第 4 章
管理 Calendar Server 访问控制

Sun™ ONE Calendar Server 使用访问控制列表 (ACL) 来确定日历、日历特性和日历组件（例如事件和待办事件 [任务]）的访问控制。

本章包括以下章节：

增加 Calendar Server 登录的安全性
用户访问控制
访问控制列表 (ACL)
“公用”和“私人”事件与任务过滤器
代理管理员登录
访问控制的配置参数
访问控制的命令行实用程序

---

增加 Calendar Server 登录的安全性

用户通过 Calendar Express 登录 Calendar Server 时，默认情况下验证进程并不加密登录信息（包括用户名和密码）。如果希望增加站点登录的安全性，请配置 Calendar Server 使用安全套接字层 (SSL) 协议来加密登录数据。有关详细信息，请参阅第 9 章“在 Calendar Server 中使用 SSL”。

---

用户访问控制

确定对日历、日历特性和日历组件的访问权限时，Calendar Server 将考虑以下用户：

主要日历属主

主要日历属主对自己的日历拥有完全访问权限。Calendar Server 不对主要属主访问自己的日历执行任何访问控制检查。

管理员和超级用户

管理员（例如 icsuser 或 calmaster）或超级用户（例如 root）不受访问控制限制，可以对日历或日历组件执行任何操作。有关详细信息，请参阅 Calendar Server 管理员。

其他日历属主

主要日历属主可以为自己的日历指定其他属主。这样，其他属主就可以代表主要属主预定、删除、修改、接受或谢绝日历事件或待办事件（任务）。

anonymous 用户

如果 ics.conf 文件中的 service.http.allowanonymouslogin 设置为“yes”（默认值），那么特殊的日历 ID (calid) anonymous 就可以使用任何密码访问 Calendar Server。anonymous 用户不与任何特定域相关联。用户可以通过编辑 calstore.anonymous.calid 参数来更改 anonymous 用户的 calid。

如果日历的权限设置允许任何人进行读访问，那么您也可以匿名查看日历。例如，以下链接允许用户匿名查看 calid 为 tchang:meetings 日历（如果该日历的权限设置允许任何人进行读访问）：

http://calendar.sesta.com:8080/?calid=tchang:meetings

anonymous 用户可以查看、打印和搜索日历中的公共事件和任务，但不能执行任何其他操作。

有关匿名查看资源日历的信息，请参阅创建日历链接。

---

访问控制列表 (ACL)

Calendar Server 使用访问控制列表 (ACL) 来确定日历、日历特性和日历组件（例如事件和待办事件 [任务]）的访问控制。ACL 由一个或多个访问控制条目 (ACE) 组成，这些条目是共同应用到同一个日历或组件的字符串。ACL 中的每个 ACE 之间必须用分号分隔。例如：

jsmith^c^wd^g 由单个 ACE 组成。
@@o^a^r^g;@@o^c^wdeic^g;@^a^sf^g 由三个 ACE 组成。

ACE 由以下元素组成，每个元素之间由插入符号 (^) 分隔：

Who - 应用 ACE 的单个用户、域或某种类型的用户。
What - 访问的目标，例如日历、日历组件（如事件或待办事件 [任务]）或日历特性。
How - 允许的访问控制权限类型，例如读、写或删除。
Grant - 已授予或已拒绝授予的特定访问控制权限。

例如，在 ACE jsmith^c^wd^g 中：

jsmith 是 Who 元素，表示将应用 ACE 的人。
c 是 What 元素，表示要访问的内容（仅日历组件）。
wd 是 How 元素，表示已授予或已拒绝授予的访问权限（写和删除）。
g 是 Grant 元素，表示已授予 jsmith 对日历组件的特定访问权限（写和删除）。

Who

Who 元素是 ACE 中的主要值，表示将应用 ACE 的人（例如单个用户、域或特定类型的用户）。

Who 也称为通用主要名称 (UPN)。用户的 UPN 是用户的域和登录名的组合。例如，域 sesta.com 中的用户 bill 的 UPN 为 bill@sesta.com。

