定义访问权限的机制称为访问控制。访问控制指对用户的访问权限进行管理和授权。一旦用户通过认证,客户身份被数据服务器识别后,就可以查出访问控制信息,并用它来确定客户进程是否有足够的权限进行所请求的操作。
GBase XDM Cluster对用户访问权限的管理是通过访问控制策略语句 (ACL)进行的,支持对控制的灵活设定,数据服务器接收到请求时,会利用绑定操作中提供的身份认证信息以及服务器中定义的访问控制语句(ACL)来允许或拒绝访问信息。服务器可以允许或拒绝诸如读、写、查询及比较等权限。授予用户的权限级别可能与所提供的身份验证信息有关。
GBase XDM Cluster当前版本支持ACL访问控制机制。可以:
- GBase XDM条目或特定条目属性集的访问权;
- (例如IP地址或DNS名称)的访问权。
ACL访问控制语句的四个主要部分是:
- 目标(what)
- 主体(who)
- 权限(access)
- 控制(control)
在访问控制语句中我们首先指定访问的目标,然后是三元的访问控制授权组列表,每个访问控制授权组包括一个授权主体(who),一个权限定义(access,在主体匹配上时分配)和一个控制执行匹配上后的动作策略(control)。
ACL存储在配置中的全局配置和数据库配置中;全局的访问控制将对所有数据库生效,数据库一级的ACL将仅对数据库生效;可以通过管理工具分别对全局和数据库一级的访问控制进行配置。无论是数据库一级的还是全局的,访问控制语句都是一个语句列表,由列表中的多条访问控制语句形成对GBase XDM Server中数据的综合保护。