Sun Java System Instant Messaging 7.2 관리 설명서

액세스 제어 파일을 사용한 정책 관리

액세스 제어 파일을 편집하면 다음과 같은 최종 사용자 권한을 제어할 수 있습니다.

다른 최종 사용자의 상태 확인 정보 액세스
다른 최종 사용자에게 알림 보내기
서버에 등록 정보 저장
새 회의실 만들기
새 뉴스 채널 만들기

기본적으로 최종 사용자에게는 다른 최종 사용자의 상태 확인 정보에 액세스하며, 최종 사용자에게 알림을 보내고, 등록 정보를 서버에 저장할 수 있는 권한이 부여됩니다. 대부분의 배포 환경에서 이 기본값은 변경할 필요가 없습니다.

특정 권한을 전역으로 설정할 수는 있지만 관리자는 이러한 권한의 예외도 정의할 수 있습니다. 예를 들어 관리자는 최종 사용자 또는 그룹을 선택하는 특정 기본 권한을 거부할 수 있습니다.

또한 배포 환경에서 액세스 제어 파일을 통해 정책을 시행하는 경우 이러한 파일은 서버 풀의 모든 서버에서 같아야 합니다.

표 17–2에서는 Instant Messaging의 전역 액세스 제어 파일과 이러한 파일들이 최종 사용자에게 제공하는 권한을 나열합니다.

표 17–2 액세스 제어 파일


ACL 파일	권한
`sysSaveUserSettings.acl`	자신의 기본 설정을 변경하거나 변경할 수 없는 사용자를 정의합니다. 이 권한이 없는 사용자는 대화 상대를 추가하고 회의실을 만드는 등의 작업을 수행할 수 없습니다.
`sysTopicsAdd.acl`	뉴스 채널을 만들거나 만들 수 없는 사용자를 정의합니다.
`sysRoomsAdd.acl`	회의실을 만들거나 만들 수 없는 사용자를 정의합니다.
`sysSendAlerts.acl`	알림을 보내거나 보낼 수 없는 사용자를 정의합니다. `sysSendAlerts`를 비활성화하면 폴링도 비활성화됩니다.
`sysWatch.acl`	다른 최종 사용자의 변경 사항을 보거나 볼 수 없는 사용자를 정의합니다. '회의실과 뉴스 채널 가입 및 탈퇴' 만 허용하는 권한이 부여되지 않은 최종 사용자에 대한 Instant Messenger 창이 표시됩니다.
`sysAdmin.acl`	관리자에게만 예약되었습니다.Instant Messenger 창은 '회의실과 뉴스 채널 가입 및 탈퇴' 만 허용하는 권한이 부여되지 않은 최종 사용자에 대해 표시됩니다. 이 파일은 관리자 권한을 모든 최종 사용자에 대한 모든 Instant Messaging 기능으로 설정합니다. 이 권한은 다른 모든 권한을 대체하며, 관리자에게 모든 회의실과 뉴스 채널을 만들고 관리하는 권한과 최종 사용자 상태 확인 정보 , 설정 및 등록 정보에 대한 액세스 권한을 부여합니다.

액세스 제어 파일에서 최종 사용자 권한을 변경하려면

im-cfg-base/acls 디렉토리로 이동합니다.

im-cfg-base 찾기에 대한 내용은 Instant Messaging 서버 디렉토리 구조를 참조하십시오.

적절한 액세스 제어 파일을 편집합니다.

예를 들면 다음과 같습니다.
vi sysTopicsAdd.acl
액세스 제어 파일 목록은 표 17–2를 참조하십시오.

변경 내용을 저장합니다.

최종 사용자가 변경 내용을 보려면 Instant Messenger 창을 새로 고쳐야 합니다.

서버 풀에서의 액세스 제어 파일 사용

또한 배포에서 액세스 제어 파일을 통해 정책을 시행하는 경우 이러한 파일의 내용은 서버 풀의 모든 서버에서 같아야 합니다. 이렇게 하려면 한 서버의 파일을 서버 풀의 다른 노드 각각에 복사합니다. 이 파일을 찾으려면 액세스 제어 파일 위치를 참조하십시오.

액세스 제어 파일 위치

액세스 제어 파일의 위치는 im-cfg-base/acls입니다. 여기서 im-cfg-base는 구성 디렉토리입니다. 구성 디렉토리의 기본 위치에 대한 정보는 Instant Messaging 서버 디렉토리 구조를 참조하십시오.

액세스 제어 파일 형식

액세스 제어 파일에는 권한을 정의하는 일련의 항목이 들어 있습니다. 각 항목은 다음과 같은 태그로 시작됩니다.

d: - 기본값
u: - 사용자
g: - 그룹

태그 뒤에는 콜론(:)이 옵니다. 기본 태그의 경우 뒤에 true 또는 false가 옵니다.

최종 사용자 및 그룹 태그 뒤에는 최종 사용자나 그룹 이름이 옵니다.

여러 최종 사용자 및 그룹은 한 줄에 여러 최종 사용자(u) 및 그룹(g)을 입력하여 지정합니다.

d: 태그는 액세스 제어 파일의 마지막 항목이어야 합니다. 서버는 d: 태그 뒤의 모든 항목을 무시합니다. d: 태그가 true인 경우 파일의 다른 모든 항목이 중복되며 무시됩니다. 액세스 제어 파일에서 d: 태그를 true로 설정하여 최종 사용자에게 해당 권한을 선택적으로 거부할 수 없습니다. 기본값을 false로 설정하면 파일에 지정된 최종 사용자와 그룹만 해당 권한을 가집니다.

다음은 새로 설치했을 때 ACL 파일의 기본 d: 태그 항목입니다.

sysAdmin.acl - d:false 포함
sysTopicsAdd.acl - d:true 포함
sysRoomsAdd.acl - d:true 포함
sysSaveUserSettings.acl - d:true 포함
sysSendAlerts.acl - d:true 포함
sysWatch.acl - d:true 포함

주의 –

이러한 형식과 액세스 제어 파일의 포함 여부는 제품의 향후 릴리스에서 변경될 수 있습니다.

주 –

sysSendAlerts를 비활성화하면 폴링도 비활성화됩니다.

예 17–1 `sysTopicsAdd.acl` 파일

다음 예에서 sysTopicsAdd.acl 파일의 d: 태그 항목이 false입니다. 따라서 뉴스 채널 추가 및 삭제 권한은 d: 항목, 즉 user1 , user2 및 sales 그룹 앞에 나타나는 최종 사용자와 그룹에 허용됩니다.

# Example sysTopicsAdd.acl file
u:user1
u:user2
g:cn=sales,ou=groups,o=siroe
d:False