表 4-1 显示了 Calendar Server ACE 中使用的 Who 格式。

表 4-1  访问控制条目 (ACE) 字符串中的 Who 格式 

格式	说明
user	表示一个特定的用户。例如：jsmith。
user@domain	表示特定域中的特定用户。例如：jsmith@sesta.com。
@domain	表示指定域中的任何用户。 例如：@sesta.com 指定 jsmith@sesta.com、sally@sesta.com 和 sesta.com 中的任何其他用户。 使用此格式可以为用户授予或拒绝对整个域的访问权限。
@	表示所有用户。
@@{p|o|n}	表示日历的属主： @@p - 仅主要属主 @@o - 所有属主，包括主要属主 @@n - 不包括任何属主

What

What 元素用于指定访问的目标，例如日历、日历组件（事件或任务）或日历特性。

表 4-2 显示了 Calendar Server ACE 中使用的 What 目标值。

表 4-2  访问控制条目 (ACE) 字符串中的 What 值 

值	说明
c	指定日历组件，例如事件和任务
p	指定日历特性，例如名称、说明和属主等
a	指定整个日历（所有内容），包括组件和特性

How

How 元素用于指定已授予的访问控制权限的类型，例如读、写或删除。

表 4-3 显示了 Calendar Server ACE 中使用的 How 类型的访问控制权限。

表 4-3  访问控制条目 (ACE) 字符串中的 How 类型 

类型	说明
r	读访问。
w	写访问，包括添加新项和修改现有项。
d	删除访问。
s	预定（邀请）访问。可以发送请求、接收回复以及进行其他 iTIP 预定交互操作。
f	仅空闲/繁忙（空闲时间）访问。空闲/繁忙访问表示用户能够查看日历中的时间安排，但不能查看事件的详细信息。已安排的时间块将只显示“不可用”。未安排任何事件的时间块旁边将显示“可用”。
l	域的查找访问。
e	以代表身份进行回复访问。此类型授予用户代表日历的主要属主接受或拒绝邀请的权限。此访问类型不需要明确授予，因为当一名用户被指定为日历的属主（非主要属主）时，就暗含授予了这种权限。
i	以代表身份进行邀请访问。此类型授予用户代表日历的主要属主创建和修改已邀请其他参与者的组件的权限。此访问类型不需要明确授予，因为当一名用户被指定为日历的属主（非主要属主）时，就暗含授予了这种权限。
c	以代表身份进行取消访问。此类型授予用户代表日历的主要属主取消已邀请其他参与者的组件的权限。此访问类型不需要明确授予，因为当一名用户被指定为日历的属主（非主要属主）时，就暗含授予了这种权限。

Grant

Grant 元素指定是授予还是拒绝授予指定类型（例如 d [删除] 或 r [读]）的访问权限。

表 4-4 显示了 Calendar Server ACE 中使用的 Grant 属性值。

表 4-4  访问控制条目 (ACE) 字符串中的 Grant 值 

值	说明
g	授予特定的访问控制权限。
d	拒绝授予特定的访问控制权限。

ACE 示例

以下示例显示了 ACE 的用法：

授予用户 ID jsmith 对整个日历（包括组件和特性）的读访问权限：

jsmith^a^r^g

授予 jsmith 仅对组件的写和删除访问权限：

jsmith^c^wd^g

授予 sesta.com 域中的所有用户仅对组件的预定、空闲时间和读访问权限：

@sesta.com^c^sfr^g

授予所有属主仅对组件的写和删除访问权限：

@@o^c^wd^g

拒绝授予 jsmith 对日历数据的所有访问权限：

jsmith^a^sfdwr^d

授予所有属主对整个日历（包括组件和特性）的读、预定和空闲时间访问权限：

@@o^a^rsf^g

授予所有用户读访问权限：

@^a^r^g

对 ACL 中的 ACE 进行排序

Calendar Server 读取 ACL 时，它将使用遇到的第一个 ACE，无论该 ACE 是授予还是拒绝对目标的访问权限。因此，ACL 条目的顺序非常重要。对 ACE 字符串排序时，应将明确具体的条目放在概括性条目之前。

