「具有完全許可權的管理員」具有哪些許可權?
「具有完全許可權的管理員」具有對伺服器的最高管理訪問級別。「具有完全許可權的管理員」具有下列許可權:
l 所有管理員訪問級別擁有的所有許可權。
l 對於伺服器上所有資料庫的管理者許可權,並啟用所有的角色和訪問許可權(忽略資料庫 acl 的設定)。
l 對於 web administrator 資料庫 (webadmin.nsf) 的管理者許可權,並啟用所有的角色和訪問許可權。
l 對於所有資料庫中的所有文件的訪問許可權(忽略「讀者姓名」域)。
l 建立不受限**的能力。
l 忽略「強制所有複本使用一致的訪問控制列表」的設定。
l 對於伺服器上任何未加密資料的訪問。
注意 「具有完全許可權的管理員」不允許訪問加密資料。需要使用指定使用者的私有金鑰來解密使用公用金鑰加密的文件。同樣地,也需要用加密金鑰來解密使用加密金鑰加密的文件。
如何啟用具有完全許可權的管理員?
l 管理員的名稱必須列在「伺服器」文件-〉「安全性」附籤-〉「管理員」區段-〉「具有完全許可權的管理員」域中。預設情況下,此域為空。
l 開啟administrator 客戶機,通過選擇選單「管理」-〉「完全訪問管理」啟用「完全訪問管理」模式。如果此模式未啟用,即使管理員在「伺服器」文件中作為「具有完全許可權的管理員」列出,他也無法獲得對伺服器的完全管理員許可權。此時使用者將只具有管理員許可權。如果啟用了「具有完全許可權的管理員」模式,則客戶機的視窗標題、附籤標題和狀態列會指示該模式。這是為了提醒使用者他們正在使用最高的許可權級別訪問伺服器,操作時應小心。如果管理員在管理客戶機中啟用了完全管理模式,則也會為 domino designer 和 lotus notes 客戶機啟用此模式。完全管理員許可權也會在視窗標題、附籤標題和狀態列中反映出來。
l 此模式下,當使用者訪問伺服器並開啟會話時,客戶端會向伺服器請求乙個完全訪問管理的標誌。
l 此模式下,當使用者訪問多個伺服器時,客戶端會向被訪問的各個伺服器請求完全訪問管理的標示。伺服器接到請求後,會檢查此使用者的名字是否列在伺服器文件的具有完全許可權的管理員的域中,因此,根據伺服器文件的設定,有些伺服器會授予該使用者完全訪問許可權,但有些伺服器不會。這些資訊都會記錄在伺服器的主控台和log.nsf中。
日誌記錄:
當使用者啟用了「完全訪問管理」模式,伺服器會記錄以下資訊:
"jane doe/full admin/acme was granted full administration access"
當使用者嘗試啟用「完全訪問管理」模式,但是失敗了,伺服器會記錄以下資訊:
"jane doe/full admin/acme was denied full administration access"
如果啟用了資料庫屬性的使用者活動日誌,管理員對每個資料庫的訪問情況會記錄這個日誌中。
管理「具有完全許可權的管理員」功能的一些可行做法
l 建立乙個特殊的「完全管理員」識別符號檔案(如「full admin/sales/acme」),且僅將該名稱置於「完全管理員」域中。使用者必須使用此識別符號登入或切換至此使用者識別符號以獲得完全管理員許可權。或者,可以設定此識別符號檔案要求多個口令。
l 建立 ou 級別驗證者以授予完全管理員許可權,並向受信任的管理員(如 jane admin/full admin/acme)發布相應的識別符號。
l 保留「具有完全許可權的管理員」域為空。出現緊急情形再新增受信任的個人的姓名,並在該情形解決後將其刪除。
l 只將有限的受信任管理員的名字填入「具有完全許可權的管理員」域。
l 使用eacl(擴充套件訪問控制列表)設定來限制管理員修改這個域的值。
l 使用notes.ini引數secure_disable_full_admin=1可以禁用這個功能。
注意:此項可以用使用者名稱,群組,或萬用字元(例如:*/full admin/acme)以及它們的組合來填寫。
為什麼說這個功能可以更安全的解決訪問控制問題?
l 不需要使用者物理的訪問伺服器,這樣才可能對使用者訪問伺服器的活動進行監控。
l 伺服器會記錄所有「具有完全許可權的管理員」的動作。
l 在呼叫「具有完全許可權的管理員」許可權時,可以通過配置事件處理程式以傳送通知。
l 使用「具有完全許可權的管理員」許可權完成的資料庫活動會記錄在「資料庫屬性」下的資料庫活動日誌中。
注意事項:
l 「具有完全許可權的管理員」許可權在每次啟動管理客戶端之後必須重新啟用。
l 在管理客戶端啟用了「具有完全許可權的管理員」許可權之後,使用者必須關掉所有資料庫視窗以使改動生效。
l 在管理客戶端啟用「具有完全許可權的管理員」許可權不需要重啟domino伺服器。
禁用「具有完全許可權的管理員」功能
可以通過在notes.ini檔案中設定引數secure_disable_fulladmin=1來禁用「具有完全許可權的管理員」域。此設定會禁用「具有完全許可權的管理員」許可權並忽略在「伺服器」文件的該域中列出的任何名稱。此引數只能由對伺服器具有物理訪問許可權的使用者(該使用者必須可以編輯伺服器的 notes.ini 檔案)設定。此引數不能使用伺服器控制台、遠端控制台設定,也不能在「伺服器」文件中設定。
linux新增具有root許可權的管理員賬號
以增加乙個名為apc的管理員賬號為例 1.增加乙個使用者,屬於root組 2.修改apc的密碼 3.修改passwd檔案,將uid改為0 和root一樣 4.測試apc是否為root使用者,如果下述命令執行成功則通過測試 cd home root touch apc 5.刪除名為bert的管理員賬號...
後台管理員的許可權管理實現
需求 在乙個前後端分離的專案裡,實現對於 系統管理員 類使用者的許可權管理功能。每個管理員都可以屬於乙個或者多個角色 每個角色有許可權進行乙個或者多個操作。設計 許可權控制分成兩層,分別是介面訪問許可權,和操作許可權。介面訪問許可權,通過乙個切片來實現。比如普通使用者不能訪問管理員介面。資料庫中設計...
獲取管理員許可權的相關命令
學習目標 命令說明 sudo s 切換到root使用者,獲取管理員許可權 sudo 某個命令的執行需要獲取管理員許可權可以在執行命令前面加上sudo sudo s效果圖 sudo 命令效果圖 說明 命令說明 whoami 檢視當前使用者限 whoami 命令效果圖 命令說明 exit 退出登入使用者...