Sie sehen sich Hilfeinhalte der folgenden Version an:

Die Aktivierung des Zugriffs auf ein CRX-Repository umfasst mehrere Themen:

  • Zugriffsrechte: die Konzepte, wie sie definiert und ausgewertet werden
  • Benutzerverwaltung: Verwaltung der einzelnen für den Zugriff verwendeten Konten
  • Gruppenverwaltung: vereinfacht die Benutzerverwaltung durch die Bildung von Gruppen
  • Zugriffsrechteverwaltung: Definition von Richtlinien, die steuern, wie diese Benutzer und Gruppen auf Ressourcen zugreifen können

Nachfolgend sind die grundlegenden Elemente aufgeführt:

Benutzerkonten

CRX authentifiziert den Zugriff durch Identifizieren und Verifizieren eines Benutzers (durch eine Person oder eine andere Anwendung) entsprechend den im Benutzerkonto gespeicherten Details.

In CRX stellt jedes Benutzerkonto einen Knoten im Workspace dar. Ein CRX-Benutzerkonto weist die folgenden Eigenschaften auf:

  • Es repräsentiert einen Benutzer von CRX.
  • In ihm sind ein Benutzername und ein Kennwort gespeichert.
  • Es gilt für diesen Workspace.
  • Es kann keine Unterbenutzer haben. Verwenden Sie für hierarchische Zugriffsrechte Gruppen.
  • Sie können Zugriffsrechte für das Benutzerkonto festlegen.
    Zur Vereinfachung der Verwaltung raten wir jedoch, (in der Mehrzahl der Fälle) Zugriffsrechte zu Gruppenkonten zuzuweisen. Bei der Zuweisung von Zugriffsrechten zu jedem einzelnen Benutzer kann die Verwaltung schnell sehr schwierig werden (Ausnahmen sind bestimmte Systembenutzer, wenn nur ein oder zwei Instanzen vorhanden sind).

Gruppenkonten

Gruppenkonten sind Sammlungen von Benutzern und/oder anderen Gruppen. Sie dienen zur Vereinfachung der Verwaltung, da eine Änderung der einer Gruppe zugewiesenen Zugriffsrechte automatisch auf alle Benutzer in dieser Gruppe angewendet wird. Ein Benutzer muss nicht unbedingt Mitglied einer Gruppe sein, gehört aber häufig zu mehreren.

In CRX verfügt eine Gruppe über die folgenden Eigenschaften:

  • Sie repräsentiert eine Gruppe von Benutzern mit gemeinsamen Zugriffsrechten. Beispiel: Autoren oder Entwickler
  • Sie gilt für diesen Workspace.
  • Sie kann Mitglieder enthalten. Dabei kann es sich um einzelne Benutzer oder andere Gruppen handeln.
  • Eine hierarchische Gruppierung kann mithilfe von Mitgliedsbeziehungen erzielt werden. Sie können eine Gruppe nicht direkt unter einer anderen Gruppe im Repository platzieren.
  • Sie können die Zugriffsrechte für alle Gruppenmitglieder definieren.

Zugriffsrechte

CRX verwendet Zugriffsrechte zur Steuerung des Zugriffs auf bestimmte Bereiche des Repositorys.

Dies erfolgt über die Zuweisung von Berechtigungen, um den Zugriff auf eine Ressource (Knoten oder Pfad) im Repository zuzulassen oder abzulehnen. Da zahlreiche Berechtigungen zugewiesen werden können, müssen sie ausgewertet werden, um festzustellen, welche Kombination für die aktuelle Anfrage relevant ist.

CRX ermöglicht es Ihnen, die Zugriffsrechte für Benutzer- und Gruppenkonten zu konfigurieren. Es werden dann dieselben grundlegenden Auswertungsprinzipien auf beide angewendet.

Auswerten von Zugriffsrechten

Hinweis:

In CRX wird die Zugriffssteuerung gemäß der Definition in JSR-283 implementiert.

