1.首先开启三权管理功能,开启方法如下
1、war工程下可以直接覆盖:config/security/securityconfig.properties ,先仅将loadsystemrole属性改成true加载三权角色(初始化好之后再去将forbidadmin、auditpermission进行开启)
#是否加载三员分立角色 loadsystemrole=true #是否禁用超级管理员 forbidadmin=false #是否启用权限审计功能 auditpermission=false #是否开启密级管理功能(人员密级和资源密级) secretlevel=false |
2、去资源管理器下:/root/products/eacl/securityconfig.properties 文件中开启三权分立功能。先仅将loadsystemrole属性改成true加载三权角色(初始化好之后再去将forbidadmin、auditpermission进行开启)
PS:旧环境需要删除资源管理器下的系统日志缓存文件,如下:
/root/conf/logconf/elog_system.xml
/root/conf/logconf/elog_system_bak.xml
2.重启服务器,使用超级管理员(admin)登录
3.创建三员机构
在根机构下创建管理部门,并分别创建对应SYSSSA(系统管理员)、SYSSSO(安全保密管理员)和SYSAUDITOR(安全审计员)的用户,并给予用户对应的角色权限,例如:SYSSSA给予“应用系统管理员”角色权限。
注:三员管理部门一定要创建在根目录下,因为将来为了达成“三员权限要求严格分离,互不影响,并且三员权限不能被分配给普通用户”的要求,需要禁用该机构。
4.授予角色权限
系统管理员角色
职责 | 负责机构/用户管理、系统参数初始化等工作。 |
权限特点 | 该角色只有机构用户的管理权限,即添加、删除权限,不具备给机构用户授权的权限; 不具备管理三员权限,即不具备三员机构/用户添加删除权限; 有”系统管理“的完全控制权限,没有连接池、日志完全控制权限。 |
1. 授予该角色完全控制机构用户权限,禁用“机构授权、反机构授权”。
2. 给根机构完全控制权限,并禁用三员机构(即步骤3中创建的三员分立机构)管理权限做法:在“高级“授权中选择”添加权限“按钮添加如下两个权限。
3. 授予完全控制系统设置权限,禁用完全控制系统连接池、日志权限
4. 授予系统管理员角色权限审计完全控制,即该角色可以去审计安全保密管理员授予的权限。
5. 最终拥有权限展示
安全审计员
职责 | 负责审计系统管理员、安全保密管理员的操作日志。 |
权限特点 | 该角色只有系统日志查看权限以及连接池完全控制权限,并且只能查看系统管理员、安全保密管理员、安全审计员的操作日志。 |
1. 授予查看系统日志权限
安全保密管理员
职责 | 负责用户权限授权及配置,审计普通用户日志、管理日志等工作。 |
权限特点 | 该角色拥有权限,但不能使用权限,只能授予权限,这意味者他要有机构用户的使用权限(否则不能管理用户权限),有其他系统资源(如分析平台)的授予权限,但无使用权限。另外还具有角色管理的权限,但不能管理三员角色和系统自带角色(管理员、所有用户)。 故将他的权限拆分成两类,第一类是能使用的权限,第二类是不能使用但能授予给别人的权限。将这个角色做成父子角色,父角色分配他能使用的权限,子角色分配他不能使用但能授予给别人的权限。 |
配置方法:
1.将角色“授权者”拖到角色“安全保密管理员”的下级,使“授权者”成为“安全保密管理员/保密管理员”的子角色。
2.给父角色“安全保密管理员/保密管理员”授权。
(1)授权完全控制“机构用户”、“角色管理”权限(ps:开启密级管理后需给安全保密管理员密级管理完全控制权限)
(2)授权完成控制“系统日志”权限
(3)在高级权限中添加根机构查看本级及所有下级的权限,禁用三权分立管理机构查看本级及所有下级的权限
(4)在高级权限中添加“根角色”拥有本级及所有下级的权限,禁用“安全审计员、应用系统管理员、安全保密管理员”拥有本级及所有下级的权限,禁用“管理员、所有用户”拥有本级及所有下级的权限。
注意:下面只列举了管理员角色禁用,其它“安全审计员、应用系统管理员、安全保密管理员、所有用户”类似操作步骤。
3.给子角色“授权者”授权(授权的权限最后是该角色用户可以将这些权限授予给其它机构用户)。
4.初始化好之后再去将forbidadmin、auditpermission进行开启,最后重启服务器。
Ps:若环境中需同时使用密级权限以及三权分立功能,需使用admin用户给予系统设置、用户权限密级权限,并给予三权分立人员对应密级权限。
请先登录