下列主題說明您在設定存取控制時可以選取的各種選項。針對 Administration Server,前兩行為預設設定,無法編輯。
本小節包含以下主題:
您可以指定當請求匹配存取控制規則時伺服器要執行的動作。
[Allow] 表示使用者或系統可以存取請求的資源
[Deny] 表示使用者或系統不能存取該項資源
伺服器會檢查所有存取控制項目 (ACE) 清單,以決定存取權限。例如,第一個 ACE 通常為拒絕所有使用者。如果第一個 ACE 設為 [Continue],伺服器便會檢查清單中的第二個 ACE。如果該 ACE 相符,就會使用下一個 ACE。如果未選取 [Continue],則會拒絕所有使用者存取該項資源。伺服器會繼續檢查清單,直到找到不相符的 ACE 或相符但未設定為 [Continue] 的 ACE 為止。最後一個相符的 ACE 將確定是允許還是拒絕存取。
使用使用者和群組認證時,系統會提示使用者提供使用者名稱和密碼,之後才能存取在存取控制規則中指定的資源。
Proxy Server 會檢查儲存在 LDAP 伺服器 (如 Sun Java System Directory Server) 或內部檔案型之認證資料庫中的使用者和群組清單。
您可以允許或拒絕資料庫中的任何人進行存取,也可以使用萬用字元式樣以允許或拒絕特定的人員,或從使用者和群組清單中選取要允許或拒絕的人員。
下列為使用者介面中 [Access Control Rules For] 頁面上,針對 [Users/Groups] 所顯示的元素:
[Anyone (No Authentication)] 是預設設定,表示任何使用者都可以存取該資源而不必提供使用者名稱或密碼。但是,基於其他設定 (例如主機名稱或 IP 位址) 的不同,也可能會拒絕該使用者進行存取。針對 Administration Server,這項設定表示您為分散式管理所指定的管理者群組中,任何人都可以存取這些頁面。
Authenticated People Only
[All In The Authentication Database] 會比對與資料庫項目相符的任何使用者。
[Only The following People] 可讓您指定要比對的使用者和群組。您可以用逗號分隔各個項目來個別列出使用者或使用者群組,也可以使用萬用字元式樣,還可以從儲存在資料庫中的使用者和群組清單進行選取。[Group] 可比對指定群組中的所有使用者。[User] 可比對您指定的個別使用者。針對 Administration Server,使用者還必須位於您為分散式管理所指定的管理員群組中。
[Prompt For Authentication] 指定在認證對話方塊中顯示的訊息文字。您可以使用此文字來說明使用者需要鍵入的內容。使用者大約可以看到該提示的前 40 個字元,視作業系統而定。大多數瀏覽器都會快取使用者名稱和密碼,並將其與提示文字相關聯。如果使用者存取的伺服器檔案與目錄區域具有相同的提示,使用者就不需要重新鍵入使用者名稱和密碼。相反,如果要強制使用者重新認證後才可存取不同區域,您必須變更此資源上的 ACL 提示。
[Authentication Methods] 指定伺服器從用戶端取得認證資訊時所使用的方法。Administration Server 僅提供了基本認證方法。Server Manager 則提供下列方法:
[Default] 會使用 obj.conf 檔案中指定的預設方法,如果 obj.conf 中沒有任何設定,則會使用 [Basic]。如果選取 [Default],ACL 規則不會指定 ACL 檔案中的方法。如果選擇 [Default],您只需編輯 obj.conf 檔案中的一行文字,就可以輕鬆變更所有 ACL 的方法。
[Basic] 使用 HTTP 方法,從用戶端取得認證資訊。僅當為伺服器啟用了加密 (啟用 SSL) 後,才會對使用者名稱和密碼進行加密。否則,名稱和密碼會以明文方式傳送,如果遭到截取,他人就會看到這些內容。
[SSL] 使用用戶端憑證來認證使用者。若要使用此方法,必須為伺服器啟用 SSL。如果啟用加密,則可以合併 [Basic] 和 [SSL] 兩種方法。
您只能在反向代理模式中啟用安全性,不能在正向代理模式中啟用。
[Digest] 所使用的認證機制讓瀏覽器根據使用者名稱和密碼認證使用者,不以明文方式傳送使用者名稱和密碼。瀏覽器透過使用者的密碼和 Proxy Server 提供的一些資訊,使用 MD5 演算法來建立摘要值。伺服器端也會使用摘要式認證外掛程式計算此摘要值,並與用戶端提供的摘要值進行比對。
[Prompt For Authentication] 是摘要式認證的必要參數。變更值以符合範圍 (摘要檔案的必要項目)。例如,如果您在摘要檔案中將所有使用者都配置為位於 test 範圍內,則 [Prompt For Authentication] 欄位應包含文字 test。
[Authentication Database] 指定伺服器將用來認證使用者的資料庫。此選項僅在 Server Manager 中可用。如果選擇 [Default],伺服器將查找配置為預設的目錄服務中的使用者和群組。如果要配置讓個別的 ACL 使用不同資料庫,請選取 [Other] 並指定資料庫。您必須在 server-root/userdb/dbswitch.conf 中指定非預設資料庫和 LDAP 目錄。如果將存取控制 API 用於自訂資料庫,請選取 [Other] 並鍵入資料庫名稱。
您可以根據發出請求的電腦來限制對 Administration Server 的存取。
下列為使用者介面中 [Access Control Rules For] 頁面上,[From Host] 所顯示的元素:
[Anyplace] 允許存取所有使用者和系統。
[Only From] 可讓您限制對特定主機名稱或 IP 位址的存取
