访问控制概述
访问控制系统根据角色和用户概要文件限制或允许使用命令。
使用 CNM 实用程序来创建对应于已分配用户的需求和特权的角色。
要访问分配给未获得缺省角色授权的角色的特权,用户必须使用唯一用户概要文件登录协处理器。 每个用户概要文件都与一个角色相关联,并且多个概要文件可以使用同一角色。 协处理器使用与用于标识用户的概要文件相关联的口令来认证登录。
注: 术语 用户 适用于人类和程序。
协处理器始终至少具有一个角色,即缺省角色。 使用缺省角色不需要用户概要文件。 任何用户都可以使用缺省角色所允许的服务,而无需登录协处理器或由协处理器进行认证。
例如,基本系统可能包含以下角色:
- 访问控制管理员: 可以创建新的用户概要文件并修改当前用户的访问权。
- 密钥管理主管: 可以更改密钥。 这一责任最好由两个或两个以上利用权利进入第一个或随后的关键部分的个人共同承担。
- 常规用户: 可以使用加密服务来保护其工作,但没有管理特权。 如果您的安全计划不需要对一般用户进行登录认证,请以缺省角色满足他们的需求。
注: 很少会向个人分配密钥管理主管或访问控制管理员的角色。 通常,较大的人口不会登录,因此将以默认角色授予权利。