日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

AAA 授權(quán)要求( 二 )

云知道


的使用,比如支持基于訪問(wèn)控制的任務(wù)(rolebasedAccesscontrol,RBAC) 。
要求支持基于許可、任務(wù)、組和其它信息的授權(quán) 。只攜帶一致性信息的AAA協(xié)議將不
滿足需求 。
2.1.6授權(quán)數(shù)據(jù)除了包含最終實(shí)體直接擁有的屬性外,可能還包含限制 。
這說(shuō)明某些屬性不是簡(jiǎn)單地表示一個(gè)實(shí)體的屬性,例如IR1,000的開銷限制不是一個(gè)實(shí)
體的固有屬性 。這也對(duì)訪問(wèn)決定功能有影響,因?yàn)檫M(jìn)行比較不是一個(gè)簡(jiǎn)單的等式匹配 。
2.1.7必須可使其它(非AAA)協(xié)議能定義它們自己的可攜帶在一個(gè)AAA或應(yīng)用協(xié)議授
權(quán)包中屬性類 。
這說(shuō)明,對(duì)一個(gè)授權(quán)決定至關(guān)重要的屬性可能是依靠應(yīng)用協(xié)議的 。例如,將會(huì)需求許多
RFC2138定義的屬性類和對(duì)這些屬性的語(yǔ)義學(xué)支持 。當(dāng)然,只有那些知道更多屬性類的AAA
實(shí)體才可使用它們 。
2.1.8應(yīng)當(dāng)答應(yīng)系統(tǒng)治理員定義他們自己的可攜帶在一個(gè)AAA或應(yīng)用協(xié)議授權(quán)包中屬性
類 。
這說(shuō)明,對(duì)一個(gè)授權(quán)決定至關(guān)重要的屬性可能依靠一個(gè)封閉環(huán)境 。例如,許多組織有定
義很好的資歷計(jì)劃,可用來(lái)決定晉級(jí)級(jí)別 。當(dāng)然,只有那些知道更多屬性類的AAA實(shí)體才
可使用它們 。
2.1.9應(yīng)當(dāng)可以在沒(méi)有屬性命名空間的中心治理和控制下定義新的屬性類 。
假如要避免在屬性類分配中的沖突,就需要某種集中或分布的定位計(jì)劃 。然而,一個(gè)總
是要求使用這樣的集中定位的AAA協(xié)議將不滿足要求 。當(dāng)然,沖突會(huì)盡可能的避免 。
2.1.10必須可能定義屬性類,使得單個(gè)AAA消息中一個(gè)屬性的實(shí)例可有多個(gè)值 。
這說(shuō)明不答應(yīng)消息/事務(wù)中的一個(gè)屬性有多個(gè)實(shí)例的協(xié)議不能滿足要求 。例如,應(yīng)當(dāng)可能
有一個(gè)“組”屬性,它包含多個(gè)組名(或數(shù)字或任何其它東西) 。
2.1.11必須可以在“安全域”或“權(quán)限”基礎(chǔ)上區(qū)分相同授權(quán)屬性類或值的不同實(shí)例 。
這就認(rèn)可了能夠區(qū)分那些不僅僅基于值的屬性是重要的 。例如,所有的NT域(使用英
語(yǔ))都有一個(gè)治理員組,所以需要一個(gè)訪問(wèn)決定功能夠決定請(qǐng)求者是屬于這些組中的哪一個(gè) 。
2.1.12AAA協(xié)議必須指定更新規(guī)則的機(jī)制,這些規(guī)則是用來(lái)控制授權(quán)決定的 。
這說(shuō)明不能提供分布授權(quán)規(guī)則的AAA協(xié)議是不充分的 。例如,這可用來(lái)下載ACLs到
PDP 。
注重,這并不意味著必須總是使用此AAA協(xié)議機(jī)制,簡(jiǎn)單地說(shuō)就是它們必須在使用時(shí)
可獲得 。非凡的,在通常情況下會(huì)使用存儲(chǔ)在可信任庫(kù)(通常是LDAP服務(wù)器)里的授權(quán)
規(guī)則,而不是這樣的一個(gè)AAA協(xié)議機(jī)制 。這個(gè)要求在兩種情況下都不要求授權(quán)規(guī)則有標(biāo)準(zhǔn)
格式,僅僅是有一個(gè)傳輸它們的機(jī)制 。
2.1.13AAA協(xié)議必須答應(yīng)AAA實(shí)體鏈包含在授權(quán)決定中 。
這說(shuō)明,多于一個(gè)的AAA服務(wù)器必須包含在單個(gè)授權(quán)決定中 。這種情況的發(fā)生可能是
由于決定通過(guò)多個(gè)“域”傳播或是為了把授權(quán)分布在單個(gè)“域”中 。
2.1.14AAA協(xié)議必須答應(yīng)中間AAA實(shí)體可往AAA請(qǐng)求或響應(yīng)中增加它們自己本地的授權(quán)
信息 。
這說(shuō)明,當(dāng)有多個(gè)AAA實(shí)體包含在授權(quán)決定中時(shí),每個(gè)AAA實(shí)體都可以通過(guò)增加更多
的信息或處理部分信息來(lái)實(shí)現(xiàn)對(duì)AAA消息的利用 。
2.1.15AAA實(shí)體既可以單獨(dú)使用又可以和應(yīng)用實(shí)體綜合 。
這說(shuō)明,AAA實(shí)體既可以作為AAA服務(wù)器實(shí)現(xiàn),也可以和應(yīng)用實(shí)體綜合 。
2.1.16AAA協(xié)議必須支持規(guī)則的建立和編碼,這些規(guī)則在一臺(tái)基于另一個(gè)AAA服務(wù)器發(fā)布
的屬性的AAA服務(wù)器上激活 。發(fā)出請(qǐng)求的AAA服務(wù)器的授權(quán)級(jí)別可以治理關(guān)于屬性的視

推薦閱讀