第 14 章 管理证书证书系统启动; 系统用户和组

本章介绍了如何设置授权来访问管理、代理服务和端点页面。

14.1. 关于授权

授权 是允许访问与证书证书 Systemnbsp;System 关联的特定任务的过程。访问权限可以限于允许对特定用户或组的特定子系统区域执行某些任务,以及不同的用户和组的不同任务。
用户特定于创建它们的子系统。每个子系统都有自己的一组独立于安装的任何其他子系统的用户。用户放置在组中,它们可以预定义或创建用户。通过 访问控制列表 (ACL)将权限分配给组。存在与管理控制台、代理服务接口和端点页面中相关的 ACL,它们可在允许操作继续操作前执行授权检查。在每个 ACL 中创建 访问控制指令 (ACI),以明确允许或拒绝该 ACL 的可能操作、组或 IP 地址。
ACL 包含创建的默认组的默认 ACI 组。可以修改这些 ACI,以更改预定义组的权限,或者为新建的组分配特权。
授权通过以下过程进行:
  1. 用户使用 CertificateCertificate Systemnbsp;System 用户 ID 和密码或证书向接口进行身份验证。
  2. 服务器将用户 ID 和密码与数据库中存储的用户 ID 和密码匹配,或者检查数据库中存储的证书来验证用户。使用基于证书的验证时,服务器还会检查证书是否有效,并通过将证书的 DN 与用户条目关联并查找用户的组成员资格。使用基于密码的身份验证时,服务器会根据用户 ID 检查密码,然后通过将用户 ID 与组中包含的用户 ID 关联来查找用户的组成员资格。
  3. 当用户试图执行操作时,授权机制会比较用户 ID、用户所属的组,或者用户所属的 IP 地址,或者该用户的 IP 地址针对该用户、组或 IP 地址。如果存在允许该操作的 ACL,则操作继续进行。