VOB和VIEW访问控制.docx
- 文档编号:15893586
- 上传时间:2023-07-08
- 格式:DOCX
- 页数:14
- 大小:20.61KB
VOB和VIEW访问控制.docx
《VOB和VIEW访问控制.docx》由会员分享,可在线阅读,更多相关《VOB和VIEW访问控制.docx(14页珍藏版)》请在冰点文库上搜索。
VOB和VIEW访问控制
VOB和VIEW访问控制的基础
VOB和VIEW的访问控制取决于
∙用户和组的互动。
∙RationalClearCase对象的保护。
∙用户进程的凭证。
用户和组
主组
∙
将在一个CC社区的所有的用户设定为一个主组的成员。
∙如果一个Windows的用户属于多个组的成员,应使用环境变量CLEARCASE_PRIMARY_GROUP来指定主组。
∙如果一个用户是多余32组的成员,CC只认识按SID排序的前面32个组。
o但是,用户可以使用环境变量CLEARCASE_GROUPS来指定CC的组。
特权用户和组
∙一个CC社区有两种组
o普通组
▪可以改变和删除他们创建的或者分配到他们组的CC资源,例如:
VOB、VIEW、和VOB和VIEW包含的对象。
o特权组
▪有权限创建、改变和删除所有的CC资源。
CC服务进程用户
∙albd_server程序在VITI\ccservice先运行。
oVITI\ccservice是ccadmin组的成员。
CC用户进程
当一个进程请求访问VOB或VIEW时,CC将根据此进程的凭证来决定是否给予此对象的权限。
∙启动此进程的用户
∙该用户的主组
∙该用户的附加组列表。
CC对象
以下是与访问控制有关的CC对象:
∙VOB
∙元素和版本
∙类和类实例,例如:
标签、分支、和属性
∙UCM对象,例如:
项目、活动、和流
∙VOB存储池
∙视图
∙在动态试图中,视图私有文件、视图私有目录、和衍生对象
每个对象都有以下与访问控制有关的属性:
∙拥有者:
创建对象的用户。
对于一些对象,可以改变。
∙组:
创建进程的主组。
对于一些对象,可以改变。
∙保护模式:
一些对象有保护模式,它有三套权限:
o拥有者的权限
o对象组的权限
o所有其它的用户
∙三种权限
o读取权限:
读取对象的权限
o写入权限:
对于包含其它对象的对象,例如:
VOB和目录,写入权限意味着可以创建和删除所包含的对象。
o执行权限:
▪文件对象:
可执行该文件
▪目录对象:
可搜索该目录
访问VOB和VIEW数据
访问控制取决于以下三个因素:
∙进程的用户和组
∙对象的用户和组
∙对象的保护模式
在某些情况下,访问一个对象的权限还要求对此对象的包含对象的有访问权限。
例如,为了在一个动态视图中创建视图私有文件,除了对视图有写的权限外,权限该用户还必须对包含该文件的目录有写的权限。
VOB和VOB对象的访问控制
这些对象包括:
∙元素和版本
∙类和类实例,例如:
标签、分支、和属性
∙UCM对象,例如:
项目、活动、和流
∙VOB存储池
VOB的访问控制
与VOB访问控制有关的重要属性:
∙拥有者:
创建VOB的用户。
∙组:
创建VOB进程的主组。
(VOB相当于一个对象,组,是创建者的主组,非VOB的主组,主组是针对用户来定义的。
)(元素的组一定在VOB组中)
∙附加组列表:
初始是空的。
VOB没有保护模式。
命令
∙cleartooldescribe:
显示VOB的拥有者、组、和附加组列表。
∙cleartoolprotectvob:
更改VOB的拥有者、组、和附加组列表。
o不允许将CCADMIN组加入附加组列表。
因为CCADMIN的成员已经具有所有的权限。
VOB的权限要求
∙创建VOB:
任何用户
∙删除VOB:
VOB拥有者和特权用户
∙不可以进行直接读取、写入、和执行VOB
o只能对VOB里的对象进行这些操作
元素的访问控制
与元素访问控制有关的重要属性:
∙拥有者:
创建元素的用户。
∙组:
元素的权限组(只能有一个组,没有主组和副组之分,只有创建者所在的主组。
)
o该组必须VOB的组列表上。
o进程的主组;如果此主组在VOB的组列表上。
否则
o用户进程组列表和VOB组列表的唯一公共组。
否则
o此进程不能在此VOB中创建元素。
?
