用户、组和访问权限管理

启用对CRX存储库的访问涉及多个主题：

• 访问权限 — 定义和评估权限的概念

• 用户管理 — 管理用于访问的单个帐户

• 组管理 — 通过组合来简化用户管理

• 访问权限管理 — 定义策略，控制这些用户和组如何访问资源

基本要素有：

User AccountsCRX根据用户帐户中的详细信息，通过标识和验证用户（由该人或其他应用程序）对访问进行身份验证。

在CRX中，每个用户帐户都是工作区中的节点。 CRX用户帐户具有以下属性：

• 它代表CRX的一个用户。

• 它包含用户名和密码。

• 适用于该工作区。

• 它不能有子用户。 对于分层访问权限，您应使用组。

• 您可以指定用户帐户的访问权限。

  但是，为简化管理，我们建议（在大多数情况下）将访问权限分配给组帐户。 为每个用户快速分配访问权限变得非常难以管理（只有一个或两个实例时，某些系统用户除外）。

组帐 户组帐户是用户和/或其他组的集合。当分配给组的访问权限发生更改时，这些更改会自动应用到该组中的所有用户，这些更改用于简化管理。 用户不必属于任何组，但通常属于多个组。

在CRX中，组具有以下属性：

• 它表示一组具有共同访问权限的用户。 例如，作者或开发人员。

• 适用于该工作区。

• 它可以有成员；这些组可以是个人用户或其他用户组。

• 可通过成员关系实现分层分组。 不能将组直接放在存储库中的另一个组下方。

• 您可以定义所有用户组成员的访问权限。

Access RightsCRX使用“访问权限”控制对存储库特定区域的访问。

为此，可将权限分配给存储库中的资源（节点或路径），以允许或拒绝访问。 由于可以分配各种权限，因此必须对其进行评估以确定哪个组合适用于当前请求。

CRX允许您配置用户帐户和用户组帐户的访问权限。 评估的基本原则也适用于这两种情况。

如何评估访问权限

主体和主体

CRX在评估访问权限时使用两个关键概念：

• principal​是具有访问权限的实体。 承担者包括：

  • 用户帐户。

  • 组帐户

    如果用户帐户属于一个或多个组，则它也与这些组主体中的每个关联。

• 主题​用于表示请求源。

  它用于合并适用于该请求的访问权限。 这些属性来自：

  • 用户主体

    您直接分配给用户帐户的权限。

  • 与该用户关联的所有用户组主体

    分配给用户所属的任何组的所有权限。
    然后，结果用于允许或拒绝对所请求资源的访问。

编译主题的访问权列表

在CRX中，主题取决于：

• 用户主体
• 与该用户关联的所有组主体

适用于主题的访问权列表由以下各项构成：

• 您直接分配给用户帐户的权限
• 加上分配给用户所属的任何组的所有权限

解析请求和访问权限

当CRX处理请求时，它会将来自主题的访问请求与存储库节点上的访问控制列表进行比较：

因此，如果Linda请求更新以下存储库结构中的/features节点：

优先顺序

对CRX中的访问权限进行评估，如下所示：

• 用户承担者始终优先于组承担者，而不考虑：

  • 他们在访问控制列表中的顺序
  • 在节点层次中的位置

• 对于给定的主体，在给定节点上存在1个拒绝和1个允许条目。 实现始终清除冗余条目，并确保在允许和拒绝条目中未列出相同的权限。

举两个用户aUser是组aGroup成员的示例：

   + parentNode
     + acl
       + ace: aUser - deny - write
     + childNode
       + acl
         + ace: aGroup - allow - write
       + grandChildNode

在上述情况下：

• aUser 未授予对的写入权 grandChildNode限

   + parentNode
     + acl
       + ace: aUser - deny - write
     + childNode
       + acl
         + ace: aGroup - allow - write
         + ace: aUser - deny - write
       + grandChildNode

