2.5.2. 更改权限组合策略

Permission Combination Policy 决定如何在为用户分配多个角色时确定权限。这可以设置为 permissive 或 rejecting。默认值为 permissive。

当设置为 permissive 时，如果为允许某一操作的用户分配了任何角色，则允许该操作。

当设置为 rejecting 时，如果为用户分配了多个角色，则不允许任何操作。这意味着，当策略设置为拒绝每个用户时，应仅为其分配一个角色。当策略设置为 rejecting 时，具有多个角色的用户将无法使用管理控制台或管理 CLI。

Permission Combination Policy 通过以下方式进行配置：将 permission-combination-policy 属性设置为 permissive 或 rejecting。这可以通过管理 CLI 或编辑服务器配置 XML 文件来完成（如果服务器脱机）。permission-combination-policy 属性是 access-control 元素的一部分，可在 management 元素中找到 access-control 元素。

设置权限组合策略

使用访问授权资源的 write-attribute 操作，将 permission-combination-policy 属性设置为所需的策略名称。

/core-service=management/access=authorization:write-attribute(name=permission-combination-policy, value=POLICYNAME)

有效的策略名称将 拒绝 和 许可。

/core-service=management/access=authorization:write-attribute(name=permission-combination-policy, value=rejecting)

如果服务器离线，则可以编辑 XML 配置来更改权限组合策略值。为此，可编辑 access -control 元素的 permission-combination- policy 属性。

<access-control provider="rbac" permission-combination-policy="rejecting">
  <role-mapping>
    <role name="SuperUser">
      <include>
        <user name="$local"/>
      </include>
    </role>
  </role-mapping>
</access-control>