Sun ONE Calendar Server 6.0 管理員指南 |
第 4 章
管理 Calendar Server 存取控制Sun ONE Calendar Server 使用存取控制清單 (ACL) 決定行事曆、行事曆特性 (例如事件及待辦事項 [工作]) 的存取控制。
本章包含以下小節:
安全 Calendar Server 登入使用者透過 Calendar Express 登入 Calendar Server 時,依預設認證程序並不加密登入資訊 (包括使用者名稱和密碼)。如果您要在站台上進行安全登入,請將 Calendar Server 配置為使用安全套接層 (SSL) 協定來加密登入資料。如需更多資訊,請參閱第 9 章「配合使用 SSL 與 Calendar Server」
使用者存取控制Calendar Server 在決定行事曆、行事曆特性以及行事曆元件的存取時,會考量以下使用者:
管理員 (例如 icsuser 或 calmaster) 或超級使用者 (例如 root) 不受存取控制限制,可以在行事曆或行事曆元件上執行任何作業。如需更多資訊,請參閱 Calendar Server 管理員。
如果 ics.conf 檔案中的 service.http.allowanonymouslogin 設定為 "yes" (預設值),特殊行事曆 ID (calid) anonymous 可使用任何密碼存取 Calendar Server。anonymous 使用者與任何特定網域均沒有關聯。您可以透過編輯 calstore.anonymous.calid 參數來變更 anonymous 使用者的 calid。
如果某行事曆的權限允許所有使用者讀取,則您還可以匿名地檢視該行事曆。例如,以下連結允許使用者匿名地檢視 calid 為 tchang:meetings 的行事曆 (如果行事曆的權限允許所有使用者讀取):
http://calendar.sesta.com:8080/?calid=tchang:meetings
anonymous 使用者可以檢視、列印及搜尋行事曆中的公開事件和工作,但不能執行任何其他作業。
如需有關匿名地檢視資源行事曆的資訊,請參閱連結至行事曆。
存取控制清單 (ACL)Calendar Server 使用存取控制清單 (ACL) 決定行事曆、行事曆特性和行事曆元件 (例如事件和待辦事項 [工作]) 的存取控制。ACL 由一個或多個存取控制項目 (ACE) 組成,這些存取控制項目是共同套用於同一行事曆或元件的字串。ACL 中的各個 ACE 必須由分號分隔。例如:
ACE 由以下元素組成,其中各個元素由指數符號 (^) 分隔:
例如,在 ACE jsmith^c^wd^g 中:
Who
Who 元素是 ACE 的主要值,指明 ACE 套用於誰,如個別使用者、網域或使用者的特定類型。
Who 也稱為通用主要名稱 (UPN)。使用者 UPN 是與使用者網域結合的使用者登入名稱。例如,網域 sesta.com 中使用者 bill 的 UPN 為 bill@sesta.com。
表格 4-1 顯示 Calendar Server ACE 中使用的 Who 格式。
What
What 元素指定要存取的目標,例如行事曆、行事曆元件 (事件或工作) 或行事曆特性。
表格 4-2 顯示 Calendar Server ACE 中使用的 What 目標值。
How
How 元素指定所許可的存取控制權限類型,例如讀取、寫入或刪除。
表格 4-3 顯示 Calendar Server ACE 中使用的存取控制權限的 How 類型。
Grant
Grant 元素指定是授與還是拒絕特定存取類型的存取,例如 d (刪除) 或 r (讀取)。
表格 4-4 顯示 Calendar Server ACE 中使用的 Grant 性質值。
ACE 範例
以下範例說明 ACE 的使用:
放置 ACL 中的 ACE
當 Calendar Server 讀取 ACL 時,它會使用所遇到的授與或拒絕目標存取的第一個 ACE。因此,ACL 的排序非常重要,應該排序 ACE 字串,使較特定的 ACE 顯示在較一般的 ACE 之前。
例如,假定行事曆 jsmith:sports 之 ACL 中的第一個 ACE 授與所有使用者讀取存取權限。然後,Calendar Server 遇到了第二個 ACE,該 ACE 拒絕 bjones 對本行事曆的讀取存取權限。這種情況下,Calendar Server 會授與 bjones 對本行事曆的讀取存取權限,並因為第二個 ACE 是一個衝突而忽略它。因此,為確保特定使用者 (如 bjones) 的存取權限得到允准,在 ACL 中應該將 bjones 的 ACE 放置在全域性較強的項目 (例如套用至行事曆的所有使用者的 ACE) 之前。
存取控制的配置參數表格 4-5 說明 Calendar Server 用於存取控制的 ics.conf 檔案中的配置參數。如需更多資訊,請參閱第 12 章「Calendar Server 配置參數」。
公開與私人事件和工作過濾器建立新事件或工作時,使用者可指定該事件或工作是公開的、私人的,還是只有時間和日期 (機密的) 的事件或工作:
calstore.filterprivateevents 決定 Calendar Server 是否過濾 (辨識) 私人的以及只有時間和日期的 (機密的) 事件和工作。依預設此參數設定為 "yes"。如果您將 calstore.filterprivateevents 設定為 "no",則 Calendar Server 會將私人的以及只有時間和日期的事件和工作視為公開的事件和工作。
代理管理員登入若要允許 Calendar Server 的管理員代理登入,請執行以下步驟:
- 在 ics.conf 檔案中,設定以下參數:
service.http.allowadminproxy = "yes"
- 重新啟動 Calendar Server 以使新值生效。
- 使用以下 WCAP 指令,檢驗管理員代理登入是否在工作:
http://server[:port]/login.wcap?user=admin-user
&password=admin-password&proxyauth=calendar-user其中:
- server 為執行 Calendar Server 的伺服器的名稱。
- port 為 Calendar Server 連接埠號。預設連接埠為 80。
- admin-user 為 Calendar Server 管理員。例如,calmaster。
- admin-password 為 admin-user 的密碼。
- calendar-user 為 Calendar Server 使用者的 calid。
如果指令成功,Calendar Server 將顯示 calendar-user 的行事曆。如果發生問題,Calendar Server 將顯示「未授權」。原因可能是:
- admin-user 沒有 Calendar Server 管理員權限。
- admin-password 不正確。
- calendar-user 不是有效的 Calendar Server 使用者。
存取控制的指令行公用程式表格 4-6 說明 Calendar Server 指令行公用程式,它們允許您設定或修改存取控制的 ACL:
表格 4-6 存取控制的指令行公用程式
公用程式
說明
將 create 指令與 modify 指令和 a 選項配合使用,設定特定使用者行事曆的 ACL。
將 create 指令和 -a 選項配合使用,為資源 (例如會議室或設備) 設定資源行事曆 ACL。
將 csuser 公用程式與 -a 選項配合使用,管理儲存在 LDAP 目錄伺服器和行事曆資料庫中的行事曆使用者資訊。