管理员 |
|
| Enterprise TPS 管理员 |
|
必要时,安全域管理员可以管理安全域和各个子系统的访问控制。例如,安全域管理员可以限制访问,使只有财务部门 KRA 管理员才能设置财务部门 KRA。
企业子系统管理员具有足够的特权,以便对域中的子系统执行操作。例如,企业 CA 管理员在配置过程中自动批准了子 CA 证书的权限。或者,如果必要,安全域管理员可以限制此限制。
