3

出于合规性原因,我被要求查看如何限制 ClearCase 中某些 VOB 的读取访问(因此这需要是可审计的,等等……)。到目前为止,我已经找到了一个解决方案,我将在这里发布,但我仍然有问题,所以任何帮助将不胜感激。尤其是魔鬼在细节中,我认为。

为了便于论证,假设我们有 3 个 VOB 和 3 个组:

  • gA 和 gB 是两个特殊的组,所有其他 CC 用户都在 gC 中,这是默认的 CC 组
  • VOB vA,对组 gA 具有读/写访问权限,并且仅限于其他所有人
  • VOB vB,是对 gB 组的读/写访问权限,对 gA 组的读访问权限,并且仅限于其他所有人
  • VOB vC,对每个人都具有读/写访问权限

未回答的问题:

  • 为 CC 用户设置不同的域组有什么影响?当人们登录时,他们的 clearcase 组由用户变量 CLEARCASE_PRIMARY_GROUP 获取。如果他们来自 gA 并且在 vA 中正常工作,则此变量将设置为 gA,但如果他们需要在 vC 中更改某些内容,我敢打赌,如果他们不这样做,他们在 vC 中的文件/版本的组所有权将保持 gA不要做任何事情。vC 中的对象最终将具有属于 gA、gB、gC 的组。这会是个问题吗?

  • 我什至不确定是否可以在 vB 上正确设置 ACL,而实际上无需创建一个包含 gA 和 gB 人员的新组 gA',对吗?

  • 在我看来,这里的困难不是技术上的,而是在允许某些人访问适当组的过程中,CM 团队应该远离这个(并由安全部门和涉及的开发团队)。有人有这方面的经验吗?

  • 似乎可以使用 ClearCase Regions 来达到相同的效果。那将如何工作?

此致,

托马斯

4

2 回答 2

1

为 CC 用户设置不同的域组有什么影响?

除了管理成本(将每个用户注册到多个组可能很麻烦)之外,没有其他成本。
具有不同组的多个元素的事实本身并不是问题。

VOB vB,是对 gB 组的读/写访问权限,对 gA 组的读访问权限,并且仅限于其他所有人

gB 是 vB 的第二组的一部分,gA 不是(意味着无法结帐)。
770 用于包含 gA 和 gB 的系统组(表示 gA 的读取访问权限,gB 的读/写权限,gC 的拒绝权限)

只读或读/写意味着由clearcase(“ cleartool protect”或“ cleartool protectvob”)设置的保护,但“无访问”只能在系统级别实现(chmod 770)

ClearCase 区域与数据限制无关,仅与数据可见性有关:它只允许您查看 vobs 或视图的子集,它不会阻止您访问它们(一个简单的mktag -vob,无论如何您都会看到“机密”vob)

在我看来,这里的困难不是技术上的,而是在允许某些人访问适当组的过程中,CM 团队应该远离这个(并由安全部门和涉及的开发团队)。

叹息... CM 应该远离,但 CM 团队不能总是远离 ;) 该团队必须至少初始化请求,以便系统团队将用户注册到正确的组中。与拥有自己的组管理系统的 VCS 相比,仅此初始化步骤就相当麻烦。但是 ClearCase 还没有。

于 2009-06-08T17:39:24.453 回答
0

到目前为止,我已经从 IBM developerworks 论坛找到了这个答案

(已编辑)

  1. 为团队创建两个额外的域组

  2. 将适当的新域组添加到每个 ClearCase 用户的组配置文件(除了他们已经拥有的 gC 组成员身份)。您将希望 vobadmin 帐户成为这两个新组的成员。

  3. 相应地更改 VOB 的组所有权:
    cleartool protectvob -chgrp group_name <\\..vob.vbs>
    gA for vA
    gB for vB
    gC for all other VOBs(应该已经是这种情况了)

  4. 从 vA 和 vB VOB 的根元素中删除“其他组”权限: cleartool protect -chmod 770 <vob-tag-name>
    您也可以使用 CC Explorer 执行此操作:在任何视图中右键单击 VOB 并选择“元素属性”。无需重新保护整个 VOB(注意:这对我很重要,因为重新保护整个 VOB 需要很长时间,而我这里有 200 多个 VOB)。

现在,只有 gA 组的成员才能访问 vA VOB。
只有 gB 组的成员才能访问 vB VOB。
每个人都是 gC 组的成员,因此每个人都可以访问所有其他 VOB。

请注意,如果您希望该用户新创建的对象由与域控制器中设置的该用户帐户的主要组不同的组拥有,您将需要为特定用户设置 CLEARCASE_PRIMARY_GROUP 环境变量。

于 2009-06-08T17:32:41.670 回答