0

ルールの順序付き許可オーバーライドを使用してポリシーを作成しています。

ルール 1 は、適切なセキュリティ レベルを持つすべてのユーザーに対して、すべてのコンテンツへのアクセスを許可します。

ルール 2 は、一部のコンテンツ (3 つのリソース) へのアクセスを、別の資格情報を持つすべてのユーザーに許可します。

ルール 3 は、他のすべてへのアクセスを拒否します。ユーザーがセキュリティ レベルも資格情報も持っていない場合、これはフェールセーフです。

私の問題は、サーバーにプログラムを実行させることができ、ルール 1 が正常に機能することです。ルール 2 の場合、必要な値を指定した場合に得られる唯一の結果は「拒否」であり、空白のままにすると「不確定」になります。order-permit-overrides を使用しているにもかかわらず、ポリシーがルール 2 を実行していないと思います。

ルール 3 をコメントアウトしてスクリプトを実行しようとしましたが、結果は「不確定」または「該当なし」のみです。

ルール 1 では、ターゲットを空のままにしました。ルール 2 では、リソースを定義しましたが、サブジェクトは定義しませんでした。このルールを機能させるには、サブジェクトを指定する必要がありますか? 1 番目と 3 番目のルールが機能しているが、2 番目のルールが機能していない原因となるものは他にありますか?

4

1 に答える 1

0

ここでポリシーを共有していただければ幸いです。ポリシーの作成とテストに何を使用していますか。

ご存じかもしれませんが、不確定は PDP 内のエラーによるものです。たとえば、属性が存在することを要求しているが、それを送信していないか、文字列-one-and-only (または任意の *-one-and -only) 欠落している属性に対する関数。

ところで、結合アルゴリズムとして最初に適用可能なものを使用してみませんか?

Eclipse 用の ALFA プラグイン (無料) をチェックして、XACML 構文を知らなくてもポリシーをすばやく作成できるようにします: http://www.axiomatics.com/axiomatics-alfa-plugin-for-eclipse.html

于 2013-03-01T02:22:02.620 に答える