Beheer van gebruikers-, groep- en toegangsrechten user-group-and-access-rights-administration
Het toelaten van toegang tot een gegevensopslagplaats CRX impliceert verscheidene onderwerpen:
-
Toegangsrechten - de begrippen hoe zij worden gedefinieerd en geëvalueerd;
-
Gebruikersbeheer - beheer van de individuele rekeningen die voor toegang worden gebruikt
-
Groepsbeheer - gebruikersbeheer vereenvoudigen door groepen te vormen
-
Toegangsbeheer - het bepalen van beleid dat controleert hoe deze gebruikers en groepen tot middelen kunnen toegang hebben
De basiselementen zijn:
Gebruikersaccounts CRX verifieert toegang door, een gebruiker (door die persoon, of een andere toepassing) volgens details te identificeren en te verifiëren die in de gebruikersrekening worden gehouden.
In CRX is elk gebruikersaccount een knooppunt in de werkruimte. Een CRX-gebruikersaccount heeft de volgende eigenschappen:
-
Deze vertegenwoordigt één gebruiker van CRX.
-
Deze bevat een gebruikersnaam en wachtwoord.
-
Is van toepassing op die werkruimte.
-
Het kan geen subgebruikers hebben. Voor hiërarchische toegangsrechten zou u groepen moeten gebruiken.
-
U kunt toegangsrechten opgeven voor de gebruikersaccount.
Om het beheer te vereenvoudigen raden we u echter aan (in de meeste gevallen) toegangsrechten toe te wijzen aan groepsaccounts. Het toewijzen van toegangsrechten voor elke individuele gebruiker wordt snel zeer moeilijk te beheren (de uitzonderingen zijn bepaalde systeemgebruikers wanneer slechts één of twee instanties bestaan).
Groepsaccounts Groepsaccounts zijn verzamelingen van gebruikers en/of andere groepen. Deze worden gebruikt om beheer te vereenvoudigen aangezien een verandering in de toegangsrechten die aan een groep worden toegewezen automatisch op alle gebruikers in die groep wordt toegepast. Een gebruiker hoeft niet tot een groep te behoren, maar behoort vaak tot een groep.
In CRX heeft een groep de volgende eigenschappen:
-
Het vertegenwoordigt een groep gebruikers met gemeenschappelijke toegangsrechten. Bijvoorbeeld auteurs of ontwikkelaars.
-
Is van toepassing op die werkruimte.
-
Het kan leden hebben; dit kunnen individuele gebruikers of andere groepen zijn .
-
U kunt een hiërarchische groepering maken met lidrelaties. U kunt een groep niet direct onder een andere groep in de repository plaatsen.
-
U kunt de toegangsrechten voor alle groepsleden bepalen.
Toegangsrechten CRX gebruikt de Rechten van de Toegang om toegang tot specifieke gebieden van de bewaarplaats te controleren.
Dit wordt gedaan door voorrechten toe te wijzen om of toegang tot een middel (knoop of weg) in de bewaarplaats toe te staan of te ontkennen. Aangezien verschillende voorrechten kunnen worden toegewezen, moeten zij worden geëvalueerd om te bepalen welke combinatie voor het huidige verzoek van toepassing is.
CRX staat u toe om de toegangsrechten voor zowel gebruiker als groepsrekeningen te vormen. Vervolgens worden dezelfde basisbeginselen voor de evaluatie toegepast op beide.
Hoe de Rechten van de Toegang worden geëvalueerd how-access-rights-are-evaluated
Onderwerpen en Opdrachten subjects-and-principals
CRX gebruikt twee zeer belangrijke concepten wanneer het evalueren van toegangsrechten:
-
A principal is een entiteit die toegangsrechten heeft. Belangrijkste punten zijn:
-
Een gebruikersaccount.
-
Een groepsaccount
Als een gebruikersaccount bij een of meer gebruikersaccounts hoort, wordt deze ook aan elk van deze groepshoofden gekoppeld.
-
-
A onderwerp wordt gebruikt om de bron van een verzoek te vertegenwoordigen.
Het wordt gebruikt om de toegangsrechten die op dat verzoek van toepassing zijn, te consolideren. Deze zijn afkomstig van:
-
De principal van de gebruiker
De rechten die u rechtstreeks aan de gebruikersaccount toewijst.
-
Alle groepshoofden verbonden aan die gebruiker
Alle rechten die zijn toegewezen aan een van de groepen waartoe de gebruiker behoort.
Het resultaat wordt dan gebruikt om toegang tot het gevraagde middel toe te staan of te ontkennen.
-
Opstellen van de lijst van toegangsrechten voor een onderwerp compiling-the-list-of-access-rights-for-a-subject
In CRX is het onderwerp afhankelijk van:
- de principal van de gebruiker
- alle groepshoofden die aan die gebruiker worden geassocieerd
De lijst van toegangsrechten die van toepassing zijn op het onderwerp is samengesteld uit:
- de rechten die u rechtstreeks aan de gebruikersaccount toewijst
- plus alle rechten die zijn toegewezen aan een van de groepen waartoe de gebruiker behoort
- CRX houdt geen rekening met enige gebruikershiërarchie wanneer het de lijst compileert.
- CRX gebruikt een groepshiërarchie slechts wanneer u een groep als lid van een andere groep omvat. Er is geen automatische overerving van groepsmachtigingen.
- De volgorde waarin u de groepen opgeeft, heeft geen invloed op de toegangsrechten.
Aanvraag- en toegangsrechten oplossen resolving-request-and-access-rights
Wanneer CRX het verzoek behandelt het het toegangsverzoek van het onderwerp met de toegangsbeheerlijst op de gegevensopslaggegevensopslagknoop vergelijkt:
Dus als Linda vraagt om de /features knooppunt in de volgende repository structuur:
Volgorde order-of-precedence
Toegangsrechten in CRX worden als volgt beoordeeld:
-
De hoofden van de gebruiker nemen altijd belangrijkheid over groepshoofden ongeacht:
- hun orde in de toegangsbeheerlijst
- hun positie in de knooppunthiërarchie
-
Voor een bepaalde principal bestaat (hoogstens) 1 ontkent en 1 staat ingang op een bepaalde knoop toe. De implementatie ontruimt altijd overtollige ingangen en zorgt ervoor dat het zelfde voorrecht niet in zowel toestaat als ontkent ingangen vermeld is.
Twee voorbeelden nemen waarbij de gebruiker aUser lid is van de groep aGroup:
+ parentNode
+ acl
+ ace: aUser - deny - write
+ childNode
+ acl
+ ace: aGroup - allow - write
+ grandChildNode
In het bovenstaande geval:
aUsergeen schrijfmachtiging is verleend opgrandChildNode.
+ parentNode
+ acl
+ ace: aUser - deny - write
+ childNode
+ acl
+ ace: aGroup - allow - write
+ ace: aUser - deny - write
+ grandChildNode
In dit geval:
-
aUsergeen schrijfmachtiging is verleend opgrandChildNode. -
De tweede ACE voor
aUseris overbodig.
De rechten van de toegang van veelvoudige groepshoofden worden geëvalueerd gebaseerd op hun orde, zowel binnen de hiërarchie als binnen één enkele toegangsbeheerlijst.
Best practices voor best-practices
In de volgende tabel vindt u een aantal aanbevelingen en aanbevolen procedures:
Gebruikersbeheer user-administration
Er wordt een standaarddialoogvenster gebruikt voor Gebruikersbeheer.
U moet in de aangewezen werkruimte worden geregistreerd, dan kunt u tot de dialoog van allebei toegang hebben:
- de Gebruikersbeheer koppeling in de hoofdconsole van CRX
- de Beveiliging menu van de CRX Explorer
Eigenschappen
-
GebruikerID
Korte naam voor de account die wordt gebruikt bij toegang tot CRX. -
Hoofdnaam
Een volledige tekstnaam voor het account. -
Wachtwoord
Nodig wanneer u toegang wilt tot CRX met dit account. -
ntlmhash
Automatisch toegewezen voor elke nieuwe account en bijgewerkt wanneer het wachtwoord wordt gewijzigd. -
U kunt nieuwe eigenschappen toevoegen door een naam, type en waarde te definiëren. Klik op Opslaan (groen verdeelstreepje) voor elke nieuwe eigenschap.
Groepslidmaatschap Hiermee worden alle groepen weergegeven waartoe de account behoort. De kolom Overgenomen geeft het lidmaatschap aan dat is overgeërfd als gevolg van het lidmaatschap van een andere groep.
Als u op een GroupID klikt (indien beschikbaar), wordt het dialoogvenster Groepsbeheer voor die groep.