(我的理解:
假设用户00382在ccCAE201和ccJLY280组中,且CAE201_elements_VOB所属于的组为ccCAE201,ccusers。
那么ccCAE201即是公共组。
)
∙保护模式
o文件元素:
初始的保护模式是给予所有用户读取的权限。
(444)
o目录元素:
初始的保护模式是给予所有用户读取、写入、和执行的权限。
(既然权限都有,是否需要修改其保护模式?
777)
元素的所有版本有相同的拥有者、组、和保护模式。
命令
∙cleartoolchmod:
更改元素的保护模式。
∙可以用以下命令或工具来显示元素的属性:
ocleartooldescribe
oWINDOWSEXPLOER
oCCEXPLORER
∙cleartoolprotect:
更改元素的拥有者、组、和保护模式。
此命令可执行者:
o元素拥有者
oVOB拥有者
o特权用户
(通过动态视图进行更改?
)
∙cleartoolrmelem:
删除元素。
∙cleartoolrmname:
从目录的版本中删除元素名称。
元素的权限要求
VOB创建时,它只有一个元素:
VOB根目录。
(什么意思,是代表初始创建VOB时,不能含有组件么?
否)它的拥有者和组是VOB的拥有者和组。
∙创建元素
o主组在VOB组列表上的用户进程。
否则,如果主组不在VOB的列表上。
o用户进程组列表和VOB组列表的有唯一的公共组成员。
否则,如果有多于一个的共同组,则
▪用户进程不能创建元素。
o另外,进程还必须有在该元素父目录检出元素版本的权限。
∙删除元素
o元素拥有者
oVOB拥有者
o特权用户
o删除元素版本
▪版本创建者
▪元素拥有者
▪VOB拥有者
▪特权用户
∙读取元素。
取决于
o进程的用户和组。
o元素的拥有者、组、和保护模式。
∙写入元素
o必须通过检出和检入。
一个进程不能直接写一个元素。
检出和检入权限与元素的保护模式无关。
o元素检出权限。
一个进程可以检出元素,如果是
▪元素拥有者
▪用户进程的任何组与元素的组相同
▪VOB拥有者
▪特权用户
o元素检入权限。
一个进程可以检入元素,如果是
▪检出者
▪元素拥有者
▪进程的任何组与元素的组相同
▪VOB拥有者
▪特权用户
o目录元素检出后,写入目录意味着
▪在目录里加入元素,或者
▪从目录中删除元素
∙执行元素。
取决于
o进程的用户和组。
和
o元素的拥有者、组、和保护模式。
o使用命令:
cleartoolchmod+xcommand.exe
其它VOB对象的访问控制
其它VOB对象
除了元素和版本外,其它VOB对象包括
∙元数据类:
标签类、分支类、和属性类
∙UCM对象:
项目、活动、和流
∙存储池
∙衍生对象
这些对象的影响权限的两个属性:
∙拥有者
∙组:
必须是VOB的其中一个组
命令
∙cleartooldescribe:
显示对象的拥有者和组
∙cleartoolprotect:
更改对象的的拥有者和组
其它对象的权限要求
∙创建其它对象
o创建元数据类:
任何用户
o创建UCM对象:
任何用户
o创建存储池:
▪VOB拥有者
▪特权用户
o创建元数据类实例:
▪元数据类实例通常与元素版本有关系。
要创建这些实例,用户必须是:
∙元素的拥有者
∙用户的其中一个成员组与VOB的组相同
∙VOB拥有者
∙特权用户
∙删除其它对象
o删除元数据类、UCM对象、和存储池
▪对象拥有者
▪VOB拥有者
▪特权用户
o删除元数据类实例:
▪元数据类实例通常与元素版本有关系。
要删除这些实例,用户必须是:
∙元素的拥有者
∙用户的其中一个成员组与VOB的组相同
∙VOB拥有者
∙特权用户
∙读取其它对象
o显示元数据类、UCM对象、和存储池信息:
任何用户
∙写入其它对象
o写入UCM对象:
任何用户
o写入数据类、和存储池
▪对象拥有者
▪VOB拥有者
▪特权用户
VOB对象的锁定
虽然访问控制提供对VOB对象的长期的访问控制,但是锁定提供对VOB对象的临时访问控制。
∙锁定可以阻止用户对VOB各个级别对象的更改,包括锁定创建者和特权用户。
但是
o这些用户可以取消锁定
o锁定允许指定一个例外列表,来允许一些用户在锁定时更改对象。
∙可以对从整个VOB到个别元素和元素分支的锁定。
锁定类对象
锁定类对象可以阻止对这些类对象实例的更改。
例如:
∙可以锁定一个分支类
∙可以锁定一个标签类
VIEW和VIEW对象的访问控制
视图使能用户访问VOB。
VIEW参与访问控制。
在一个动态视图中,对元素和元素版本(VOB中)的权限和对视图和视图私有文件或目录的权限相互作用,来控制对VOB和VIEW数据的访问。
访问动态视图中的数据需要通过以下测试:
∙必须对VIEW有权限。
∙必须对包含目录有权限。
∙必须对元素有权限。
在静态视图中,本地文件系统在静态视图目录的权限建立对视图中文件和目录的权限。
(本机的权限决定了在静态视图中目录及文件的权限。
)
动态视图的访问控制
动态视图的与访问控制有关的属性:
∙拥有者;VIEW创建者。
不能改变。
∙组:
VIEW创建者的主组。
不能改变。
∙保护模式
o初始保护模式是775(是否能进行更改?
