用于连接服务的访问控制

ACL 属性文件中的连接访问控制部分包含代理连接服务的访问控制规则。连接访问控制规则的语法如下：

connection.resourceVariant.
access.principalType=
principals

为 resourceVariant 定义了两个值：NORMAL 和 ADMIN。这些预定义的值是您唯一能够授予访问权限的连接服务类型。

默认的 ACL 属性文件授予所有用户访问 NORMAL 连接服务的权限，并授予 admin 组中的用户访问 ADMIN 连接服务的权限：

connection.NORMAL.allow.user=*
connection.ADMIN.allow.group=admin

如果您使用的是基于文件的用户系统信息库，则默认组 admin 由用户管理器实用程序创建。如果您使用的是 LDAP 用户系统信息库，则可以通过执行以下操作之一来使用默认 ACL 属性文件：

• 在 LDAP 目录中定义一个名为 admin 的组。

• 使用在 LDAP 目录中定义的一个或多个组的名称来替换 ACL 属性文件中的名称 admin。

您可以对连接访问权限加以限定。例如，以下规则拒绝 Bob 访问 NORMAL，但允许其他人访问：

connection.NORMAL.deny.user=Bob
connection.NORMAL.allow.user=*

可以使用星号 (*) 指定所有通过验证的用户或组。

使用 ACL 属性文件来授权访问 ADMIN 连接的方式与使用基于文件的用户系统信息库和 LDAP 用户系统信息库不同，如下所示：

• 基于文件的用户系统信息库

  • 如果禁用访问控制，admin 组中的用户将具有 ADMIN 连接权限。

  • 如果启用访问控制，请编辑 ACL 文件。明确授予用户或组访问 ADMIN 连接服务的权限。

• LDAP 用户系统信息库。如果您使用的是 LDAP 用户系统信息库，请执行下列所有操作：

  • 启用访问控制。

  • 编辑 ACL 文件并提供可以建立 ADMIN 连接的用户或组的名称。指定在 LDAP 目录服务器中定义的任何用户或组。