Administración de derechos de usuario, grupo y acceso user-group-and-access-rights-administration
Habilitar el acceso a un repositorio CRX implica varios temas:
-
Derechos de acceso - los conceptos de cómo se definen y evalúan
-
Administración de usuarios - administrar las cuentas individuales utilizadas para el acceso
-
Administración de grupos : simplifique la administración de usuarios mediante la formación de grupos
-
Gestión de derechos de acceso - definir políticas que controlan la forma en que estos usuarios y grupos pueden acceder a los recursos
Los elementos básicos son:
Cuentas de usuario CRX autentica el acceso identificando y verificando a un usuario (por esa persona u otra aplicación) según los detalles que se tengan en la cuenta de usuario.
En CRX, cada cuenta de usuario es un nodo en el espacio de trabajo. Una cuenta de usuario CRX tiene las siguientes propiedades:
-
Representa a un usuario de CRX.
-
Contiene un nombre de usuario y una contraseña.
-
Se aplica a ese espacio de trabajo.
-
No puede tener subusuarios. Para los derechos de acceso jerárquicos debe utilizar grupos.
-
Puede especificar derechos de acceso para la cuenta de usuario.
Sin embargo, para simplificar la administración, recomendamos que (en la mayoría de los casos) asigne derechos de acceso a cuentas de grupo. La asignación de derechos de acceso para cada usuario individual se vuelve muy difícil de administrar rápidamente (las excepciones son ciertos usuarios del sistema cuando solo existen una o dos instancias).
Cuentas de grupo Las cuentas de grupo son colecciones de usuarios u otros grupos. Se utilizan para simplificar la administración, ya que el cambio en los derechos de acceso asignados a un grupo se aplica automáticamente a todos los usuarios de ese grupo. Un usuario no tiene que pertenecer a ningún grupo, pero a menudo pertenece a varios.
En CRX, un grupo tiene las siguientes propiedades:
-
Representa un grupo de usuarios con derechos de acceso comunes. Por ejemplo, autores o desarrolladores.
-
Se aplica a ese espacio de trabajo.
-
Puede tener miembros; pueden ser usuarios individuales u otros grupos.
-
La agrupación jerárquica se puede lograr con relaciones de miembros. No puede colocar un grupo directamente debajo de otro grupo en el repositorio.
-
Puede definir los derechos de acceso para todos los miembros del grupo.
Derechos de acceso CRX utiliza derechos de acceso para controlar el acceso a áreas específicas del repositorio.
Esto se realiza asignando privilegios para permitir o denegar el acceso a un recurso (nodo o ruta) en el repositorio. Como se pueden asignar varios privilegios, deben evaluarse para determinar qué combinación es aplicable a la solicitud actual.
CRX le permite configurar los derechos de acceso para las cuentas de usuario y de grupo. Los mismos principios básicos de evaluación se aplican entonces a ambos.
Cómo se evalúan los derechos de acceso how-access-rights-are-evaluated
Sujetos y principios subjects-and-principals
CRX utiliza dos conceptos clave al evaluar los derechos de acceso:
-
A principal es una entidad que lleva derechos de acceso. Los principales son:
-
Una cuenta de usuario.
-
Una cuenta de grupo
Si una cuenta de usuario pertenece a uno o más grupos, también se asocia a cada uno de esos principales grupos.
-
-
A subject se utiliza para representar el origen de una solicitud.
Se utiliza para consolidar los derechos de acceso aplicables a esa solicitud. Estos se extraen de:
-
La entidad de seguridad del usuario
Los derechos que asigna directamente a la cuenta de usuario.
-
Todos los grupos principales asociados a ese usuario
Todos los derechos asignados a cualquiera de los grupos a los que pertenece el usuario.
El resultado se utiliza para permitir o denegar el acceso al recurso solicitado.
-
Recopilación de la lista de derechos de acceso para un sujeto compiling-the-list-of-access-rights-for-a-subject
En CRX, el asunto depende de:
- la entidad de seguridad del usuario
- todas las entidades principales de grupo asociadas a ese usuario
La lista de derechos de acceso aplicables al sujeto se elabora a partir de:
- los derechos que asigna directamente a la cuenta de usuario
- además de todos los derechos asignados a cualquiera de los grupos a los que pertenece el usuario
- CRX no tiene en cuenta ninguna jerarquía de usuarios cuando compila la lista.
- CRX utiliza una jerarquía de grupos solo cuando incluye un grupo como miembro de otro grupo. No hay herencia automática de los permisos de grupo.
- El orden en que especifique los grupos no afecta a los derechos de acceso.