Die Standardinstallation eines CRX-Repositorys ist so konfiguriert, dass sie die ressourcenbasierten Zugriffssteuerungslisten verwendet. Dies ist eine mögliche Implementierung der JSR-283-Zugriffssteuerung und eine der Implementierungen in Jackrabbit.

Objekte und Prinzipale

CRX verwendet zwei Hauptkonzepte zur Bewertung der Zugriffsrechte:

  • Ein Prinzipal ist eine Entität, die die Zugriffsrechte enthält. Prinzipale beinhalten:
    • Ein Benutzerkonto
    • Ein Gruppenkonto
      Wenn ein Benutzerkonto zu einer oder mehreren Gruppen gehört, ist es auch mit jedem dieser Gruppenprinzipale verknüpft.
  • Ein Objekt repräsentiert die Quelle einer Anfrage.
    Es dient zur Konsolidierung der für diese Anfrage relevanten Zugriffsrechte. Diese stammen von:
    • Dem Benutzerprinzipal
      Die Rechte, die Sie dem Benutzerkonto direkt zuweisen
    • Allen Gruppenprinzipalen, die mit diesem Benutzer verknüpft sind
      Alle Rechte, die jeder der Gruppen zugewiesen sind, zu denen der Benutzer gehört
    Das Ergebnis wird anschließend verwendet, um den Zugriff auf die angeforderte Ressource zuzulassen oder abzulehnen.

Kompilieren der Liste der Zugriffsrechte für ein Objekt

In CRX ist das Objekt abhängig von:

  • dem Benutzerprinzipal
  • allen Gruppenprinzipalen, die mit diesem Benutzer verknüpft sind

Die Liste der Zugriffsrechte, die für das Objekt relevant sind, wird erstellt aus:

  • den Rechten, die Sie dem Benutzerkonto direkt zuweisen
  • sowie allen Rechten, die Sie jeder der Gruppen zugewiesen haben, zu denen der Benutzer gehört
chlimage_1

Hinweis:

  • CRX berücksichtigt keine Benutzerhierarchie bei der Kompilierung der Liste.
  • CRX verwendet nur dann eine Gruppenhierarchie, wenn Sie eine Gruppe als Mitglied einer anderen Gruppe einfügen. Es gibt keine automatische Vererbung (Übernahme) von Gruppenberechtigungen.
  • Die Reihenfolge, in der Sie die Gruppen festlegen, hat keinen Einfluss auf die Zugriffsrechte.

Auflösen von Anfragen und Zugriffsrechten

Wenn CRX die Anfrage verarbeitet, vergleicht es die Zugriffsanfrage des Objekts mit der Liste der Zugriffssteuerung im Repository-Knoten:

Wenn also Linda eine Aktualisierung des Knotens /features in der folgenden Repository-Struktur anfordert:

chlimage_1

Rangfolge

Zugriffsrechte in CRX werden wie folgt bewertet:

  • Benutzerprinzipale haben stets Vorrang vor Gruppenprinzipalen – unabhängig von:
    • ihrer Reihenfolge in der Zugriffsteuerungsliste
    • ihrer Position in der Knotenhierarchie
  • Bei einem gegebenen Prinzipal ist (maximal) 1 Ablehnungs- und 1 Zulassungseintrag in einem gegebenen Knoten vorhanden. Die Implementierung löscht immer redundante Einträge und stellt sicher, dass dieselbe Berechtigung nicht sowohl in den Zulassungs- als auch in den Ablehnungseinträgen aufgeführt wird.

Hinweis:

Dieser Bewertungsprozess ist für die ressourcenbasierte Zugriffssteuerung einer CRX-Standardinstallation geeignet.

Nachfolgend sehen Sie zwei Beispiele, in denen der Benutzer aUser Mitglied der Gruppe aGroup ist:

   + parentNode
     + acl
       + ace: aUser - deny - write
     + childNode
       + acl
         + ace: aGroup - allow - write
       + grandChildNode

Im obigen Fall:

  • wird dem Benutzer aUser keine Schreibberechtigung für den Knoten grandChildNode gewährt.
   + parentNode
     + acl
       + ace: aUser - deny - write
     + childNode
       + acl
         + ace: aGroup - allow - write
         + ace: aUser - deny - write
       + grandChildNode

In diesem Fall:

  • wird dem Benutzer aUser keine Schreibberechtigung für den Knoten grandChildNode gewährt.
  • Der zweite ACE-Eintrag für den Benutzer aUser ist redundant.