Imitators Met de functie Imiteren kan een gebruiker namens een andere gebruiker werken.
Dit betekent dat een gebruikersaccount andere accounts (gebruiker of groep) kan opgeven die met hun account kunnen werken. Met andere woorden, als gebruiker-B wordt toegestaan om gebruiker-A na te bootsen, dan kan gebruiker-B actie ondernemen gebruikend de volledige rekeningsdetails van gebruiker-A (met inbegrip van identiteitskaart, naam en toegangsrechten).
Hierdoor kunnen imitatoraccounts taken uitvoeren alsof ze de account gebruiken die ze nadoen. bijvoorbeeld tijdens afwezigheid of om een buitensporige last op korte termijn te delen.
Als een rekening zich een andere imiteert, is het erg moeilijk te zien. De logboekdossiers houden geen informatie over het feit dat de imitatie op de gebeurtenissen is voorgekomen. Dus als user-B zich gebruiker-A imiteert zullen alle gebeurtenissen kijken alsof zij door gebruiker-A persoonlijk werden uitgevoerd.
Een gebruikersaccount maken creating-a-user-account
-
Open de Gebruikersbeheer .
-
Klikken Gebruiker maken.
-
Vervolgens kunt u de eigenschappen invoeren:
- GebruikerID gebruikt als de accountnaam.
- Wachtwoord nodig bij het aanmelden.
- Hoofdnaam om een volledige tekstnaam op te geven.
- Intermediair pad die kunnen worden gebruikt om een boomstructuur te vormen.
-
Klik op Opslaan (groen vinkje).
-
Het dialoogvenster wordt uitgebreid, zodat u:
- Configureren Eigenschappen.
- Zie Groepslidmaatschap.
- Definiëren Imitators.
- gebruikers
- groepen met veel leden
Een gebruikersaccount bijwerken updating-a-user-account
-
Met de Gebruikersbeheer wordt de lijstweergave van alle accounts geopend.
-
Navigeer door de boomstructuur.
-
Klik op de vereiste account om te openen voor bewerking.
-
Breng een wijziging aan en klik vervolgens op Opslaan (groen verdeelstreepje) voor die vermelding.
-
Klikken Sluiten om te voltooien, of Lijst… om terug te keren naar de lijst met alle gebruikersaccounts.
Een gebruikersaccount verwijderen removing-a-user-account
-
Met de Gebruikersbeheer wordt de lijstweergave van alle accounts geopend.
-
Navigeer door de boomstructuur.
-
Selecteer de vereiste account en klik op Gebruiker verwijderen; het account wordt onmiddellijk verwijderd.
Eigenschappen definiëren defining-properties
U kunt Eigenschappen voor nieuwe of bestaande rekeningen:
- Open de Gebruikersbeheer voor de juiste account.
- Een Eigenschap naam.
- Selecteer Type in de vervolgkeuzelijst.
- Definieer de Waarde.
- Klik op Opslaan (groen kliksymbool) voor de nieuwe eigenschap.
Bestaande eigenschappen kunnen met het prullenbaksymbool worden verwijderd.
Met uitzondering van het Wachtwoord, kunnen de eigenschappen niet worden uitgegeven, moeten zij worden geschrapt en worden ontspannen.
Het wachtwoord wijzigen changing-the-password
De Wachtwoord is een speciale eigenschap die kan worden gewijzigd door op de knop Wachtwoord wijzigen koppeling.
U kunt het wachtwoord ook wijzigen in uw eigen gebruikersaccount via het dialoogvenster Beveiliging in de CRX Explorer.
Een imitator definiëren defining-an-impersonator
U kunt imitators definiëren voor nieuwe of bestaande accounts:
-
Open de Gebruikersbeheer voor de juiste account.
-
Geef op welk account u als lid van dat account wilt gebruiken.
U kunt Bladeren gebruiken… om een bestaande account te selecteren.
-
Klik op Opslaan (groen verdeelstreepje) voor de nieuwe eigenschap.
Groepsbeheer group-administration
Er wordt een standaarddialoogvenster gebruikt voor Groepsbeheer.
U moet in de aangewezen werkruimte worden geregistreerd, dan kunt u tot de dialoog van allebei toegang hebben:
- de Groepsbeheer koppeling in de hoofdconsole van CRX
- de Beveiliging menu van de CRX Explorer
Eigenschappen
-
GroupID
Korte naam voor de groepsaccount. -
Hoofdnaam
Een volledige tekstnaam voor het groepsaccount. -
U kunt nieuwe eigenschappen toevoegen door een naam, type en waarde te definiëren. Klik op Opslaan (groen verdeelstreepje) voor elke nieuwe eigenschap.
