第 4 章
管理 Calendar Server 存取控制

Sun™ ONE Calendar Server 使用存取控制清單 (ACL) 決定行事曆、行事曆特性 (例如事件及待辦事項 [工作]) 的存取控制。

本章包含以下小節：

安全 Calendar Server 登入
使用者存取控制
存取控制清單 (ACL)
公開與私人事件和工作過濾器
代理管理員登入
存取控制的配置參數
存取控制的指令行公用程式

---

安全 Calendar Server 登入

使用者透過 Calendar Express 登入 Calendar Server 時，依預設認證程序並不加密登入資訊 (包括使用者名稱和密碼)。如果您要在站台上進行安全登入，請將 Calendar Server 配置為使用安全套接層 (SSL) 協定來加密登入資料。如需更多資訊，請參閱第 9 章「配合使用 SSL 與 Calendar Server」

---

使用者存取控制

Calendar Server 在決定行事曆、行事曆特性以及行事曆元件的存取時，會考量以下使用者：

主要行事曆所有者

主要行事曆所有者對自己的行事曆擁有完全存取權限。Calendar Server 對存取其自身行事曆的主要所有者不執行任何存取控制檢查。

管理員和超級使用者

管理員 (例如 icsuser 或 calmaster) 或超級使用者 (例如 root) 不受存取控制限制，可以在行事曆或行事曆元件上執行任何作業。如需更多資訊，請參閱 Calendar Server 管理員。

其他行事曆所有者

主要行事曆所有者可為自己的行事曆指定其他所有者。然後，其他所有者就可代表主要所有者為行事曆排程、刪除、修改、接受或拒絕事件或待辦事項 (工作)。

anonymous 使用者

如果 ics.conf 檔案中的 service.http.allowanonymouslogin 設定為 "yes" (預設值)，特殊行事曆 ID (calid) anonymous 可使用任何密碼存取 Calendar Server。anonymous 使用者與任何特定網域均沒有關聯。您可以透過編輯 calstore.anonymous.calid 參數來變更 anonymous 使用者的 calid。

如果某行事曆的權限允許所有使用者讀取，則您還可以匿名地檢視該行事曆。例如，以下連結允許使用者匿名地檢視 calid 為 tchang:meetings 的行事曆 (如果行事曆的權限允許所有使用者讀取)：

http://calendar.sesta.com:8080/?calid=tchang:meetings

anonymous 使用者可以檢視、列印及搜尋行事曆中的公開事件和工作，但不能執行任何其他作業。

如需有關匿名地檢視資源行事曆的資訊，請參閱連結至行事曆。

---

存取控制清單 (ACL)

Calendar Server 使用存取控制清單 (ACL) 決定行事曆、行事曆特性和行事曆元件 (例如事件和待辦事項 [工作]) 的存取控制。ACL 由一個或多個存取控制項目 (ACE) 組成，這些存取控制項目是共同套用於同一行事曆或元件的字串。ACL 中的各個 ACE 必須由分號分隔。例如：

jsmith^c^wd^g 由單一 ACE 組成。
@@o^a^r^g;@@o^c^wdeic^g;@^a^sf^g 由三個 ACE 組成。

ACE 由以下元素組成，其中各個元素由指數符號 (^) 分隔：

Who - 套用 ACE 的個人、使用者、網域或使用者類型。
What - 要存取的目標，例如行事曆、行事曆元件 (事件、待辦事項 [工作]) 或行事曆特性。
How - 所許可的存取控制權限類型，例如讀取、寫入或刪除。
Grant - 被授與或被拒絕的特定存取控制權限。

例如，在 ACE jsmith^c^wd^g 中：

jsmith 為 Who 元素，指明 ACE 套用於誰。
c 為 What 元素，指明要存取的內容 (僅行事曆元件)。
wd 為 How 元素，指明將授與或拒絕哪些存取權限 (寫入與刪除)。
g 為 Grant 元素，指明將行事曆元件的指定存取權限 (寫入與刪除) 授與 jsmith。

Who

Who 元素是 ACE 的主要值，指明 ACE 套用於誰，如個別使用者、網域或使用者的特定類型。

Who 也稱為通用主要名稱 (UPN)。使用者 UPN 是與使用者網域結合的使用者登入名稱。例如，網域 sesta.com 中使用者 bill 的 UPN 為 bill@sesta.com。