在这种情况下：

• aUser 未授予对的写入权 grandChildNode限

• aUser的第二个ACE是冗余的。

根据多个组主体的顺序(在层次结构中和在单个访问控制列表中)评估其访问权限。

最佳实践

下表列表了一些建议和最佳做法：

用户管理

标准对话框用于​用户管理。

您必须登录到相应的工作区，然后您可以从以下两种方式访问对话框：

• CRX主控制台上的​用户管理​链接
• CRX Explorer的​Security​菜单

属性

• 访
  问CRX时使用的帐户的UserIDShort名称。

• 主
  体名称帐户的全文名称。

• 使
  用此帐户访问CRX时需要。

• ntlmhash
  为每个新帐户自动分配并在密码更改时更新。

• 您可以通过定义名称、类型和值来添加新属性。 单击每个新属性的“保存”（绿色勾号）。

组成 员资格此组件显示帐户所属的所有组。“已继承”列指示由于其他用户组的成员关系而继承的成员关系。

单击GroupID（如果可用）将打开该组的组管理。

模 拟器借助模拟功能，用户可以代表其他用户工作。

这意味着用户帐户可以指定其他帐户（用户或组），这些帐户可以与其帐户一起操作。 换句话说，如果允许用户B模拟用户A，则用户B可以使用用户A的完整帐户详细信息（包括ID、名称和访问权限）执行操作。

这允许模拟者帐户完成任务，就像他们使用的是模拟的帐户一样；例如，在缺勤期间或共享过多负荷的短期。

如果某个帐户假冒他人，则很难查看。 日志文件不包含有关在事件上发生模拟的事实的信息。 因此，如果用户B模拟用户A，则所有事件看上去就像是由用户A个人执行的。

创建用户帐户

1. 打开​用户管理​对话框。

2. 单击​创建用户。

3. 然后，您可以输入属性：

   • 用 作帐户名的UserID。
   • 登 录时需要密码。
   • “主 体名称”提供完整的文本名称。
   • 中 间路径，可用于形成树结构。

4. 单击“保存”（绿色勾号）。

5. 对话框将展开，以便您可以：

   1. 配置​属性。
   2. 请参阅​组成员关系。
   3. 定义​模拟器。

更新用户帐户

1. 使用​用户管理​对话框打开所有帐户的列表视图。

2. 在树结构中导航。

3. 单击所需的帐户可打开进行编辑。

4. 进行更改，然后单击该条目的“保存”（绿色勾号）。

5. 单击​关闭​以完成，或单击​列表…​返回所有用户帐户的列表。

删除用户帐户

1. 使用​用户管理​对话框打开所有帐户的列表视图。

2. 在树结构中导航。

3. 选择所需的帐户，然后单击​删除用户;帐户将立即删除。

定义属性

可以为新帐户或现有帐户定义​属性:

1. 打开相应帐户的​用户管理​对话框。
2. 定义​属性​名称。
3. 从下拉列表中选择​类型。
4. 定义​Value。
5. 单击新属性的“保存”（绿色单击符号）。

