ClearCase的访问控制机制.doc

ClearCase的访问控制机制 本文将介绍ClearCase是如何控制对它所保存的数据的访问的。 ? 一、ClearCase访问控制的基础 ClearCase所实现的访问控制机制决定了哪些用户可以在ClearCase的中创建，读取，书写，运行，和删除数据。访问控制机制由用户之间的交互情况，用户所属的组，ClearCase中的对象和基于用户利益考虑而访问ClearCase数据的用户处理或者是应用程序来决定的。 ? 用户和组 ClearCase本身不实现自己的用户和组的账号。它依赖于操作系统，通过用户在操作系统中的登录鉴别用户，并由此得到决定用户进行ClearCase操作的权限的用户身份和组成员的资格。UNIX和NT中都提供了能胜任诸如ClearCase这种分布式程序权限要求的用户名和组名的网际数据库。在UNIX中，该数据库是网络信息系统（NFS，Network Information System）。在NT中该数据库则是NT域服务器系统的一部分。 在以上两个操作系统中，用户登录系统都必须要有自己的用户名，在ClearCase就把该用户名作为用户身份或叫做用户ID。一个用户ID可以是一个或多个组的成员，在这些组中有一个组叫做用户的主要组（Primary Group）区别与其它所有组。在UNIX中用户的主要组在NIS的PASSWD数据库中用户的一个数据项。在Windows NT中，当创建域用户的账号时就被赋值。ClearCase同时根据用户ID和用户的主要组来决定用户对ClearCase的对象的权限。 ? 设置主要组（仅在Windows系统上需要进行） 因为Windows NT的一个Bug：用户通过域账号登录域之后就不能更改由Windows NT域账号管理器所指定的该账号的主要组。这就需要为VOB的访问设置可靠的，正确的主要组。 为了绕过这个Bug，我们要求将环境变量CLEARCASE_PRIMARY_GROUP设置为正确的主要组。出于使用ClearCase的目的，通过设置CLEARCASE_PRIMARY_GROUP环境变量可以不通过域用户管理器（在Windows NT上）或者计算机MMC控制台中的活动目录用户就可以管理主要组。对CLEARCASE_PRIMARY_GROUP环境变量的赋值除了在VOB的访问中之外并不会引起任何的安全或访问控制上的变化。没有正确设置主要组的用户在创建元素或以其它形式访问VOB时会有问题。 CLEARCASE_PRIMARY_GROUP环境变量的指（后面例子中的组名）必须是符合下列所有要求的存在的域的组： ·该组必须该用户； ·该组必须在组列表中有显示； ·它和该用户在UNIX中的主要组组名相同； Windows NT上设置环境变量的步骤： 1． 按下 开始设置控制面板； 2． 运行系统程序，并选择环境变量Tab页； 3． 选择用户变量列表中的一项； 4． 在变量框中输入CLEARCASE_PRIMARY_GROUP； 5． 在值编辑框中输入组名； 6． 按下设置按钮，然后选择OK按钮退出，在下一次登录之后，更改才会生效； Windows 2000上设置环境变量的步骤： 1.????? 按下 开始设置控制面板； 2.????? 运行系统程序，并选择高级Tab页； 3.????? 在高级Tab页中，按下环境变量按钮； 7． 在变量名称框中输入CLEARCASE_PRIMARY_GROUP； 8． 在变量值编辑框中输入组名； 在Windows95和Windows98的计算机上必须通过修改AUTOEXEC.BAT文件来设置CLEARCASE_PRIMARY_GROUP环境变量的值。 ? 有特权的用户和组 有些用户和组在ClearCase的访问控制中有着特殊的重要作用。比如，每个ClearCase对象都有其自己的所有者，一般是该对象的创建者，他就有对该对象的特殊的访问权限。加入该对象是个容器对象，比如包含有元素的VOB对象，或者是有拥有私有文件的View对象，则容器对象的所有权将部分地决定谁有访问改容器对象所中的对象。 ClearCase中还有一个广泛的概念：特权用户，在本书中它是指被赋予进行某些关键操作的用户ID。 ·在UNIX中，特权用户是指根用户（root user）; ·在Windows NT主机中，特权用户是组名为ClearCase组的组员。关于ClearCase组的信息详情可以参见配置ClearCase域用户。 无论是在UNIX还是在Windows NT上，特权用户都有权修改VOB和VOB中的对象。 ? 用户处理 用户处理是指用户用以访问ClearCase数据而运行的应用程序。该应用程序可以是ClearCase的GUI，像cleartool之类的命令行程序，或者是诸如