表格 4-1 顯示 Calendar Server ACE 中使用的 Who 格式。

表格 4-1  存取控制項目 (ACE) 字串的 Who 格式 

格式	說明
使用者	指特定的使用者。例如：jsmith。
使用者@網域	指特定網域中的特定使用者。例如：jsmith@sesta.com。
@網域	指的是指定網域中的任何使用者。 例如：@sesta.com 指定 jsmith@sesta.com、sally@sesta.com 以及 sesta.com 中的任何其他使用者。 使用本格式授與或拒絕對整個使用者網域的存取。
@	指所有使用者。
@@{p|o|n}	指行事曆的所有者： @@p 僅主要所有者 @@o 全部所有者，包括主要所有者 @@n 非所有者

What

What 元素指定要存取的目標，例如行事曆、行事曆元件 (事件或工作) 或行事曆特性。

表格 4-2 顯示 Calendar Server ACE 中使用的 What 目標值。

表格 4-2  存取控制項目 (ACE) 字串的 What 值 

值	說明
c	指定行事曆元件，例如事件和工作
p	指定行事曆特性，例如名稱、說明、所有者等
a	指定整個行事曆 (所有)，包括元件與特性

How

How 元素指定所許可的存取控制權限類型，例如讀取、寫入或刪除。

表格 4-3 顯示 Calendar Server ACE 中使用的存取控制權限的 How 類型。

表格 4-3  存取控制項目 (ACE) 字串的 How 類型 

類型	說明
r	讀取存取。
w	寫入存取，包括加入新項目和修改現有項目。
d	刪除存取。
s	排程 (邀請) 存取。可以產生請求，將會接受回覆，並且會允准其他 iTIP 排程互動。
f	僅空閒/忙碌 (空閒時間) 存取。空閒/忙碌存取意味著使用者可以看到行事曆中已排程的時間，但是看不到事件詳細資訊。相反，只會看到「非空閒時間」幾個字出現在已排程時段的旁邊。無任何已排程事件的時段在其旁邊列示有「空閒時間」。
l	網域的查找存取。
e	代表進行回覆存取。此類型授與使用者代表行事曆的主要所有者接受或拒絕邀請的權限。無需明確地授權此存取類型，因為在將使用者指定為行事曆的所有者 (除了主要所有者之外的所有者) 時已暗示此存取類型。
i	代表進行邀請存取。此類型授與使用者代表行事曆的主要所有者建立及修改元件的權限，在這些元件中已經邀請了其他與會人員。無需明確地授權此存取類型，因為在將使用者指定為行事曆的所有者 (除了主要所有者之外的所有者) 時已暗示此存取類型。
c	代表進行取消存取。此類型授與使用者代表行事曆的主要所有者取消元件的權限，已將與會人員邀請至這些元件。無需明確地授權此存取類型，因為在將使用者指定為行事曆的所有者 (除了主要所有者之外的所有者) 時已暗示此存取類型。

Grant

Grant 元素指定是授與還是拒絕特定存取類型的存取，例如 d (刪除) 或 r (讀取)。

表格 4-4 顯示 Calendar Server ACE 中使用的 Grant 性質值。

表格 4-4  存取控制項目 (ACE) 字串的 Grant 值 

值	說明
g	授與特定的存取控制權限。
d	拒絕特定的存取控制權限。

ACE 範例

以下範例說明 ACE 的使用：

授與使用者 ID jsmith 對整個行事曆 (包括元件及特性) 的讀取存取權限：

jsmith^a^r^g

僅授與 jsmith 對元件的寫入和刪除存取權限：

jsmith^c^wd^g

僅授與 sesta.com 網域中的所有使用者對元件的排程、空閒時間和讀取存取權限：

@sesta.com^c^sfr^g

僅授與全部所有者對元件的寫入和刪除存取權限：

@@o^c^wd^g

拒絕 jsmith 對行事曆資料的所有存取權限：

jsmith^a^sfdwr^d

授與全部所有者對整個行事曆 (包括元件和特性) 的讀取、排程及空閒時間存取權限：

@@o^a^rsf^g

授與所有使用者讀取存取權限：

@^a^r^g

放置 ACL 中的 ACE

當 Calendar Server 讀取 ACL 時，它會使用所遇到的授與或拒絕目標存取的第一個 ACE。因此，ACL 的排序非常重要，應該排序 ACE 字串，使較特定的 ACE 顯示在較一般的 ACE 之前。