)
o可以使用命令chview改变。
动态视图的权限要求
∙创建视图:
所有用户
∙删除视图:
拥有者和特权用户
∙读取视图:
o读取动态视图中的文件和目录,要求有
▪读取视图的权限,取决于
∙进程用户和组
∙视图的拥有者、组、和保护模式
▪读取视图中文件和目录的权限
o读取动态视图中的文件或者目录的一个版本,要求有
▪读取视图中的这个文件或者目录的权限
o读取动态视图中的视图私有文件和目录,要求有
▪读取这些私有文件和目录的权限
∙写入视图:
o写入(创建和删除)动态视图的文件和目录,要求有
▪写入视图的权限,取决于
∙进程用户和组
∙视图的拥有者、组、和保护模式
▪写入视图中包含目录的权限
o写入(创建和删除)动态视图中的文件和目录的一个版本,要求有
▪写入(创建和删除)这个文件和目录的权限
o写入动态视图中的视图私有文件和目录,要求有
▪写入这些私有文件和目录的权限
∙执行视图:
o逻辑与读取和写入类似。
视图私有文件的访问控制
本部分涉及动态视图中私有文件的访问控制。
在静态视图中,本地文件系统的权限决定访问权限。
∙初始拥有者、组、和保护模式
o拥有者:
创建进程的用户。
不可改变。
o组,不可改变。
▪如果进程的主组与VOB的组相同=》就是进程的主组。
否则
▪进程的组列表和VOB附加组列表中的第一个相同的组。
(SID)
o保护模式:
777
▪显示
∙cleartooldescribe
∙CCExplorer
∙WindowsExplorer
▪更改,只能777或者555(不含有其他权限,只能设置只读或者隐藏)
∙WindowsExplorer:
可写(777)或者只读(555)
∙attrib+R:
777
∙attrib–R:
555
∙创建视图私有文件或者目录的权限,要求
o写入视图的权限,和
o写入包含目录的权限
▪如果包含目录是一个元素版本,则需有对元素的写入的权限
▪如果包含目录是私有目录,则需有对私有目录的写入的权限
∙删除视图私有文件或者目录的权限,要求
o与创建视图私有文件或者目录的权限相同
∙读取视图私有文件或者目录的权限
o读取视图的权限,和
o读取该文件或者目录的权限,取决于
▪进程的用户和组,以及
▪文件或者目录和拥有者、组、和保护模式。
∙写入视图私有文件的权限
o写入视图的权限,和
o写入该文件或者目录的权限,取决于
▪进程的用户和组,以及
▪文件或者目录和拥有者、组、和保护模式。
∙执行视图私有文件的权限
o执行视图的权限,和
o执行该文件或者目录的权限,取决于
▪进程的用户和组,以及
▪文件或者目录和拥有者、组、和保护模式。
衍生对象的访问控制
衍生对象是
∙用clearmake、omake、或者clearaudit在动态视图中创建的
∙一个文件
注意:
衍生对象可能暂时不用,如果有用,以后再加。
ClearCase和本地文件系统权限
∙VOB和VIEW中的数据由CC在普通目录、VOB存储目录、和VIEW存储目录中维护。
o所有访问由CC控制
o用户从不直接读或者写这些目录
∙文件系统保护被管理,以致于用户没有权限访问VOB对象以及VOB对象数据存储使用的任何文件。
o永远都不要更改VOB存储目录和VIEW存储目录中任何部分的本地文件系统权限。
o如果不慎更改了VOB存储目录和VIEW存储目录的权限,VOB和VIEW的权限将会受到限制。
但是,可以修复。
∙静态视图目录是本地文件系统目录。
o拥有者可以对那些不在CC控制下的文件增加或删除组写入的权限。
o静态视图也有VIEW存储目录
▪由CC创建和维护。
▪永远不要更改它的本地文件系统权限。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VOB VIEW 访问 控制