11.9.10. 配置约束
11.9.10.1. 配置 Sensitivity 约束
每个敏感性约束(Sensitivity Constraint)都定义了被认为是 “敏感的”的资源的集合。敏感的资源通常是某种机密的内容,如密码,或者对服务器的操作有着重大影响的东西,如网络、JVM 配置或系统属性。访问控制系统本身也被视作敏感的资源。资源敏感性限制了哪些角色可以读、写或寻址专门的资源。
应用程序约束的配置位于管理 API 里的
/core-service=management/access=authorization/constraint=sensitivity-classification
。
在管理模型内部,每个 Sensitivity 约束都被标识为
类别(classification)
。这些类别被分组为类型(types)
。有 39 种类别被分组成 13 个类型。
要配置 Sensitivity 约束,请使用
write-attribute
操作来设置 configured-requires-read
、configured-requires-write
或 configured-requires-addressable
属性。要使该类型的操作成为敏感的,请将其设置为 false
。在默认情况下,它们不会被设置而使用 default-requires-read
、default-requires-write
和default-requires-addressable
的值。一旦配置的属性被设置,它将替代默认值。默认值不能被修改。
例 11.25. 使读取系统属性成为敏感性操作
[domain@localhost:9999 /] cd /core-service=management/access=authorization/constraint=sensitivity-classification/type=core/classification=system-property [domain@localhost:9999 classification=system-property] :write-attribute(name=configured-requires-read, value=true) { "outcome" => "success", "result" => undefined, "server-groups" => {"main-server-group" => {"host" => {"master" => { "server-one" => {"response" => {"outcome" => "success"}}, "server-two" => {"response" => {"outcome" => "success"}} }}}} } [domain@localhost:9999 classification=system-property] :read-resource { "outcome" => "success", "result" => { "configured-requires-addressable" => undefined, "configured-requires-read" => true, "configured-requires-write" => undefined, "default-requires-addressable" => false, "default-requires-read" => false, "default-requires-write" => true, "applies-to" => { "/host=master/system-property=*" => undefined, "/host=master/core-service=platform-mbean/type=runtime" => undefined, "/server-group=*/system-property=*" => undefined, "/host=master/server-config=*/system-property=*" => undefined, "/host=master" => undefined, "/system-property=*" => undefined, "/" => undefined } } } [domain@localhost:9999 classification=system-property]
表 11.6 “Sensitivity 约束配置结果” 总结了哪些角色能够执行哪些操作所取决的配置。
Value | requires-read | requires-write | requires-addressable |
---|---|---|---|
true
|
读操作是敏感的。
只有
Auditor 、Administrator 和 SuperUser 有读的权限。
|
写操作是敏感的。
只有
Administrator 和 SuperUser 有写的权限。
|
寻址(Addressing)是敏感的。
只有
Auditor 、Administrator 和 SuperUser 可以寻址。
|
false
|
读操作是非敏感的。
任何管理用户都可以读。
|
写操作是非敏感的。
只有
Maintainer 、Administrator 和 SuperUser 可以写。如果这个约束是一个应用程序资源的话,Deployers 也可以写。
|
寻址(Addressing)是非敏感的。
任何管理用户都可以寻址。
|