Solaris for ISPs 為目錄服務設定存取權控制,以確保由確認安全性防止它人存取的軟體部份適當存取。這些存取權控制的主要用意是在限制寫入權時,所有的實體有讀取存取權。重要的是您不用變更現有的存取權控制,或是您可能導入安全性風險或導致 Solaris for ISPs 失敗。
請記住,存取權控制規則是次序有別的。當 Sun Directory Services 檢查存取權時,會使用第一個可應用於要求的規則。其餘的規則會被略過。因此,不要變更檔案中規則的次序。當建立一個新規則時,要小心別應用到現有的 Solaris for ISPs 資訊並且使一些現有的存取權控制失效。
如果您以管理者身份結合到目錄,存取權控制檢查會關閉。
一般來說,對 Solaris for ISPs 的特殊資訊是儲存在 Solaris for ISPs 機制延伸所定義的登錄支援物件類別。這些類別的名稱開頭都是字串“isp.”在存取權配置檔案中的任何包含類似物件類別 (或屬性) 的規則就可能是一個Solaris for ISPs規則,也因而對任何變更都有分別。存取權控制規則定義在/etc/opt/SUNWconn/ldap/current/dsserv.acl.conf。
針對 Sun Directory Services 存取權控制的完整資訊,請參閱第一章,“ 目錄觀念介紹,”和第四章,“配置一個目錄伺服器,”在Sun Directory Service 3.1 管理手冊。
下列幾節是描述由 Solaris for ISPs 存取權控制保護的一般行為。片語“has access”指示與登錄的 DN 及密碼結合到目錄會給予存取權的指示格式。
Sun Internet Administrator 需要下列種類的存取權來工作:
它需要建立及刪除管理者。因此,Sun Internet Administrator針對由管理者組織單位登錄所定義的部份 DIT 有寫入權。
它必須要能夠變更某些管理者屬性 (特別是userPassword及ispAuthorizedService屬性)。
它必須要能夠控制管理服務登錄的建立 (ispManagedService)。因此,Sun Internet Administrator 在最頂層SUNWixamc登錄之下擁有它自己的樹狀部份(例如,ispVersion=1.0,ou-SUNWixamc,ou-Services,o=sun,c=us)。
它需要為它所註冊及管理的服務建立最頂層的服務登錄。因此,Sun Internet Administrator 有它所需要寫到 DIT 部份的存取權及資訊 (例如,ou-Services,o=sun,c=us)。
它也需要設定保護ispPrivateData屬性的值在ispService登錄。因此,Sun Internet Administrator 對現存服務登錄的屬性有讀取/寫入存取權。(實際上,沒有其他的登錄對ispPrivateData屬性有任何的存取權。)
各種 Solaris for ISPs 服務都需要記錄及存取儲存在它們的服務登錄之下的配置資訊 (那些位在子領域和虛擬領域中服務節點之下的登錄)。因此,每個在 DIT 部份都有它需要寫入建立及修改登錄的存取權和資訊,包括它自己的服務登錄。
使用者 (使用者及管理者) 對他們的密碼屬性有寫入存取權,但無法變更登錄的其他部份。但是,任何對 Sun Internet Administrator 有管理存取權的管理者擁有整體存取權並且可以變更任何登錄。