Solaris for ISPs 访问控制

Solaris for ISPs 为目录服务设置访问控制，以便确保有此要求的软件部分可以正当地访问，同时又可防止其他人访问，从而保证了安全性。这些访问控制的总体原则是：所有实体都有读访问权，而写访问权是受限制的。很重要的一点是您切勿变更现有的访问控制，否则有可能引进安全性风险或者造成 Solaris for ISPs 失败。

切记访问控制规则是对次序敏感的。Sun Directory Services 检查访问时，使用的是适用于请求的第一条规则。所有余下的规则都被忽略。因此，请勿变更文件中规则的顺序。在创建新规则时，千万要谨慎从事，以免它不慎影响现有的 Solaris for ISPs 信息，使得已经到位的某些访问控制规则失效。

如果您以管理员的身份绑定到该目录，则访问控制检查将关闭。

一般说来，Solaris for ISPs 的特殊信息存储在支持对象类的条目中，这些类是在 Solaris for ISPs 的规划扩展中定义的。每个这种类的名称都是以字符串 "isp." 开始的。包含这种对象类（或属性）的访问配置文件中的任何规则都有可能是一个 Solaris for ISPs 规则，而且就其本身来说也是对任何变更都敏感的。访问控制规则是在 /etc/opt/SUNWconn/ldap/current/dsserv.acl.conf 中定义的。

有关 Sun Directory Services 访问控制方面的完整信息，请参阅 Sun Directory Services 3.1 管理指南 的第 1 章“目录概念绪论”和第 4 章“配置目录服务器”。

下面几节描述的是 Solaris for ISPs 访问控制所确保的一般特性。短语 "has access" 表明使用条目的 DN 和口令绑定到目录将给定访问的指示格式。

启用 Sun Internet Administrator 功能的规则

Sun Internet Administrator 需要以下几种访问来运作：

• 它需要创建和删除管理员。因此， Sun Internet Administrator 对于由 Administrators 组织单元条目所定义的 DIT 部分具有写访问权。

• 它必须能够变更特定的管理员属性（最明显的即 userPassword 和 ispAuthorizedService 属性）。

• 它必须能够控制管理服务条目 (ispManagedService) 的创建。因此，Sun Internet Administrator 在顶层 SUNWixamc 条目下拥有自己的一部分树（例如，ispVersion=1.0,ou-SUNWixamc,ou-Services,o=sun,c=us）。

• 它需要为它登记和管理的服务创建顶层服务条目。因此，Sun Internet Administrator 具有所需的访问权和信息以写入 DIT 那一部分（例如，ou-Services,o=sun,c=us）。

• 它还需要在 ispService 条目上设置受保护的 ispPrivateData 属性的值。因此，Sun Internet Administrator 具有对现有服务条目的该属性的读写访问权。（实际上，其它实体都没有对 ispPrivateData 属性的任何访问权。）

启用服务功能的规则

各种 Solaris for ISPs 服务都需要记录和访问存储在它们的服务条目（位于子域和虚拟域中的 Services 节点下）下的配置信息。因此，每个都具有访问权以及它需要写的信息，以便创建和修改 DIT 该部分中的条目，包括其自身的服务条目。

启用恰当的用户访问的规则

用户（订户和管理员）具有对他们口令属性的写访问权，但不能变更其条目的其它部分。然而，任何对 Sun Internet Administrator 有管理访问权的管理员都有全局访问权，并可以变更任何事项。