-
Leden
U kunt gebruikers of andere groepen toevoegen als leden van deze groep.
Groepslidmaatschap Hiermee worden alle groepen weergegeven waartoe de huidige groepsaccount behoort. De kolom Overgenomen geeft het lidmaatschap aan dat is overgeërfd als gevolg van het lidmaatschap van een andere groep.
Als u op een GroupID klikt, wordt het dialoogvenster voor die groep geopend.
Leden Hiermee geeft u alle accounts (gebruikers en/of groepen) weer die lid zijn van de huidige groep.
De Overgenomen de kolom wijst op lidmaatschap dat als resultaat van lidmaatschap van een andere groep is geërft.
mac-default-<foldername> voor elke map waarin de rollen zijn gedefinieerd.Een groepsaccount maken creating-a-group-account
-
Open de Groepsbeheer .
-
Klikken Groep maken.
-
Vervolgens kunt u de eigenschappen invoeren:
- Hoofdnaam om een volledige tekstnaam op te geven.
- Intermediair pad die kunnen worden gebruikt om een boomstructuur te vormen.
-
Klik op Opslaan (groen vinkje).
-
Het dialoogvenster wordt uitgebreid, zodat u:
- Configureren Eigenschappen.
- Zie Groepslidmaatschap.
- Beheren Leden.
Een groepsaccount bijwerken updating-a-group-account
-
Met de Groepsbeheer wordt de lijstweergave van alle accounts geopend.
-
Navigeer door de boomstructuur.
-
Klik op de vereiste account om te openen voor bewerking.
-
Breng een wijziging aan en klik vervolgens op Opslaan (groen verdeelstreepje) voor die vermelding.
-
Klikken Sluiten om te voltooien, of Lijst… om terug te keren naar de lijst van alle groepsrekeningen.
Een groepsaccount verwijderen removing-a-group-account
-
Met de Groepsbeheer wordt de lijstweergave van alle accounts geopend.
-
Navigeer door de boomstructuur.
-
Selecteer de vereiste account en klik op Groep verwijderen; het account wordt onmiddellijk verwijderd.
Eigenschappen definiëren defining-properties-1
U kunt Eigenschappen definiëren voor nieuwe of bestaande accounts:
- Open de Groepsbeheer voor de juiste account.
- Een Eigenschap naam.
- Selecteer Type in de vervolgkeuzelijst.
- Definieer de Waarde.
- Klik op Opslaan (groen verdeelstreepje) voor de nieuwe eigenschap.
Bestaande eigenschappen kunnen met het prullenbaksymbool worden verwijderd.
Leden members
U kunt leden toevoegen aan de huidige groep:
-
Open de Groepsbeheer voor de juiste account.
-
Ofwel:
- Voer de naam in van het vereiste lid (gebruiker- of groepsaccount).
- of gebruiken Bladeren… om te zoeken naar de principal (gebruiker- of groepsaccount) die u wilt toevoegen en deze te selecteren.
-
Klik op Opslaan (groen verdeelstreepje) voor de nieuwe eigenschap.
Of verwijder een bestaand lid met het prullenbaksymbool.
Toegangsbeheer access-right-management
Met de Toegangsbeheer tabblad van CRXDE Lite kunt u het beleid voor toegangsbeheer definiëren en de bijbehorende rechten toewijzen.
Bijvoorbeeld: Huidig pad Selecteer de vereiste bron in het linkerdeelvenster, het tabblad Toegangsbeheer in het rechterondervenster:
Het beleid wordt ingedeeld volgens:
-
Toepasselijk beleid voor toegangscontrole
Dit beleid kan worden toegepast.Dit zijn beleid dat beschikbaar is voor het creëren van een lokaal beleid. Zodra u selecteert en een toepasselijk beleid toevoegt wordt het een lokaal beleid.
-
Beleid voor lokaal toegangsbeheer
Dit zijn toegangsbeheerbeleid dat u hebt toegepast. U kunt deze vervolgens bijwerken, bestellen of verwijderen.Een lokaal beleid zal om het even welk beleid met voeten treden dat van de ouder wordt geërft.