如果選取 [Only From] 選項,請在 [Host Names] 或 [IP Addresses] 欄位中鍵入萬用字元式樣或以逗號分隔的清單。依主機名稱限制比依 IP 位址限制更具有彈性。如果使用者的 IP 位址發生變更,您就無需更新此清單。但是依 IP 位址限制比較可靠。如果對連線用戶端進行 DNS 查找失敗,將無法使用主機名稱限制。
您只能使用與電腦的主機名稱或 IP 位址相符之萬用字元式樣的 * 萬用字元表示法。例如,若要允許或拒絕特定網域內的所有電腦,您需要輸入與該網域內所有主機相符的萬用字元式樣,例如 *.example.com。您可以為存取 Administration Server 的超級使用者設定不同的主機名稱和 IP 位址。
對於主機名稱,* 必須替代名稱中的整個元件,亦即 *.example.com 有效,但 *users.example.com 則無效。* 出現在主機名稱中時,必須是最左側的字元。例如 *.example.com 有效,但 users.*.com 則無效。
對於 IP 位址,* 必須替代位址中的整個位元組,例如 198.95.251.* 有效,但 198.95.251.3* 則無效。* 出現在 IP 位址中時,必須是最右側的字元。例如 198.* 有效,但 198.*.251.30 則無效。
只有 Administration Server 才能限制對程式的存取行為。限制對程式的存取行為,即可僅讓指定的使用者檢視 Server Manager 頁面,並決定這些使用者是否可以配置該伺服器。例如,您可能允許幾個管理員配置 Administration Server 的 [Users and Groups] 區段,但拒絕他們存取 [Global Settings] 區段。
您可以配置不同的使用者存取不同的功能領域。一旦允許使用者存取已選取的功能性網域,則該使用者登入後,僅能看到開放給該使用者的功能性網域之 Administration Server 頁面。
下列為使用者介面中 [Access Control Rules For] 頁面上, [Programs] 所顯示的元素:
[All Programs],允許或拒絕存取所有程式。依預設,管理員可以存取伺服器的所有程式。
[Only The Following] 讓您可以指定使用者可以存取的程式。
[Program Groups] 顯示 Administration Server 的標籤 (例如,[Preferences] 和 [Global Settings]),並顯示對這些頁面的存取情形。當管理員存取 Administration Server 時,伺服器將使用他們的使用者名稱、主機和 IP 位址來決定他們能檢視的頁面。
[Program Items] 讓您可以在欄位中鍵入頁面名稱,即可限制對程式內特定頁面的存取。
伺服器實例的存取權限只能由 Server Manager 設定。存取權限可以限制對伺服器上檔案和目錄的存取。除了允許或拒絕所有存取權限外,您還可以指定一個允許或拒絕部分存取權限的規則。例如,您可以允許使用者對檔案具有唯讀存取權限,讓他們可以檢視資訊,但無法變更檔案。
下列為使用者介面中 [Access Control Rules For] 頁面上, [Rights] 所顯示的元素:
[All Access Rights] 是預設設定,可允許或拒絕所有權限。
[Only The following Rights] 讓您可以選取要允許或要拒絕的權限組合:
您可以為 ACL 輸入自訂表示式。僅當您瞭解 ACL 檔案的語法和結構時,才可以選取此選項。有幾個功能只有透過編輯 ACL 檔案或建立自訂表示式的方式才能發揮功效。例如,您可以根據一天中的時間和/或一週中的日期限制存取伺服器的行為。
以下自訂表示式顯示如何依據一天中的時間和一週中的日期來限制存取。本範例假定您的 LDAP 目錄中有兩個群組存在。[Regular] 群組可以在星期一到星期五的上午 8:00 到下午 5:00 進行存取。[Critical] 群組可以隨時進行存取。
allow (read){(group=regular and dayofweek=”mon,tue,wed,thu,fri”); (group=regular and (timeofday>=0800 and timeofday<=1700));(group=critical)}
如需有關有效語法及 ACL 檔案的更多資訊,請參閱第 18 章ACL 檔案語法。
當您取消選取 [Access Control Rules For] 頁面上標示為 [Access Control Is On] 的選項時,會出現提示詢問您是否要消除 ACL 中的記錄。當您按一下 [OK] 時,將會從 ACL 檔案中刪除該資源的 ACL 項目。
如果您想要停用 ACL,可在檔案 generated-proxy-serverid.acl 中的每一行開頭使用 # 號,為 ACL 行加入註釋。
在 Administration Server 中,您可以針對特定伺服器實例建立並開啟存取控制,但對其他伺服器仍保留關閉存取控制 (預設值)。例如,您可以透過 Administration Server 拒絕對 Server Manager 頁面的所有存取。當任何其他伺服器依預設開啟了分散式管理且關閉存取控制時,管理員仍可以存取和配置那些伺服器,但不能配置 Administration Server。
Proxy Server 在拒絕存取時提供一則預設訊息,您可以視需要自訂回應。也可以為每個存取控制物件建立不同的訊息。
對於 Administration Server,依預設使用者會收到 server-root/httpacl/admin-denymsg.html 中的 [Permission Denied] 訊息。