Конфигурационные параметры необходимы для использования защищенной аутентификации по протоколу Kerberos. В данном разделе описываются необходимые конфигурационные параметры:
Конфигурационный параметр | Тип | По умолчанию | Возможные значения | Секция | Описание |
createUsersAllowed | логический | — | 0|1 | [event] | Определяет возможность менеджера событий добавлять новых пользователей в _Users DP. Новый пользователь в качестве идентификатора пользователя получает наивысший идентификатор пользователя + 1.Система также задает членство в группе, права пользователя и т.д. |
updateUsersAllowed | логический | — | 0|1 | [event] | Определяет будет ли «КАСКАД Цифра» обновлять _Users DP, когда пользователь, содержащийся в _Users DP, входит в систему.В ОС Windows система запускает поиск OSID, а в ОС Linux — поиск имени.Менеджер событий «КАСКАД Цифра» обновляет имя (только в ОС Windows), описание, членство в группе, биты аутентификации и основную группу. Если задать конфигурационному параметру createUsersAllowed значение 1 (TRUE/ИСТИНА)(см. описание выше), менеджер событий игнорирует параметр updateUsersAllowed, и разрешается обновление _User-DP. |
kerberosRootGroup | строка | «PVSSRoot» | «PVSSRoot» или любая допустимая доменная группа | [general] | Этот конфигурационный параметр контролирует, какие учетные записи ОС (пользователи и компьютеры) имеют разрешение действовать в качестве пользователя root. «root» рассматривается как пользователь unix root: разрешая все и не контролируя ничего. Это подходящее поведение для драйверов, но не для пользовательского интерфейса (UI). Следовательно, право действовать в качестве root может быть ограничено для некоторых пользователей, главным образом тех, которые принадлежат к конкретной группе. |
kerberosSecurity | строка | «non» | «none», «auth», «int», «enc» | Любая, включая [general] | Управляет поведением клиент-серверного соединения. «none»— это значение по умолчанию, которое указывает на то, что протокол Kerberos не используется. «authenticate»указывает на то, что клиенты и серверы должны себя аутентифицировать. Сообщения не подписываются и не шифруются. «integrity»указывает на то, что клиенты и серверы должны себя аутентифицировать и после этого заверить подписью все сообщения. Если ни одному из партнеров не удается проверить подпись сообщения от другого партнера, соединение прерывается. «encryption»указывает на то, что клиенты и серверы должны себя аутентифицировать и после этого зашифровать все сообщения. Если ни одному из партнеров не удается дешифровать сообщение от другого партнера, соединение прерывается. Если клиент и сервер имеют разные настройки, значение с большим приоритетом (в последовательности: auth/ int/ enc) победит и определит поведение сообщения. (Первоначальные) сообщения INIT_SYS и KEEP_ALIVE ни заверены подписью, ни зашифрованы. Эти сообщения не содержат существенных данных, и отправка в незашифрованном виде не представляет собой проблему. Причина отправки сообщений в незашифрованном виде состоит в том, что один одноранговый узел может быть готов заверить подписью или зашифровать сообщение, но другая сторона по-прежнему нуждается в большем количестве данных, чтобы проверить или дешифровать это сообщение. |