存取控制清單 (ACL) (Sun Java System Calendar Server 6 2005Q4 管理指南)

Sun Java System Calendar Server 6 2005Q4 管理指南

存取控制清單 (ACL)

Calendar Server 使用存取控制清單 (ACL) 決定行事曆、行事曆特性和行事曆元件 (例如事件和待辦事項 [工作]) 的存取控制。ACL 由一個或多個存取控制項目 (ACE) 組成，這些存取控制項目是共同套用於同一行事曆或元件的字串。ACL 中的各個 ACE 必須由分號分隔。例如：

jsmith^c^wd^g 由單一 ACE 組成。
@@o^a^r^g;@@o^c^wdeic^g;@^a^sf^g 由三個 ACE 組成。

ACE 由以下元素組成，其中各個元素由指數符號 (^) 分隔：

Who- 套用 ACE 的個人、使用者、網域或使用者類型。
What- 要存取的目標，例如行事曆、行事曆元件 (例如事件和待辦事項 [工作]) 或行事曆特性。
How- 所許可的存取控制權限類型，例如讀取、寫入或刪除。
Grant- 被授予或被拒絕的特定存取控制權限。

例如，在 ACE jsmith^c^wd^g 中：

jsmith 為 Who 元素，指示 ACE 套用於誰。
c 為 What 元素，指示要存取的內容 (僅行事曆元件)。
wd 為 How 元素，指示將授予或拒絕哪些存取權限 (寫入與刪除)。
g 為 Grant 元素，指示將行事曆元件的指定存取權限 (寫入與刪除) 授予 jsmith。

Who

Who 元素是 ACE 的主要值，指明 ACE 套用於誰，如個別使用者、網域或使用者的特定類型。

Who 也稱為通用主要名稱 (UPN)。使用者的 UPN 是與使用者網域組合的使用者登入名稱。例如，網域 sesta.com 中使用者 bill 的 UPN 為 bill@sesta.com。

表 1–2 存取控制項目 (ACE) 字串的「Who」格式


格式	說明
`user`	指特定的使用者。例如：jsmith。
`user@domain`	指特定網域中的特定使用者。例如：`jsmith@sesta.com`。
`@domain`	指的是指定網域中的任何使用者。例如：`@sesta.com` 指定 `jsmith@sesta.com`、`sally@sesta.com` 以及 `sesta.com` 中的任何其他使用者。使用本格式授予或拒絕對整個使用者網域的存取。
`@`	指所有使用者。
`@@{d\|p\|o\|n}`	指行事曆的所有者： `@@d` – 主要所有者的網域 `@@p` – 僅限於主要所有者 `@@o` – 全部所有者，包括主要所有者 `@@n` – 非所有者

What

What 元素指定要存取的目標，例如行事曆、行事曆元件 (事件或工作) 或行事曆特性。

表 1–3 存取控制項目 (ACE) 字串的「What」值

值

說明

指定行事曆元件，例如事件和工作

指定行事曆特性，例如名稱、說明、所有者等

指定整個行事曆 (所有)，包括元件與特性

How

How 元素指定所許可的存取控制權限類型，例如讀取、寫入或刪除。

表 1–4 存取控制項目 (ACE) 字串的「How」類型


類型	說明
`r`	讀取存取。
`w`	寫入存取，包括增加新項目和修改現有項目。
`d`	刪除存取。
`s`	排程 (邀請) 存取。可以產生請求，將會接受回覆，並且會允准其他 ITIP 排程互動。
`f`	僅空閒/忙碌 (空閒時間) 存取。空閒/忙碌存取意味著使用者可以看到行事曆中已排程的時間，但是看不到事件詳細資訊。相反，只會看到「非空閒時間」幾個字出現在已排程時段的旁邊。無任何已排程事件的時段旁邊列示有「空閒時間」。
l	網域的查找存取。
`e`	代表進行回覆存取。此類型授予使用者代表行事曆的主要所有者接受或拒絕邀請的權限。無需明確地授權此存取類型，因為在將使用者指定為行事曆的所有者 (除了主要所有者之外的所有者) 時已暗示此存取類型。
`i`	代表進行邀請存取。此類型授予使用者代表行事曆的主要所有者建立及修改元件的權限，在這些元件中已經邀請了其他與會者。無需明確地授權此存取類型，因為在將使用者指定為行事曆的所有者 (除了主要所有者之外的所有者) 時已暗示此存取類型。
`c`	代表進行取消存取。此類型授予使用者代表行事曆的主要所有者取消元件的權限，已將與會者邀請至這些元件。無需明確地授權此存取類型，因為在將使用者指定為行事曆的所有者 (除了主要所有者之外的所有者) 時已暗示此存取類型。
`z`	自我管理存取 - 授予認證的使用者增加或移除存取控制項目的權限。具有此權限的使用者可以增加和移除其自身的權限。例如，UserA 可能沒有對 UserB 的行事曆的寫入存取權限，但 UserA 已被授予對 UserB 的行事曆的自我管理存取權限。因此，UserA 可以增加授予其自己對 UserB 的行事曆的寫入存取權限的存取控制項目。注意：此權限不允許 UserA 授予其他使用者對 UserB 的行事曆的存取權限。例如，自我管理權限不允許 UserA 授予 UserC 對 UserB 的行事曆的存取權限。

Grant

Grant 元素指定是授予還是拒絕特定存取類型的存取權限，例如 d (刪除) 或 r (讀取)。

表 1–5 存取控制項目 (ACE) 字串的 Grant 值


值	說明
`g`	授予特定的存取控制權限。
`d`	拒絕特定的存取控制權限。

ACE 範例

以下範例說明 ACE 的使用：

授予使用者 ID jsmith 對整個行事曆 (包括元件及特性) 的讀取存取權限：

jsmith^a^r^g
僅授予 jsmith 對元件的寫入和刪除存取權限：

jsmith^c^wd^g
僅授予 sesta.com 網域中的所有使用者對元件的排程、空閒時間和讀取存取權限：

@sesta.com^c^sfr^g
僅授予全部所有者對元件的寫入和刪除存取權限：

@@o^c^wd^g
拒絕 jsmith 對行事曆資料的所有存取權限：

jsmith^a^sfdwr^d
授予全部所有者對整個行事曆 (包括元件和特性) 的讀取、排程及空閒時間存取權限：

@@o^a^rsf^g
授予所有使用者讀取存取權限：

@^a^r^g

在 ACL 中放置 ACE

Calendar Server 讀取 ACL 時，它會使用所遇到的授予或拒絕對目標的存取權限的第一個 ACE。因此，ACL 的排序非常重要，應該排序 ACE 字串，使較特定的 ACE 顯示在較一般的 ACE 之前。

例如，假定行事曆 jsmith:sports 之 ACL 中的第一個 ACE 授予所有使用者讀取存取權限。然後，Calendar Server 遇到了第二個 ACE，該 ACE 拒絕 bjones 對本行事曆的讀取存取權限。這種情況下，Calendar Server 會授予 bjones 對本行事曆的讀取存取權限，並因為第二個 ACE 是一個衝突而將其忽略。因此，為確保特定使用者 (例如 bjones) 的存取權限得到允准，在 ACL 中應該將 bjones 的 ACE 放置在全域性較強的項目 (例如套用至行事曆的所有使用者的 ACE) 之前。