11.9.8.3. Modifier la police de combinaison de permissions
La police de combinaison de permissions détermine comment les permissions sont définies quand un utilisateur possède plus d'un seul rôle. Peut être définie sur
permissive ou rejecting. La valeur par défaut est permissive.
Quand elle est définie à
permissive, si un rôle est assigné à l'utilisateur pour permettre une action, alors l'action sera autorisée.
Quand elle est définie sur
rejecting, si plusieurs rôles sont assignés à un utilissateur, alors aucune action ne sera requise. Lorsque la police est définie à rejecting, chaque utilisateur se verra assigner un rôle unique. Les utilisateurs ayant des rôles multiples ne seront pas en mesure d'utiliser l'outil de gestion de console ou jboss-cli.sh lorsque la police est définie sur rejecting.
La police de combinaison d'autorisations est configurée en affectant à l'attribut
permission-combination-policy soit permissive ou rejecting. Cela peut être fait par l'outil jboss-cli.sh, ou en modifiant la configuration du serveur XML du fichier si le serveur est hors ligne.
Procédure 11.10. Définir la police de combinaison de permissions
- Effectuer l'opération
write-attributede la ressource d'autorisation d'accès pour définir l'attributpermission-combination-policyau nom de la police requise./core-service=management/access=authorization:write-attribute(name=permission-combination-policy, value=POLICYNAME)
Les noms de police valide sont « rejecting » ou « permissive ».[standalone@localhost:9999 /] /core-service=management/access=authorization:write-attribute(name=permission-combination-policy, value=rejecting) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
Si le serveur est hors ligne, la configuration XML peut être modifiée pour changer la valeur de la politique de combinaison de permissions. Pour ce faire, modifiez l'attribut
permission-combination-policy de l'élément de contrôle d'accès.
<access-control provider="rbac" permission-combination-policy="rejecting">
<role-mapping>
<role name="SuperUser">
<include>
<user name="$local"/>
</include>
</role>
</role-mapping>
</access-control>