通过编辑访问控制文件,可以控制下列最终用户权限:
访问其他最终用户的在线状态
向其他最终用户发送警报
将属性保存在服务器上
创建新会议室
创建新的新闻频道
默认情况下,最终用户具有访问其他最终用户在线状态、向其他最终用户发送警报和将属性保存在服务器上的权限。对于大多数部署来说,不需要更改默认值。
虽然某些权限可以设置为全局适用,但管理员也可以定义这些权限的例外情况。例如,管理员可以拒绝某些用于选择最终用户或组的默认权限。
此外,如果您通过部署中的访问控制文件强制执行策略,则同一个服务器池中,位于各个服务器中的这些文件必须相同。
表 17–2 列出 Instant Messaging 的全局访问控制文件以及这些文件提供给最终用户的权限。
表 17–2 访问控制文件
ACL 文件 |
权限 |
---|---|
sysSaveUserSettings.acl |
定义可以和不可以更改自己首选项的用户。没有此权限的用户无法进行添加联系人、创建会议等操作。 |
sysTopicsAdd.acl |
定义可以和不可以创建新闻频道的用户。 |
sysRoomsAdd.acl |
定义可以和不可以创建会议室的用户。 |
sysSendAlerts.acl |
定义可以和不可以发送警报的用户。禁用 sysSendAlerts 时会同时禁用轮询。 |
sysWatch.acl |
定义可以和不可以查看其他最终用户所做更改的用户。为没有此权限(仅允许“会议和新闻频道订阅和非订阅”)的最终用户显示 Instant Messenger 窗口。 |
sysAdmin.acl |
仅为管理员保留。此文件为所有最终用户设置所有 Instant Messaging 功能的管理权限。此权限将覆盖所有其他权限,并可供管理员创建和管理所有会议室和新闻频道,以及访问最终用户在线状态信息、设置和属性。 |
更改为 im-cfg-base/acls 目录。
有关查找 im-cfg-base 的信息,参见Instant Messaging 服务器目录结构。
编辑适当的访问控制文件。
例如:
vi sysTopicsAdd.acl |
有关访问控制文件列表,参见表 17–2。
保存更改。
最终用户需要刷新 Instant Messenger 窗口才能查看更改。
如果您通过部署中的访问控制文件强制执行策略,则同一个服务器池中,位于各个服务器中的这些文件的内容必须相同。要确保这一点,请从其中一个服务器中将文件复制到池中的其他各节点。有关查找这些文件的信息,参见访问控制文件位置。
访问控制文件的位置是 im-cfg-base/acls。其中,im-cfg-base 是配置目录。关于配置目录默认位置的信息,参见Instant Messaging 服务器目录结构。
访问控制文件包含一系列定义权限的条目。所有条目都以下列标记开始:
d: - 默认
u: - 用户
g: - 组
标记后跟有冒号 (:)。如果是默认标记,后面跟有 true 或 false。
最终用户和组标记后跟有最终用户或组名称。
通过将多个最终用户 (u) 和组 (g) 串联,可以指定多个最终用户和组。
d: 标记必须是访问控制文件中的最后一个条目。服务器将忽略 d: 标记之后的所有条目。如果 d: 标记为 true,则文件中的所有其他条目均为冗余,并且会被忽略。不能将访问控制文件中的 d: 标记设置为 true,同时选择性地禁用最终用户的此权限。如果默认值设置为 false,则只有在文件中指定的最终用户和组拥有该权限。
以下是 ACL 文件中用于新安装的默认 d: 标记条目:
sysAdmin.acl - 包含 d:false
sysTopicsAdd.acl - 包含 d:true
sysRoomsAdd.acl - 包含 d:true
sysSaveUserSettings.acl - 包含 d:true
sysSendAlerts.acl - 包含 d:true
sysWatch.acl - 包含 d:true
在未来的产品版本中,所有访问控制文件的格式可能会发生更改,并且有一些可能不再出现。
禁用 sysSendAlerts 时会同时禁用轮询。
在以下示例中,sysTopicsAdd.acl 文件的 d: 标记条目为 false。因此,d: 条目前的最终用户和组(即 user1、user2 和 sales 组)具有“添加”和“删除”新闻频道的权限。
# Example sysTopicsAdd.acl file u:user1 u:user2 g:cn=sales,ou=groups,o=siroe d:False |