test

Sun Java System Instant Messaging 7.2 管理指南

使用访问控制文件的管理策略

通过编辑访问控制文件,可以控制下列最终用户权限:

默认情况下,最终用户具有访问其他最终用户在线状态、向其他最终用户发送警报和将属性保存在服务器上的权限。对于大多数部署来说,不需要更改默认值。

虽然某些权限可以设置为全局适用,但管理员也可以定义这些权限的例外情况。例如,管理员可以拒绝某些用于选择最终用户或组的默认权限。

此外,如果您通过部署中的访问控制文件强制执行策略,则同一个服务器池中,位于各个服务器中的这些文件必须相同。

表 17–2 列出 Instant Messaging 的全局访问控制文件以及这些文件提供给最终用户的权限。

表 17–2 访问控制文件

ACL 文件 

权限 

sysSaveUserSettings.acl

定义可以和不可以更改自己首选项的用户。没有此权限的用户无法进行添加联系人、创建会议等操作。 

sysTopicsAdd.acl

定义可以和不可以创建新闻频道的用户。 

sysRoomsAdd.acl

定义可以和不可以创建会议室的用户。 

sysSendAlerts.acl

定义可以和不可以发送警报的用户。禁用 sysSendAlerts 时会同时禁用轮询。

sysWatch.acl

定义可以和不可以查看其他最终用户所做更改的用户。为没有此权限(仅允许“会议和新闻频道订阅和非订阅”)的最终用户显示 Instant Messenger 窗口。 

sysAdmin.acl

仅为管理员保留。此文件为所有最终用户设置所有 Instant Messaging 功能的管理权限。此权限将覆盖所有其他权限,并可供管理员创建和管理所有会议室和新闻频道,以及访问最终用户在线状态信息、设置和属性。 

Procedure更改访问控制文件中的最终用户权限

  1. 更改为 im-cfg-base/acls 目录。

    有关查找 im-cfg-base 的信息,参见Instant Messaging 服务器目录结构

  2. 编辑适当的访问控制文件。

    例如:


    vi sysTopicsAdd.acl

    有关访问控制文件列表,参见表 17–2

  3. 保存更改。

  4. 最终用户需要刷新 Instant Messenger 窗口才能查看更改。

在服务器池中使用访问控制文件

如果您通过部署中的访问控制文件强制执行策略,则同一个服务器池中,位于各个服务器中的这些文件的内容必须相同。要确保这一点,请从其中一个服务器中将文件复制到池中的其他各节点。有关查找这些文件的信息,参见访问控制文件位置

访问控制文件位置

访问控制文件的位置是 im-cfg-base/acls。其中,im-cfg-base 是配置目录。关于配置目录默认位置的信息,参见Instant Messaging 服务器目录结构

访问控制文件格式

访问控制文件包含一系列定义权限的条目。所有条目都以下列标记开始:

标记后跟有冒号 (:)。如果是默认标记,后面跟有 truefalse

最终用户和组标记后跟有最终用户或组名称。

通过将多个最终用户 (u) 和组 (g) 串联,可以指定多个最终用户和组。

d: 标记必须是访问控制文件中的最后一个条目。服务器将忽略 d: 标记之后的所有条目。如果 d: 标记为 true,则文件中的所有其他条目均为冗余,并且会被忽略。不能将访问控制文件中的 d: 标记设置为 true,同时选择性地禁用最终用户的此权限。如果默认值设置为 false,则只有在文件中指定的最终用户和组拥有该权限。

以下是 ACL 文件中用于新安装的默认 d: 标记条目:

注意 – 注意 –

在未来的产品版本中,所有访问控制文件的格式可能会发生更改,并且有一些可能不再出现。

注 –

禁用 sysSendAlerts 时会同时禁用轮询。

示例 17–1 sysTopicsAdd.acl 文件

在以下示例中,sysTopicsAdd.acl 文件的 d: 标记条目为 false。因此,d: 条目前的最终用户和组(即 user1user2sales 组)具有“添加”和“删除”新闻频道的权限。


# Example sysTopicsAdd.acl file
u:user1
u:user2
g:cn=sales,ou=groups,o=siroe
d:False