-
Effectief beleid voor toegangscontrole
Dit zijn het beleid van de toegangscontrole dat nu voor om het even welke toegangsverzoeken van kracht is. Zij tonen het samengevoegde beleid dat uit zowel het lokale beleid als om het even welk wordt afgeleid die van de ouder wordt geërft.
Beleidsselectie policy-selection
Het beleid kan worden geselecteerd voor:
-
Huidig pad
Zoals in het bovenstaande voorbeeld, selecteer een middel binnen de bewaarplaats. Het beleid voor dit "huidige pad" wordt weergegeven. -
Bewaarplaats
Hiermee selecteert u toegangsbeheer op archiefniveau. Als u bijvoorbeeld de opdrachtjcr:namespaceManagementprivilege, dat alleen relevant is voor de gegevensopslagruimte, niet voor een knooppunt. -
Opdrachtgever
Een principal die in de repository is geregistreerd.U kunt in het dialoogvenster Opdrachtgever naam of klik op het pictogram rechts van het veld om het dialoogvenster Principal selecteren .
Hierdoor kunt u Zoeken voor een Gebruiker of Groep. Selecteer de vereiste principal in de lijst die u opmaakt, en klik vervolgens op OK om de waarde terug naar het vorige dialoogvenster te brengen.
Bevoegdheden privileges
De volgende rechten zijn beschikbaar voor selectie wanneer u een toegangsbeheeritem toevoegt (zie de Beveiliging-API voor nadere bijzonderheden ) :
Registreren van nieuwe rechten registering-new-privileges
U kunt ook nieuwe rechten registreren:
-
Selecteer op de werkbalk Gereedschappen vervolgens Bevoegdheden om de momenteel geregistreerde rechten weer te geven.
-
Gebruik de Rechten registreren icon (+) om het dialoogvenster te openen en een nieuw voorrecht te definiëren:
-
Klikken OK om op te slaan. Het voorrecht is nu beschikbaar voor selectie.
Een toegangsbeheeritem toevoegen adding-an-access-control-entry
-
Selecteer uw bron en open de Toegangsbeheer tab.
-
Een nieuwe Beleid voor lokaal toegangsbeheer klikt u op de knop + pictogram rechts van Toepasselijk toegangsbeheerbeleid lijst:
-
Een nieuwe vermelding wordt weergegeven onder Beleid voor lokaal toegangsbeheer:
-
Klik op de knop + pictogram om een nieuw item toe te voegen:
note note NOTE Er is momenteel een tijdelijke oplossing nodig om een lege tekenreeks op te geven. Hiervoor moet u "" gebruiken. -
Bepaal uw toegangsbeheerbeleid en klik OK om op te slaan. Uw nieuwe beleid zal:
- worden vermeld onder Lokaal toegangsbeheerbeleid
- de wijzigingen zullen in de Effectief beleid voor toegangscontrole.
CRX valideert uw selectie; voor een bepaalde principal bestaat (hoogstens) 1 ontkent en 1 staat ingang op een bepaald knooppunt toe. De implementatie ontruimt altijd overtollige ingangen en zorgt ervoor dat het zelfde voorrecht niet in zowel toestaat als ontkent ingangen vermeld is.
Plaatselijk beleid voor toegangsbeheer bestellen ordering-local-access-control-policies
De volgorde in de lijst geeft de volgorde aan waarin het beleid wordt toegepast.
-
In de tabel Beleid voor lokaal toegangsbeheer Selecteer de gewenste vermelding en sleep deze naar de nieuwe positie in de tabel.
-
De wijzigingen worden in beide tabellen voor de Lokaal en de Effectief beleid voor toegangscontrole.
Een toegangsbeheerbeleid verwijderen removing-an-access-control-policy
-
In de tabel Beleid voor lokaal toegangsbeheer Klik op het rode pictogram (-) rechts van de vermelding.
-
De vermelding wordt uit de tabellen voor de Lokaal en de Effectief beleid voor toegangscontrole.
Een toegangsbeheerbeleid testen testing-an-access-control-policy
-
Selecteer op de werkbalk CRXDE Lite de optie Gereedschappen vervolgens Toegangsbeheer testen….
-
In het rechterbovenvenster wordt een nieuw dialoogvenster geopend. Selecteer Pad en/of Opdrachtgever die u wilt testen.
-
Klikken Testen om de resultaten voor uw selectie te zien:
