11.9.8.3. 修改权限组合策略
权限组合策略(Permission Combination Policy)定义了用户被分配了多个角色时如何确定权限。它可以设置为
permissive 或 rejecting。默认选项是 permissive。
当设置为
permissive 时,如果任何角色被分配给用户,那这个角色许可的动作将会被允许执行。
当策略被设置为
rejecting 时,如果用户分配了多个角色,将不允许任何动作。这意味着当策略为 rejecting 时,每个用户应该只分配一个角色。当策略为 rejecting 时,具有多个角色的用户将不能使用管理控制台或 jboss-cli.sh 工具。
权限组合策略是通过设置
permission-combination-policy 属性为 permissive 或 rejecting 来配置的。这可以用 jboss-cli.sh 工具或编辑服务器配置 XML 文件(如果服务器已下线)来完成。
过程 11.10. 设置权限组合策略
- 使用访问授权资源的
write-attribute操作来设置permission-combination-policy为所需的策略名称。/core-service=management/access=authorization:write-attribute(name=permission-combination-policy, value=POLICYNAME)
有效的策略名称是 rejecting 和 permissive。[standalone@localhost:9999 /] /core-service=management/access=authorization:write-attribute(name=permission-combination-policy, value=rejecting) {"outcome" => "success"} [standalone@localhost:9999 access=authorization]
如果服务器已下线,你可以编辑 XML 配置文件来修改权限组合策略。为此,你需要编辑 access-control 元素的
permission-combination-policy 属性。
<access-control provider="rbac" permission-combination-policy="rejecting">
<role-mapping>
<role name="SuperUser">
<include>
<user name="$local"/>
</include>
</role>
</role-mapping>
</access-control>