Resolución de solicitudes y derechos de acceso resolving-request-and-access-rights
Cuando CRX gestiona la solicitud, compara la solicitud de acceso del sujeto con la lista de control de acceso en el nodo del repositorio:
Si Linda solicita actualizar el /features
en la siguiente estructura de repositorios:
Orden de precedencia order-of-precedence
Los derechos de acceso en CRX se evalúan de la siguiente manera:
-
Las entidades de seguridad de usuario siempre tienen prioridad sobre las entidades de seguridad de grupo, independientemente de:
- su orden en la lista de control de acceso
- su posición en la jerarquía de nodos
-
Para una entidad de seguridad determinada existe (como máximo) 1 denegación y 1 entrada de permiso en un nodo determinado. La implementación siempre borra las entradas redundantes y se asegura de que el mismo privilegio no aparezca en las entradas de permitir y denegar.
Toma de dos ejemplos donde el usuario aUser
es miembro del grupo aGroup
:
+ parentNode
+ acl
+ ace: aUser - deny - write
+ childNode
+ acl
+ ace: aGroup - allow - write
+ grandChildNode
En el caso anterior:
aUser
no se le concede permiso de escritura engrandChildNode
.
+ parentNode
+ acl
+ ace: aUser - deny - write
+ childNode
+ acl
+ ace: aGroup - allow - write
+ ace: aUser - deny - write
+ grandChildNode
En este caso:
-
aUser
no se le concede permiso de escritura engrandChildNode
. -
El segundo ACE para
aUser
es redundante.
Los derechos de acceso de varias entidades principales de grupo se evalúan en función de su orden, tanto dentro de la jerarquía como dentro de una única lista de control de acceso.
Prácticas recomendadas best-practices
En la tabla siguiente se enumeran algunas recomendaciones y prácticas recomendadas:
Administración de usuarios user-administration
Se utiliza un cuadro de diálogo estándar para Administración de usuarios.
Debe iniciar sesión en el espacio de trabajo correspondiente y, a continuación, puede acceder al cuadro de diálogo desde:
- el Administración de usuarios vínculo en la consola principal de CRX
- el Seguridad del Explorador CRX
Propiedades
-
UserID
Nombre corto para la cuenta, utilizado al acceder a CRX. -
Nombre principal
Un nombre de texto completo para la cuenta. -
Contraseña
Necesario al acceder a CRX con esta cuenta. -
ntlmhash
Se asigna automáticamente a cada cuenta nueva y se actualiza cuando se cambia la contraseña. -
Puede agregar nuevas propiedades definiendo un nombre, tipo y valor. Haga clic en Guardar (símbolo de visto verde) para cada nueva propiedad.
Pertenencia a grupos Muestra todos los grupos a los que pertenece la cuenta. La columna Heredado indica la pertenencia que se ha heredado como resultado de la pertenencia a otro grupo.
Si hace clic en un GroupID (cuando está disponible), se abrirá la variable Administración de grupos para ese grupo.
Suplantadores Con la funcionalidad Suplantar un usuario puede trabajar en nombre de otro usuario.
Esto significa que una cuenta de usuario puede especificar otras cuentas (usuario o grupo) que pueden operar con su cuenta. En otras palabras, si el usuario B puede suplantar al usuario A, el usuario B puede realizar acciones utilizando los detalles completos de la cuenta del usuario A (incluidos el ID, el nombre y los derechos de acceso).
Esto permite que las cuentas del imitador completen tareas como si estuvieran utilizando la cuenta que están suplantando; por ejemplo, durante una ausencia o para compartir una carga excesiva a corto plazo.
Si una cuenta se hace pasar por otra, es muy difícil de ver. Los archivos de registro no contienen información sobre el hecho de que se ha producido una suplantación en los eventos. Por lo tanto, si el usuario B está suplantando al usuario A, todos los eventos parecerán como si fueran realizados personalmente por el usuario A.
Creación de una cuenta de usuario creating-a-user-account
-
Abra el Administración de usuarios diálogo.
-
Haga clic en Crear usuario.
-
A continuación, puede introducir las Propiedades:
- UserID se usa como nombre de cuenta.
- Contraseña necesario al iniciar sesión.
- Nombre principal para proporcionar un nombre de texto completo.
- Ruta intermedia que se puede utilizar para formar una estructura de árbol.
-
Haga clic en Guardar (símbolo de visto verde).
-
El cuadro de diálogo se ampliará para que pueda:
- Configurar Propiedades.
- Consulte Pertenencia a grupos.
- Definir Suplantadores.
- usuarios
- grupos con muchos miembros
Actualización de una cuenta de usuario updating-a-user-account
-
Con la variable Administración de usuarios abra la vista de lista de todas las cuentas.
-
Navegue por la estructura de árbol.
-
Haga clic en la cuenta requerida para abrirla y editarla.
-
Realice un cambio y haga clic en Guardar (símbolo de marca de graduación verde) para esa entrada.