例如，假定行事曆 jsmith:sports 之 ACL 中的第一個 ACE 授與所有使用者讀取存取權限。然後，Calendar Server 遇到了第二個 ACE，該 ACE 拒絕 bjones 對本行事曆的讀取存取權限。這種情況下，Calendar Server 會授與 bjones 對本行事曆的讀取存取權限，並因為第二個 ACE 是一個衝突而忽略它。因此，為確保特定使用者 (如 bjones) 的存取權限得到允准，在 ACL 中應該將 bjones 的 ACE 放置在全域性較強的項目 (例如套用至行事曆的所有使用者的 ACE) 之前。

---

存取控制的配置參數

表格 4-5 說明 Calendar Server 用於存取控制的 ics.conf 檔案中的配置參數。如需更多資訊，請參閱第 12 章「Calendar Server 配置參數」。

表格 4-5  存取控制配置參數 

參數	說明
calstore.calendar.default.acl	指定使用者建立行事曆時使用的預設存取控制設定。預設值為： "@@o^a^r^g;@@o^c^wdeic^g;@^a^fs^g;@^c^^g;@^p^r^g"
calstore.calendar.owner.acl	指定行事曆所有者的預設存取控制設定。預設值為： "@@o^a^rsf^g;@@o^c^wdeic^g"。
resource.default.acl	指定建立資源行事曆時使用的預設存取控制設定。預設值為： "@@o^a^r^g;@@o^c^wdeic^g;@^a^rsf^g"

---

公開與私人事件和工作過濾器

建立新事件或工作時，使用者可指定該事件或工作是公開的、私人的，還是只有時間和日期 (機密的) 的事件或工作：

公開的 — 具有使用者行事曆讀取權限的任何使用者都可以檢視該事件或工作。
私人的 — 僅行事曆所有者可以檢視該事件或工作。
只有時間和日期 (機密的) — 行事曆所有者可以檢視該事件或工作。其他具有行事曆讀取權限的使用者只會看到行事曆上出現「未命名的事件」，而且標題不是作用中的連結。

calstore.filterprivateevents 決定 Calendar Server 是否過濾 (辨識) 私人的以及只有時間和日期的 (機密的) 事件和工作。依預設此參數設定為 "yes"。如果您將 calstore.filterprivateevents 設定為 "no"，則 Calendar Server 會將私人的以及只有時間和日期的事件和工作視為公開的事件和工作。

---

代理管理員登入

若要允許 Calendar Server 的管理員代理登入，請執行以下步驟：

在 ics.conf 檔案中，設定以下參數：

service.http.allowadminproxy = "yes"

重新啟動 Calendar Server 以使新值生效。
使用以下 WCAP 指令，檢驗管理員代理登入是否在工作：

http://server[:port]/login.wcap?user=admin-user
&password=admin-password&proxyauth=calendar-user

其中：

server 為執行 Calendar Server 的伺服器的名稱。
port 為 Calendar Server 連接埠號。預設連接埠為 80。
admin-user 為 Calendar Server 管理員。例如，calmaster。
admin-password 為 admin-user 的密碼。
calendar-user 為 Calendar Server 使用者的 calid。

如果指令成功，Calendar Server 將顯示 calendar-user 的行事曆。如果發生問題，Calendar Server 將顯示「未授權」。原因可能是：

admin-user 沒有 Calendar Server 管理員權限。
admin-password 不正確。
calendar-user 不是有效的 Calendar Server 使用者。

 

---

存取控制的指令行公用程式

表格 4-6 說明 Calendar Server 指令行公用程式，它們允許您設定或修改存取控制的 ACL：

表格 4-6  存取控制的指令行公用程式

公用程式	說明
cscal	將 create 指令與 modify 指令和 a 選項配合使用，設定特定使用者行事曆的 ACL。
csresource	將 create 指令和 -a 選項配合使用，為資源 (例如會議室或設備) 設定資源行事曆 ACL。
csuser	將 csuser 公用程式與 -a 選項配合使用，管理儲存在 LDAP 目錄伺服器和行事曆資料庫中的行事曆使用者資訊。

上一個      目錄      索引      下一個

---

Copyright 2003 Sun Microsystems, Inc.。版權所有。