例如，假设日历 jsmith:sports 的 ACL 中的第一个 ACE 将读访问权限授予所有用户。然后，Calendar Server 遇到的第二个 ACE 拒绝授予 bjones 对此日历的读访问权限。在这种情况下，Calendar Server 将授予 bjones 对此日历的读访问权限，而忽略第二个 ACE，因为它与第一个 ACE 冲突。因此，要确保实现特定用户（例如 bjones）的访问权限，应将 bjones 的 ACE 放在 ACL 中全局性条目（例如，应用于日历的所有用户的 ACE）之前。

---

访问控制的配置参数

表 4-5 介绍了 ics.conf 文件中 Calendar Server 用于访问控制的配置参数。有关详细信息，请参阅第 12 章“Calendar Server 配置参数”。

表 4-5  访问控制的配置参数 

参数	说明
calstore.calendar.default.acl	指定用户创建日历时使用的默认访问控制设置。默认值为： @@o^a^r^g;@@o^c^wdeic^g;@^a^fs^g;@^c^^g;@^p^r^g
calstore.calendar.owner.acl	指定日历属主的默认访问控制设置。默认值为： @@o^a^rsf^g;@@o^c^wdeic^g
resource.default.acl	指定创建资源日历时使用的默认访问控制设置。默认值为： @@o^a^r^g;@@o^c^wdeic^g;@^a^rsf^g

---

“公用”和“私人”事件与任务过滤器

创建新事件或任务时，用户可以指定该事件或任务是“公用”、“私人”还是“仅时间与日期（保密）”：

公用 — 任何对用户日历具有读权限的用户都可以查看事件或任务。
私人 — 仅日历属主可以查看事件或任务。
仅时间与日期（保密） — 日历属主可以查看事件或任务。拥有日历读权限的其他用户只能查看日历中“未命名的事件”，而且此标题不是一个活动链接。

calstore.filterprivateevents 确定 Calendar Server 是否过滤（识别）“私人”和“仅时间与日期（保密）”事件和任务。默认情况下此参数被设置为“yes”。如果将 calstore.filterprivateevents 设置为“no”，那么 Calendar Server 将按处理“公用”事件和任务的方式处理“私人”及“仅时间与日期”事件和任务。

---

代理管理员登录

要允许以管理员代理身份登录 Calendar Server，请执行以下操作：

在 ics.conf 文件中，设置以下参数：

service.http.allowadminproxy = "yes"

重新启动 Calendar Server 以便新值生效。
使用以下 WCAP 命令验证管理员代理登录正在工作：

http://server[:port]/login.wcap?user=admin-user
&password=admin-password&proxyauth=calendar-user

其中：

server 是运行 Calendar Server 的服务器的名称。
port 是 Calendar Server 端口号。默认端口为 80。
admin-user 是 Calendar Server 管理员。例如，calmaster。
admin-password 是 admin-user 的密码。
calendar-user 是 Calendar Server 用户的 calid。

如果命令运行成功，Calendar Server 将显示 calendar-user 的日历。如果发生问题，Calendar Server 将显示“未授权”。原因可能是：

admin-user 没有 Calendar Server 管理员权限。
admin-password 不正确。
calendar-user 不是有效的 Calendar Server 用户。

 

---

访问控制的命令行实用程序

表 4-6 介绍了允许设置或修改访问控制的 ACL 的 Calendar Server 命令行实用程序：

表 4-6  访问控制的命令行实用程序

实用程序	说明
cscal	使用带有 -a 选项的 create 和 modify 命令为特定用户的日历设置 ACL。
csresource	使用带有 -a 选项的 create 命令为资源（例如会议室或设备）的资源日历设置 ACL。
csuser	使用带有 -a 选项的 csuser 实用程序管理存储在 LDAP 目录服务器和日历数据库中的日历用户信息。

上一个      目录      索引      下一个

---

版权所有 2003 Sun Microsystems, Inc.。保留所有权利。