-
Haga clic en Cerrar para finalizar, o Lista… para volver a la lista de todas las cuentas de usuario.
Eliminación de una cuenta de usuario removing-a-user-account
-
Con la variable Administración de usuarios abra la vista de lista de todas las cuentas.
-
Navegue por la estructura de árbol.
-
Seleccione la cuenta requerida y haga clic en Eliminar usuario; la cuenta se eliminará inmediatamente.
Definición de propiedades defining-properties
Puede definir Propiedades para cuentas nuevas o existentes:
- Abra el Administración de usuarios para la cuenta adecuada.
- Defina un Propiedad nombre.
- Seleccione el Tipo en la lista desplegable.
- Defina el Valor.
- Haga clic en Guardar (símbolo de clic verde) para la nueva propiedad.
Las propiedades existentes se pueden eliminar con el símbolo de papelera.
A excepción de la contraseña, las propiedades no se pueden editar, se deben eliminar y volver a crear.
Cambio de la contraseña changing-the-password
La variable Contraseña es una propiedad especial que puede cambiarse haciendo clic en la variable Cambiar contraseña vínculo.
También puede cambiar la contraseña a su propia cuenta de usuario desde la Seguridad en el Explorador CRX.
Definición de un suplantador defining-an-impersonator
Puede definir Suplantadores para cuentas nuevas o existentes:
-
Abra el Administración de usuarios para la cuenta adecuada.
-
Especifique la cuenta a la que se permitirá suplantar esa cuenta.
Puede utilizar Examinar… para seleccionar una cuenta existente.
-
Haga clic en Guardar (símbolo de visto verde) para la nueva propiedad.
Administración de grupos group-administration
Se utiliza un cuadro de diálogo estándar para Administración de grupos.
Debe iniciar sesión en el espacio de trabajo correspondiente y, a continuación, puede acceder al cuadro de diálogo desde:
- el Administración de grupos vínculo en la consola principal de CRX
- el Seguridad del Explorador CRX
Propiedades
-
GroupID
Nombre corto para la cuenta de grupo. -
Nombre principal
Un nombre de texto completo para la cuenta de grupo. -
Puede agregar nuevas propiedades definiendo un nombre, tipo y valor. Haga clic en Guardar (símbolo de visto verde) para cada nueva propiedad.
-
Miembros
Puede agregar usuarios u otros grupos como miembros de este grupo.
Pertenencia a grupos Esto muestra todos los grupos a los que pertenece la cuenta de grupo actual. La columna Heredado indica la pertenencia que se ha heredado como resultado de la pertenencia a otro grupo.
Al hacer clic en un GroupID se abrirá el cuadro de diálogo para ese grupo.
Miembros Enumera todas las cuentas (usuarios y/o grupos) que son miembros del grupo actual.
La variable Heredado indica la pertenencia que se ha heredado como resultado de la pertenencia a otro grupo.
mac-default-<foldername>
para cada carpeta en la que se definen las funciones.Creación de una cuenta de grupo creating-a-group-account
-
Abra el Administración de grupos diálogo.
-
Haga clic en Crear grupo.
-
A continuación, puede introducir las Propiedades:
- Nombre principal para proporcionar un nombre de texto completo.
- Ruta intermedia que se puede utilizar para formar una estructura de árbol.
-
Haga clic en Guardar (símbolo de visto verde).
-
El cuadro de diálogo se ampliará para que pueda:
- Configurar Propiedades.
- Consulte Pertenencia a grupos.
- Administrar Miembros.
Actualización de una cuenta de grupo updating-a-group-account
-
Con la variable Administración de grupos abra la vista de lista de todas las cuentas.
-
Navegue por la estructura de árbol.
-
Haga clic en la cuenta requerida para abrirla y editarla.
-
Realice un cambio y haga clic en Guardar (símbolo de marca de graduación verde) para esa entrada.
-
Haga clic en Cerrar para finalizar, o Lista… para volver a la lista de todas las cuentas de grupo.
Eliminación de una cuenta de grupo removing-a-group-account
-
Con la variable Administración de grupos abra la vista de lista de todas las cuentas.
-
Navegue por la estructura de árbol.
-
Seleccione la cuenta requerida y haga clic en Quitar grupo; la cuenta se eliminará inmediatamente.
Definición de propiedades defining-properties-1
Puede definir Propiedades para cuentas nuevas o existentes:
- Abra el Administración de grupos para la cuenta adecuada.
- Defina un Propiedad nombre.
- Seleccione el Tipo en la lista desplegable.
- Defina el Valor.
- Haga clic en Guardar (símbolo de visto verde) para la nueva propiedad.
Las propiedades existentes se pueden eliminar con el símbolo de papelera.
Miembros members
Puede agregar miembros al grupo actual:
-
Abra el Administración de grupos para la cuenta adecuada.