可以使用垃圾桶符号删除现有属性。

除“密码”外，无法编辑属性，必须删除并重新创建这些属性。

更改密码

Password​是一个特殊属性，可通过单击​更改密码​链接来更改。

您还可以从CRX Explorer的​Security​菜单将密码更改为您自己的用户帐户。

定义模拟器

您可以为新帐户或现有帐户定义模拟器：

1. 打开相应帐户的​用户管理​对话框。

2. 指定允许模拟该帐户的帐户。

   您可以使用浏览……来选择现有帐户。

3. 单击新属性的“保存”（绿色勾号）。

组管理

标准对话框用于​组管理。

您必须登录到相应的工作区，然后您可以从以下两种方式访问对话框：

• CRX主控制台上的​组管理​链接
• CRX Explorer的​Security​菜单

属性

• 组
  帐户的GroupIDShort名称。

• 主
  体名称组帐户的全文名称。

• 您可以通过定义名称、类型和值来添加新属性。 单击每个新属性的“保存”（绿色勾号）。

• 成
  员您可以添加用户或其他用户组作为此组的成员。

组成 员资格此组件显示当前组帐户所属的所有组。“已继承”列指示由于其他用户组的成员关系而继承的成员关系。

单击GroupID将打开该组的对话框。

成 员列出属于当前组的成员的所有帐户（用户和/或用户组）。

Inherited​列指示由于另一个组的成员关系而继承的成员关系。

创建组帐户

1. 打开​组管理​对话框。

2. 单击​创建组。

3. 然后，您可以输入属性：

   • “主 体名称”提供完整的文本名称。
   • 中 间路径，可用于形成树结构。

4. 单击“保存”（绿色勾号）。

5. 对话框将展开，以便您可以：

   1. 配置​属性。
   2. 请参阅​组成员关系。
   3. 管理​成员。

更新组帐户

1. 使用​组管理​对话框打开所有帐户的列表视图。

2. 在树结构中导航。

3. 单击所需的帐户可打开进行编辑。

4. 进行更改，然后单击该条目的“保存”（绿色勾号）。

5. 单击​关闭​以完成，或单击​列表…​返回所有组帐户的列表。

删除组帐户

1. 使用​组管理​对话框打开所有帐户的列表视图。

2. 在树结构中导航。

3. 选择所需的帐户，然后单击​删除组;帐户将立即删除。

定义属性

您可以为新帐户或现有帐户定义属性：

1. 打开相应帐户的​组管理​对话框。
2. 定义​属性​名称。
3. 从下拉列表中选择​类型。
4. 定义​Value。
5. 单击新属性的“保存”（绿色勾号）。

可以使用垃圾桶符号删除现有属性。

成员

您可以向当前组添加成员：

1. 打开相应帐户的​组管理​对话框。

2. 可以任选其一：

   • 输入所需成员（用户或用户组帐户）的名称。
   • 或使用​浏览……​以搜索并选择要添加的主体（用户或组帐户）。

3. 单击新属性的“保存”（绿色勾号）。

或删除包含垃圾桶符号的现有成员。

访问权限管理

使用CRXDE Lite的​访问控制​选项卡，您可以定义访问控制策略并分配相关权限。

例如，对于​当前路径，请在左窗格中选择所需的资源，在右下方窗格中选择访问控制选项卡：

这些策略按以下方式分类：

• 适用的访问控制
  策略可以应用这些策略。

  这些策略可用于创建本地策略。 选择并添加适用的策略后，该策略将变为本地策略。

• 本地访问控制
  策略这些是您已应用的访问控制策略。然后，您可以更新、订购或删除它们。

  本地策略将覆盖从父级继承的所有策略。

• 有效的访问控制
  策略这些是现在对任何访问请求都有效的访问控制策略。它们显示从本地策略和从父级继承的任何策略派生的聚合策略。

策略选择

可以为以下对象选择策略：

• 当
  前路径如上例中，选择存储库中的资源。将显示此“当前路径”的策略。

• 存储
  库选择存储库级别访问控制。例如，在
  jcr:namespaceManagement 权限，仅与存储库相关，而与节点无关。

• Principal
  在存储库中注册的主体。

  您可以键入​Principal​名称，或单击字段右侧的图标以打开​选择主体​对话框。

  这允许您​搜索​用户​或​组。 从生成的列表中选择所需的主体，然后单击​确定​将值传回上一个对话框。

权限

在添加访问控制条目时，可以选择以下权限（有关完整详细信息，请参阅安全API）：

正在注册新权限

您还可以注册新权限：

1. 在工具栏中，选择​工具，然后选择​权限​以显示当前注册的权限。

   

2. 使用​注册权限​图标(+)打开对话框并定义新权限：

   

3. 单击​确定​进行保存。该权限现在可供选择。

添加访问控制条目

1. 选择您的资源并打开​访问控制​选项卡。

2. 要添加新的​本地访问控制策略，请单击​适用访问控制策略​列表右侧的​+​图标：

   

3. 新条目显示在​本地访问控制策略：​下

   

4. 单击​+​图标以添加新条目：

   

   注意

   当前需要一种解决方法来指定空字符串。

   为此，您需要使用“”。

5. 定义访问控制策略，然后单击​确定​进行保存。 您的新政策将：

   • 列在​本地访问控制策略​下
   • 更改将反映在​有效访问控制策略​中。

CRX将验证您的选择；对于给定的主体，在给定节点上存在1个deny和1个允许条目。 实现始终清除冗余条目，并确保在允许和拒绝条目中未列出相同的权限。

订购本地访问控制策略

列表中的顺序指示应用策略的顺序。

1. 在​本地访问控制策略​的表中，选择所需的条目并将其拖动到表中的新位置。

   

2. Local​和​有效访问控制策略​的表中将显示更改。

删除访问控制策略

1. 在​本地访问控制策略​的表中，单击条目右侧的红色图标(-)。

2. 将从​Local​和​有效访问控制策略​的两个表中删除该条目。

测试访问控制策略

1. 从CRXDE Lite工具栏中，选择​工具，然后选择​测试访问控制…。

2. 将在右上窗格中打开一个新对话框。 选择要测试的​路径​和/或​主体。

3. 单击​测试​查看选择结果：