Zugriffsrechte von mehreren Gruppenprinzipalen werden basierend auf ihrer Reihenfolge innerhalb der Hierarchie und innerhalb einer einzigen Zugriffssteuerungsliste bewertet.

Best Practices

Die nachfolgende Tabelle enthält einige Empfehlungen und Best Practices:

Empfehlung Grund
Benutzergruppen

Vermeiden Sie es, Zugriffsrechte für jeden einzelnen Benutzer zuzuweisen. Es gibt verschiedene Gründe dafür:

  • Sie haben viel mehr Benutzer als Gruppen, d. h. Gruppen vereinfachen die Struktur.
  • Gruppen bieten Ihnen einen Überblick über alle Konten.
  • Die Vererbung bei Gruppen ist einfacher.
  • Benutzer wechseln häufiger. Gruppen sind auf Langfristigkeit ausgelegt.
Positiv sein

Verwenden Sie immer Anweisungen vom Typ „Zulassen“, um die Rechte einer Gruppe festzulegen (sofern möglich). Vermeiden Sie Anweisungen vom Typ „Ablehnen“.

Gruppenprinzipale werden der Reihenfolge nach innerhalb der Hierarchie und innerhalb einer einzelnen Zugriffssteuerungsliste bewertet.

Einfach halten

Eine gewisse Zeit und Sorgfalt in die Konfiguration einer neuen Installation zu investieren, macht sich immer bezahlt.

Eine klare Struktur vereinfacht die fortlaufende Wartung und Verwaltung, sodass sowohl aktuelle Kollegen als auch Nachfolger die Implementierung problemlos verstehen können.

Testen Verwenden Sie eine Testinstallation, um zu üben und sicherzustellen, dass Sie die Beziehungen zwischen den verschiedenen Benutzern und Gruppen verstehen.
Standardbenutzer/-Gruppen Aktualisieren Sie die Standardbenutzer und -gruppen immer sofort nach der Installation, um Sicherheitsprobleme zu vermeiden.

Benutzerverwaltung

Für die Benutzerverwaltung wird ein Standard-Dialogfeld verwendet.

Sie müssen sich beim jeweiligen Workspace anmelden und können dann wie folgt auf das Dialogfeld zugreifen:

  • über den Link Benutzerverwaltung in der Hauptkonsole von CRX
  • über das Menü Sicherheit des CRX Explorers
chlimage_1

Eigenschaften

  • Benutzer-ID
    Kurzname für das Konto, der beim Zugriff auf CRX verwendet wird
  • Prinzipalname
    Vollständiger Name des Kontos
  • Kennwort
    Erforderlich, wenn mit diesem Konto auf CRX zugegriffen wird
  • ntlmhash

    Wird automatisch jedem neuen Konto zugewiesen und bei Änderung des Kennworts aktualisiert
  • Sie können neue Eigenschaften hinzufügen, indem Sie einen Namen, einen Typ und den Wert definieren. Klicken Sie auf „Speichern“ (grünes Häkchen-Symbol) für jede neue Eigenschaft.

Gruppenmitgliedschaft

Hier werden alle Gruppen angezeigt, die zu diesem Konto gehören. Die Spalte Übernommen zeigt Mitgliedschaften an, die durch eine Mitgliedschaft bei einer anderen Gruppe übernommen wurden.

Durch Klicken auf eine Gruppen-ID (falls verfügbar) wird die Gruppenverwaltung für diese Gruppe geöffnet.

Darsteller

Mit der Funktion „Stellvertretend agieren“ kann ein Benutzer im Auftrag eines anderen Benutzers arbeiten.

Dies bedeutet, dass über ein Benutzerkonto andere Konten (Benutzer oder Gruppe) festgelegt werden können, die mit ihrem Konto arbeiten können. Anders ausgedrückt: Wenn Benutzer B stellvertretend für Benutzer A agieren darf, kann Benutzer B Aktionen unter Verwendung aller Kontodetails des Benutzers A (einschließlich ID, Name und Zugriffsrechte) ausführen.

Hierdurch kann der Stellvertreter (Darsteller) Aufgaben so abschließen, als würde er das Konto verwenden, für das er stellvertretend agiert, etwa bei Abwesenheit oder zur kurzfristigen Entlastung anderer überlasteter Benutzer.

Wenn ein Konto stellvertretend für ein anderes agiert, ist dies sehr schwierig zu erkennen. In den Protokolldateien werden keine Informationen dazu gespeichert, ob bei den Ereignissen jemand stellvertretend agiert hat. Wenn also Benutzer B stellvertretend für Benutzer A agiert, sehen alle Ereignisse so aus, als ob sie von Benutzer A persönlich ausgeführt wurden.

Erstellen von Benutzerkonten

  1. Öffnen Sie das Dialogfeld Benutzerverwaltung.
  2. Klicken Sie auf Benutzer erstellen.
  3. Sie können dann die Eigenschaften eingeben:
    • Benutzer-ID – wird als Kontoname verwendet
    • Kennwort – wird bei der Anmeldung benötigt
    • Prinzipalname – dient zur Eingabe des vollständigen Textnamens
    • Zwischenpfad – kann zum Erstellen einer hierarchischen Struktur verwendet werden
  4. Klicken Sie auf die Schaltfläche „Speichern“ (grünes Häkchen-Symbol).
  5. Daraufhin wird das Dialogfeld erweitert und Sie können Folgendes tun:
    1. Konfigurieren Sie Eigenschaften.
    2. Zeigen Sie die Gruppenmitgliedschaft an.
    3. Definieren Sie Darsteller.

Hinweis:

Es kann manchmal zu einer Beeinträchtigung der Leistung kommen, wenn neue Benutzer in Installationen registriert werden, die eine hohe Anzahl haben an:

  • Benutzern
  • Gruppen mit vielen Mitgliedern

Aktualisieren von Benutzerkonten

  1. Öffnen Sie mithilfe des Dialogfelds Benutzerverwaltung die Listenansicht aller Konten.
  2. Navigieren Sie in der hierarchischen Struktur nach oben.
  3. Klicken Sie auf das gewünschte Konto, um es zur Bearbeitung zu öffnen.
  4. Nehmen Sie eine Änderung vor und klicken Sie anschließend auf „Speichern“ (grünes Häkchen-Symbol) für diesen Eintrag.
  5. Klicken Sie zum Fertigstellen auf Schließen oder auf Liste…, um zur Liste aller Benutzerkonten zurückzukehren.

Entfernen von Benutzerkonten

  1. Öffnen Sie mithilfe des Dialogfelds Benutzerverwaltung die Listenansicht aller Konten.
  2. Navigieren Sie in der hierarchischen Struktur nach oben.
  3. Wählen Sie das gewünschte Konto aus und klicken Sie auf Benutzer entfernen. Das Konto wird sofort gelöscht.

Hinweis:

Dadurch wird der Knoten für diesen Prinzipal aus dem Repository entfernt.

Zugriffsrechte-Einträge werden hingegen nicht entfernt. So wird die historische Integrität gesichert.

Definieren von Eigenschaften

Sie können Eigenschaften für neue oder vorhandene Konten definieren:

  1. Öffnen Sie das Dialogfeld Benutzerverwaltung für das entsprechende Konto.
  2. Geben Sie einen Namen für die Eigenschaft an.
  3. Wählen Sie den Typ aus der Dropdown-Liste aus.
  4. Legen Sie einen Wert fest.
  5. Klicken Sie auf „Speichern“ (grünes Häkchen-Symbol) für die neue Eigenschaft.

Vorhandene Eigenschaften können mit dem Papierkorb-Symbol gelöscht werden.

Mit Ausnahme des Kennworts können Eigenschaften nicht bearbeitet werden, sie müssen gelöscht und neu erstellt werden.

Ändern von Kennwörtern

Das Kennwort ist eine spezielle Eigenschaft, die durch Klicken auf den Link Kennwort ändern geändert werden kann.

Sie können über das Menü Sicherheit im CRX Explorer auch das Kennwort für Ihr eigenes Benutzerkonto ändern.

Definieren von Darstellern

Sie können Darsteller für neue oder vorhandene Konten definieren:

  1. Öffnen Sie das Dialogfeld Benutzerverwaltung für das entsprechende Konto.
  2. Geben Sie das Konto an, dem es gestattet sein soll, stellvertretend für dieses Konto zu agieren.
    Sie können über die Option „Durchsuchen…“ ein bestehendes Konto auswählen.
  3. Klicken Sie auf „Speichern“ (grünes Häkchen-Symbol) für die neue Eigenschaft.

Gruppenverwaltung

Für die Gruppenverwaltung wird ein Standard-Dialogfeld verwendet.

Sie müssen sich beim jeweiligen Workspace anmelden und können dann wie folgt auf das Dialogfeld zugreifen:

  • über den Link Gruppenverwaltung in der Hauptkonsole von CRX
  • über das Menü Sicherheit des CRX Explorers
chlimage_1

Eigenschaften

  • Gruppen-ID
    Kurzname für das Gruppenkonto.
  • Prinzipalname
    Vollständiger Name des Gruppenkontos
  • Sie können neue Eigenschaften hinzufügen, indem Sie einen Namen, einen Typ und den Wert definieren. Klicken Sie auf „Speichern“ (grünes Häkchen-Symbol) für jede neue Eigenschaft.
  • Mitglieder
    Sie können Benutzer oder andere Gruppen als Mitglieder dieser Gruppe hinzufügen.

Gruppenmitgliedschaft

Hier werden alle Gruppen angezeigt, die zu diesem aktuellen Gruppenkonto gehören. Die Spalte Übernommen zeigt Mitgliedschaften an, die durch eine Mitgliedschaft bei einer anderen Gruppe übernommen wurden.

Durch Klicken auf eine Gruppen-ID wird das Dialogfeld für diese Gruppe geöffnet.

Mitglieder

Hier werden alle Konten (Benutzer und/oder Gruppen) aufgelistet, die Mitglieder der aktuellen Gruppe sind.

Die Spalte Übernommen zeigt Mitgliedschaften an, die durch eine Mitgliedschaft bei einer anderen Gruppe übernommen wurden.

Erstellen von Gruppenkonten

  1. Öffnen Sie das Dialogfeld Gruppenverwaltung.
  2. Klicken Sie auf Gruppe erstellen.
  3. Sie können dann die Eigenschaften eingeben:
    • Prinzipalname – dient zur Eingabe des vollständigen Textnamens
    • Zwischenpfad – kann zum Erstellen einer hierarchischen Struktur verwendet werden
  4. Klicken Sie auf die Schaltfläche „Speichern“ (grünes Häkchen-Symbol).
  5. Daraufhin wird das Dialogfeld erweitert und Sie können Folgendes tun:
    1. Konfigurieren Sie Eigenschaften.
    2. Zeigen Sie die Gruppenmitgliedschaft an.
    3. Verwalten Sie die Mitglieder.

Aktualisieren von Gruppenkonten

  1. Öffnen Sie mithilfe des Dialogfelds Gruppenverwaltung die Listenansicht aller Konten.
  2. Navigieren Sie in der hierarchischen Struktur nach oben.
  3. Klicken Sie auf das gewünschte Konto, um es zur Bearbeitung zu öffnen.
  4. Nehmen Sie eine Änderung vor und klicken Sie anschließend auf „Speichern“ (grünes Häkchen-Symbol) für diesen Eintrag.
  5. Klicken Sie zum Fertigstellen auf Schließen oder auf Liste…, um zur Liste aller Gruppenkonten zurückzukehren.

Entfernen von Gruppenkonten

  1. Öffnen Sie mithilfe des Dialogfelds Gruppenverwaltung die Listenansicht aller Konten.
  2. Navigieren Sie in der hierarchischen Struktur nach oben.
  3. Wählen Sie das gewünschte Konto aus und klicken Sie auf Gruppe entfernen. Das Konto wird sofort gelöscht.

Hinweis:

Dadurch wird der Knoten für diesen Prinzipal aus dem Repository entfernt.

Zugriffsrechte-Einträge werden hingegen nicht entfernt. So wird die historische Integrität gesichert.

Definieren von Eigenschaften

Sie können Eigenschaften für neue oder vorhandene Konten definieren:

  1. Öffnen Sie das Dialogfeld Gruppenverwaltung für das entsprechende Konto.
  2. Geben Sie einen Namen für die Eigenschaft an.
  3. Wählen Sie den Typ aus der Dropdown-Liste aus.
  4. Legen Sie einen Wert fest.
  5. Klicken Sie auf „Speichern“ (grünes Häkchen-Symbol) für die neue Eigenschaft.

Vorhandene Eigenschaften können mit dem Papierkorb-Symbol gelöscht werden.

Mitglieder

Sie können der aktuellen Gruppe Mitglieder hinzufügen:

  1. Öffnen Sie das Dialogfeld Gruppenverwaltung für das entsprechende Konto.
  2. Führen Sie einen der folgenden Schritte durch:
    • Geben Sie den Namen des gewünschten Mitglieds (Benutzer- oder Gruppenkonto) ein.
    • Alternativ können Sie über die Option Durchsuchen… nach dem hinzuzufügenden Prinzipal (Benutzer- oder Gruppenkonto) suchen und diesen auswählen.
  3. Klicken Sie auf „Speichern“ (grünes Häkchen-Symbol) für die neue Eigenschaft.

Alternativ können Sie ein vorhandenes Mitglied über das Papierkorb-Symbol löschen.

Verwalten von Zugriffsrechten

Auf der Registerkarte Zugriffssteuerung von CRXDE Lite können Sie die Richtlinien für die Zugriffssteuerung definieren und die zugehörigen Berechtigungen zuweisen.

Wählen Sie beispielsweise auf der Registerkarte „Zugangssteuerung“ im unteren rechten Bereich für die Option Aktueller Pfad die gewünschte Ressource im linken Bereich aus:

CRX_AccessControl_Tab

Die Richtlinien sind wie folgt kategorisiert:

  • Gültige Richtlinie für die Zugriffssteuerung
    Diese Richtlinien können angewendet werden.
    Dies sind Richtlinien, die für die Erstellung einer lokalen Richtlinie zur Verfügung stehen. Nachdem Sie eine gültige Richtlinie ausgewählt und hinzugefügt haben, wird sie zu einer lokalen Richtlinie.
  • Richtlinien zur lokalen Zugriffssteuerung
    Dies sind Richtlinien zur Zugriffssteuerung, die Sie angewendet haben. Sie können sie dann aktualisieren, sortieren oder entfernen.
    Eine lokale Richtlinie überschreibt jedwede Richtlinien, die vom übergeordneten Element übernommen werden.
  • Gültige Richtlinien zur Zugriffssteuerung
    Dies sind Richtlinien zur Zugriffssteuerung, die jetzt auf alle Zugriffsanfragen angewendet werden. Sie zeigen die aggregierten Richtlinien an, die von den lokalen Richtlinien abgeleitet bzw. vom übergeordneten Element übernommenen werden.

Auswählen von Richtlinien

Sie können Richtlinien für Folgendes auswählen:

  • Aktueller Pfad
    : Wählen Sie wie im vorherigen Beispiel eine Ressource innerhalb des Repositorys aus. Die Richtlinien für diesen aktuellen Pfad werden angezeigt.
  • Repository: Wählt die Zugriffssteuerung auf Repository-Ebene aus.
    Beispiel: Wenn Sie die Berechtigung jcr:namespaceManagement festlegen, die nur für das Repository und nicht für einen Knoten relevant ist.
  • Prinzipal
    Ein Prinzipal, der im Repository registriert ist
    Sie können entweder den Prinzipal-Namen eingeben oder auf das Symbol rechts neben dem Feld klicken, um das Dialogfeld Prinzipal auswählen zu öffnen.
    Dort können Sie nach einem Benutzer oder einer Gruppe suchen. Wählen Sie den gewünschten Prinzipal aus der angezeigten Liste aus und klicken Sie dann auf OK, um den Wert in das vorherige Dialogfeld zu übernehmen.
CRX_AccessControl_SelectPrincipal

Hinweis:

Zur Vereinfachung der Verwaltung empfehlen wir, dass Sie Gruppenkonten und nicht einzelnen Benutzerkonten Zugriffsrechte zuweisen.

Es ist einfacher, einige wenige Gruppen anstatt vieler Benutzerkonten zu verwalten.

Berechtigungen

Die folgenden Berechtigungen können beim Hinzufügen eines Zugangssteuerungseintrags ausgewählt werden (umfassende Details finden Sie in Sicherheits-API).

Name der Berechtigung Funktion
jcr:read Steuert die Berechtigung zum Abrufen eines Knotens und Lesen seiner Eigenschaften und der zugehörigen Werte.
rep:write Dies ist eine Jackrabbit-spezifische Aggregationsberechtigung von „jcr:write“ und „jcr:nodeTypeManagement“.
jcr:all Dies ist eine Aggregationsberechtigung, die alle anderen vordefinierten Berechtigungen beinhaltet.
Erweitert  
crx:replicate Steuert die Berechtigung zum Replizieren eines Knotens.
jcr:addChildNodes Steuert die Berechtigung zum Erstellen untergeordneter Knoten eines Knotens.
jcr:lifecycleManagement Steuert die Berechtigung zum Ausführen von Lebenszyklusvorgängen in einem Knoten.
jcr:lockManagement Steuert die Berechtigung zum Sperren und Entsperren eines Knotens und zum Aktualisieren einer Sperre.
jcr:modifyAccessControl Steuert die Berechtigung zum Ändern der Zugriffssteuerungsrichtlinien eines Knotens.
jcr:modifyProperties Steuert die Berechtigung zum Erstellen, Ändern und Entfernen der Eigenschaften eines Knotens.
jcr:namespaceManagement Steuert die Berechtigung zum Registrieren, Aufheben einer Registrierung und Ändern von Namespace-Definitionen.
jcr:nodeTypeDefinitionManagement Steuert die Berechtigung zum Importieren von Knotentyp-Definitionen in das Repository.
jcr:nodeTypeManagement Steuert die Berechtigung zum Hinzufügen und Entfernen von Mixin-Knotentypen sowie zum Ändern des primären Knotentyps eines Knotens. Dies schließt auch alle Aufrufe der Node.addNode- und XML-Importmethoden ein, bei denen der Mixin-Typ oder primäre Typ des neuen Knotens explizit festgelegt ist.
jcr:readAccessControl Steuert die Berechtigung zum Lesen der Richtlinie zur Zugangssteuerung eines Knotens.
jcr:removeChildNodes Steuert die Berechtigung zum Entfernen von untergeordneten Knoten eines Knotens.
jcr:removeNode Steuert die Berechtigung zum Entfernen eines Knotens.
jcr:retentionManagement Steuert die Berechtigung zum Ausführen von Speicherungsmanagementvorgängen in einem Knoten.
jcr:versionManagement Steuert die Berechtigung zum Ausführen von Versionierungsvorgängen in einem Knoten.
jcr:workspaceManagement Steuert die Berechtigung zum Erstellen und Löschen von Workspaces über die JCR-API.
jcr:write Dies ist eine Aggregationsberechtigung, die Folgendes umfasst:
- jcr:modifyProperties
- jcr:addChildNodes
- jcr:removeNode
- jcr:removeChildNodes
rep:privilegeManagement Steuert die Berechtigung zum Registrieren einer neuen Berechtigung.

Registrieren von neuen Berechtigungen

Sie können auch neue Berechtigungen registrieren:

  1. Wählen Sie in der Symbolleiste Tools und dann Berechtigungen aus, um die aktuell registrierten Berechtigungen anzuzeigen.

    AC_Privileges
  2. Öffnen Sie mithilfe des Symbols Berechtigung registrieren (+) das entsprechende Dialogfeld und legen Sie eine neue Berechtigung fest:

    AC_PrivilegeRegister
  3. Klicken Sie zum Speichern auf OK. Die Berechtigung steht jetzt zur Auswahl zur Verfügung.

Hinzufügen von Zugriffssteuerungseinträgen

  1. Wählen Sie die Ressource aus und öffnen Sie die Registerkarte Zugriffssteuerung.

  2. Um neue Richtlinien zur lokalen Zugriffssteuerung hinzuzufügen, klicken Sie auf das +-Symbol rechts neben der Liste Gültige Richtlinie für die Zugriffssteuerung:

    CRX_AccessControl_Applicable
  3. Es wird ein neuer Eintrag unter Richtlinien zur lokalen Zugriffssteuerung angezeigt:

    CRX_AccessControl_NewLocal
  4. Klicken Sie auf das +-Symbol, um einen neuen Eintrag hinzuzufügen:

    CRX_AccessControl_AddEntry

    Hinweis:

    Derzeit ist es nur mithilfe einer Übergangslösung möglich, eine leere Zeichenfolge festzulegen.

    Geben Sie einfach "" ein.

  5. Definieren Sie Ihre Richtlinie zur Zugriffssteuerung und klicken Sie dann zum Speichern auf OK. Die neue Richtlinie:

    • wird unter Richtlinien zur lokalen Zugriffssteuerung aufgeführt;
    • reflektiert die Änderungen unter Gültige Richtlinien zur Zugriffssteuerung.

CRX überprüft Ihre Auswahl. Bei einem gegebenen Prinzipal ist (maximal) 1 Ablehnungs- und 1 Zulassungseintrag in einem gegebenen Knoten vorhanden. Die Implementierung löscht immer redundante Einträge und stellt sicher, dass dieselbe Berechtigung nicht sowohl in den Zulassungs- als auch in den Ablehnungseinträgen aufgeführt wird.

Sortieren von Richtlinien zur lokalen Zugriffssteuerung

Die Reihenfolge in der Liste zeigt die Reihenfolge an, in der die Richtlinien angewendet werden.

  1. Wählen Sie in der Tabelle Richtlinien zur lokalen Zugriffssteuerung den gewünschten Eintrag aus und ziehen Sie ihn an die neue Position in der Tabelle.

    CRX_AccessControl_Reorder
  2. Die Änderungen werden in den Tabellen Richtlinien zur lokalen Zugriffssteuerung und Gültige Richtlinien zur Zugriffssteuerung angezeigt.

Entfernen von Richtlinien zur Zugriffssteuerung

  1. Klicken Sie in der Tabelle Richtlinien zur lokalen Zugriffssteuerung auf das rote Symbol (-) rechts neben dem Eintrag.

  2. Der Eintrag wird aus den Tabellen Richtlinien zur lokalen Zugriffssteuerung und Gültige Richtlinien zur Zugriffssteuerung entfernt.

Testen von Richtlinien zur Zugriffssteuerung

  1. Wählen Sie in der CRXDE Lite-Symbolleiste Tools und dann Zugriffssteuerung testen... aus.

  2. Daraufhin wird ein neues Dialogfeld im Bereich rechts oben geöffnet. Wählen Sie den Pfad und/oder den Prinzipal aus, den Sie testen möchten.

  3. Klicken Sie auf Testen, um die Ergebnisse für Ihre Auswahl zu sehen:

    CRX_AccessControl_Test

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie