Solaris for ISPs 存取權控制

Solaris for ISPs 為目錄服務設定存取權控制，以確保由確認安全性防止它人存取的軟體部份適當存取。這些存取權控制的主要用意是在限制寫入權時，所有的實體有讀取存取權。重要的是您不用變更現有的存取權控制，或是您可能導入安全性風險或導致 Solaris for ISPs 失敗。

請記住，存取權控制規則是次序有別的。當 Sun Directory Services 檢查存取權時，會使用第一個可應用於要求的規則。其餘的規則會被略過。因此，不要變更檔案中規則的次序。當建立一個新規則時，要小心別應用到現有的 Solaris for ISPs 資訊並且使一些現有的存取權控制失效。

如果您以管理者身份結合到目錄，存取權控制檢查會關閉。

一般來說，對 Solaris for ISPs 的特殊資訊是儲存在 Solaris for ISPs 機制延伸所定義的登錄支援物件類別。這些類別的名稱開頭都是字串“isp.”在存取權配置檔案中的任何包含類似物件類別 (或屬性) 的規則就可能是一個Solaris for ISPs規則，也因而對任何變更都有分別。存取權控制規則定義在/etc/opt/SUNWconn/ldap/current/dsserv.acl.conf。

針對 Sun Directory Services 存取權控制的完整資訊，請參閱第一章，“ 目錄觀念介紹，”和第四章，“配置一個目錄伺服器，”在Sun Directory Service 3.1 管理手冊。

下列幾節是描述由 Solaris for ISPs 存取權控制保護的一般行為。片語“has access”指示與登錄的 DN 及密碼結合到目錄會給予存取權的指示格式。

規則啟動 Sun Internet Administrator 功能

Sun Internet Administrator 需要下列種類的存取權來工作:

• 它需要建立及刪除管理者。因此，Sun Internet Administrator針對由管理者組織單位登錄所定義的部份 DIT 有寫入權。

• 它必須要能夠變更某些管理者屬性 (特別是userPassword及ispAuthorizedService屬性)。

• 它必須要能夠控制管理服務登錄的建立 (ispManagedService)。因此，Sun Internet Administrator 在最頂層SUNWixamc登錄之下擁有它自己的樹狀部份(例如，ispVersion=1.0,ou-SUNWixamc,ou-Services,o=sun,c=us)。

• 它需要為它所註冊及管理的服務建立最頂層的服務登錄。因此，Sun Internet Administrator 有它所需要寫到 DIT 部份的存取權及資訊 (例如，ou-Services,o=sun,c=us)。

• 它也需要設定保護ispPrivateData屬性的值在ispService登錄。因此，Sun Internet Administrator 對現存服務登錄的屬性有讀取/寫入存取權。(實際上，沒有其他的登錄對ispPrivateData屬性有任何的存取權。)

規則啟動服務功能

各種 Solaris for ISPs 服務都需要記錄及存取儲存在它們的服務登錄之下的配置資訊 (那些位在子領域和虛擬領域中服務節點之下的登錄)。因此，每個在 DIT 部份都有它需要寫入建立及修改登錄的存取權和資訊，包括它自己的服務登錄。

規則啟動適當的使用者存取權

使用者 (使用者及管理者) 對他們的密碼屬性有寫入存取權，但無法變更登錄的其他部份。但是，任何對 Sun Internet Administrator 有管理存取權的管理者擁有整體存取權並且可以變更任何登錄。