Show Table of Contents
11.9.10. 配置约束
11.9.10.1. 配置 Sensitivity 约束
每个敏感性约束(Sensitivity Constraint)都定义了被认为是 “敏感的”的资源的集合。敏感的资源通常是某种机密的内容,如密码,或者对服务器的操作有着重大影响的东西,如网络、JVM 配置或系统属性。访问控制系统本身也被视作敏感的资源。资源敏感性限制了哪些角色可以读、写或寻址专门的资源。
应用程序约束的配置位于管理 API 里的
/core-service=management/access=authorization/constraint=sensitivity-classification。
在管理模型内部,每个 Sensitivity 约束都被标识为
类别(classification)。这些类别被分组为类型(types)。有 39 种类别被分组成 13 个类型。
要配置 Sensitivity 约束,请使用
write-attribute 操作来设置 configured-requires-read、configured-requires-write 或 configured-requires-addressable 属性。要使该类型的操作成为敏感的,请将其设置为 false。在默认情况下,它们不会被设置而使用 default-requires-read、default-requires-write 和default-requires-addressable 的值。一旦配置的属性被设置,它将替代默认值。默认值不能被修改。
例 11.25. 使读取系统属性成为敏感性操作
[domain@localhost:9999 /] cd /core-service=management/access=authorization/constraint=sensitivity-classification/type=core/classification=system-property
[domain@localhost:9999 classification=system-property] :write-attribute(name=configured-requires-read, value=true)
{
"outcome" => "success",
"result" => undefined,
"server-groups" => {"main-server-group" => {"host" => {"master" => {
"server-one" => {"response" => {"outcome" => "success"}},
"server-two" => {"response" => {"outcome" => "success"}}
}}}}
}
[domain@localhost:9999 classification=system-property] :read-resource
{
"outcome" => "success",
"result" => {
"configured-requires-addressable" => undefined,
"configured-requires-read" => true,
"configured-requires-write" => undefined,
"default-requires-addressable" => false,
"default-requires-read" => false,
"default-requires-write" => true,
"applies-to" => {
"/host=master/system-property=*" => undefined,
"/host=master/core-service=platform-mbean/type=runtime" => undefined,
"/server-group=*/system-property=*" => undefined,
"/host=master/server-config=*/system-property=*" => undefined,
"/host=master" => undefined,
"/system-property=*" => undefined,
"/" => undefined
}
}
}
[domain@localhost:9999 classification=system-property]
表 11.6 “Sensitivity 约束配置结果” 总结了哪些角色能够执行哪些操作所取决的配置。
表 11.6. Sensitivity 约束配置结果
| Value | requires-read | requires-write | requires-addressable |
|---|---|---|---|
true
|
读操作是敏感的。
只有
Auditor、Administrator 和 SuperUser 有读的权限。
|
写操作是敏感的。
只有
Administrator 和 SuperUser 有写的权限。
|
寻址(Addressing)是敏感的。
只有
Auditor、Administrator 和 SuperUser 可以寻址。
|
false
|
读操作是非敏感的。
任何管理用户都可以读。
|
写操作是非敏感的。
只有
Maintainer、Administrator 和 SuperUser 可以写。如果这个约束是一个应用程序资源的话,Deployers 也可以写。
|
寻址(Addressing)是非敏感的。
任何管理用户都可以寻址。
|
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.