-
O bien, haga lo siguiente:
- Introduzca el nombre del miembro requerido (cuenta de usuario o de grupo).
- O use Examinar… para buscar y seleccionar la entidad de seguridad (cuenta de usuario o grupo) que desea agregar.
-
Haga clic en Guardar (símbolo de visto verde) para la nueva propiedad.
O elimine un miembro existente con el símbolo de papelera.
Gestión de derechos de acceso access-right-management
Con la variable Control de acceso del CRXDE Lite puede definir las políticas de control de acceso y asignar los privilegios relacionados.
Por ejemplo, para Ruta actual seleccione el recurso necesario en el panel izquierdo, la ficha Control de acceso en el panel inferior derecho:
Las políticas se clasifican según:
-
Políticas de control de acceso aplicables
Estas políticas se pueden aplicar.Son directivas disponibles para crear una directiva local. Una vez seleccionada y añadida una directiva aplicable, esta se convierte en una directiva local.
-
Políticas de control de acceso local
Son directivas de control de acceso que ha aplicado. A continuación, puede actualizarlos, ordenarlos o eliminarlos.Una directiva local anulará cualquier directiva heredada del elemento principal.
-
Políticas de control de acceso efectivas
Estas son las políticas de control de acceso que están actualmente en vigor para cualquier solicitud de acceso. Muestran las políticas agregadas derivadas de las políticas locales y de cualquier heredada del elemento principal.
Selección de políticas policy-selection
Las políticas se pueden seleccionar para:
-
Ruta actual
Como en el ejemplo anterior, seleccione un recurso dentro del repositorio. Se mostrarán las políticas para esta "ruta actual". -
Repositorio
Selecciona el control de acceso a nivel de repositorio. Por ejemplo, al configurar la variablejcr:namespaceManagement
, que solo es relevante para el repositorio, no para un nodo. -
Principal
Una entidad de seguridad registrada en el repositorio.Puede escribir en el Principal nombre o haga clic en el icono a la derecha del campo para abrir el Seleccionar Principal diálogo.
Esto le permite Buscar para un Usuario o Grupo. Seleccione la entidad de seguridad necesaria de la lista resultante y haga clic en OK para devolver el valor al cuadro de diálogo anterior.
Privilegios privileges
Los siguientes privilegios están disponibles para la selección al añadir una entrada de control de acceso (consulte la sección API de seguridad para obtener más información):
Registro de nuevos privilegios registering-new-privileges
También puede registrar nuevos privilegios:
-
En la barra de herramientas, seleccione Herramientas, luego Privilegios para mostrar los privilegios registrados actualmente.
-
Utilice la variable Privilegio de registro icono (+) para abrir el cuadro de diálogo y definir un nuevo privilegio:
-
Haga clic en OK para guardar. El privilegio ahora estará disponible para la selección.
Adición de una entrada de control de acceso adding-an-access-control-entry
-
Seleccione el recurso y abra el Control de acceso pestaña .
-
Para agregar una Políticas de control de acceso local, haga clic en + a la derecha de Política de control de acceso aplicable lista:
-
Aparece una nueva entrada en Directivas de control de acceso local:
-
Haga clic en el + para añadir una nueva entrada:
note note NOTE Actualmente se necesita una solución para especificar una cadena vacía. Para ello, debe utilizar "". -
Defina la directiva de control de acceso y haga clic en OK para guardar. La nueva directiva:
- aparezca en Política de control de acceso local
- los cambios se reflejarán en la variable Políticas de control de acceso efectivas.
CRX validará su selección; para una entidad de seguridad determinada existe (como máximo) 1 denegación y 1 entrada de permiso en un nodo determinado. La implementación siempre borra las entradas redundantes y se asegura de que el mismo privilegio no aparezca en las entradas de permitir y denegar.
Solicitud de directivas de control de acceso local ordering-local-access-control-policies
El orden de la lista indica el orden en que se aplican las políticas.
-
En la tabla de Políticas de control de acceso local seleccione la entrada requerida y arrástrela a la nueva posición de la tabla.
-
Los cambios se mostrarán en ambas tablas para la variable Local y Políticas de control de acceso efectivas.
Eliminación de una directiva de control de acceso removing-an-access-control-policy
-
En la tabla de Políticas de control de acceso local haga clic en el icono rojo (-) a la derecha de la entrada.
-
La entrada se eliminará de ambas tablas para la variable Local y Políticas de control de acceso efectivas.
Prueba de una directiva de control de acceso testing-an-access-control-policy
-
En la barra de herramientas del CRXDE Lite, seleccione Herramientas, luego Probar control de acceso….
-
Se abre un nuevo cuadro de diálogo en el panel superior derecho. Seleccione el Ruta y/o Principal que desea probar.
-
Haga clic en Prueba para ver los resultados de la selección: