3

コンプライアンス上の理由から、ClearCaseの特定のVOBで読み取りアクセスを制限する方法を検討するように依頼されました(したがって、これは監査可能である必要があります...など)。これまでに解決策を見つけたので、ここに投稿しますが、まだ質問があるので、助けていただければ幸いです。特に悪魔は細部に宿っているので、私は思います。

議論を簡単にするために、3つのVOBと3つのグループがあるとします。

  • gAとgBは2つの特別なグループであり、他のすべてのCCユーザーはデフォルトのCCグループであるgCに属します。
  • VOB vAは、グループgAへの読み取り/書き込みアクセスであり、他のすべてのユーザーに制限されています
  • VOB vBは、グループgBへの読み取り/書き込みアクセス、グループgAへの読み取りアクセスであり、他のすべてのユーザーに制限されています
  • VOB vCは、すべての人への読み取り/書き込みアクセスです

未回答の質問:

  • CCユーザーに異なるドメイングループを使用するとどのような影響がありますか?ユーザーがログに記録すると、クリアケースグループはユーザー変数CLEARCASE_PRIMARY_GROUPによって取得されます。それらがgAからのものであり、vAで正常に動作している場合、この変数はgAに設定されますが、vCで何かを変更する必要がある場合、vCでのファイル/バージョンのグループ所有権はgAのままであると思います。それについては何もしません。vC内のオブジェクトは、最終的にgA、gB、gCに属するグループを持つことになります。それは問題になる可能性がありますか?

  • 実際にgAとgBの両方の人々を含む新しいグループgA'を作成せずに、vBでACLを適切に設定できるかどうかさえわかりません。

  • ここでの難しさは技術的なものではなく、特定の人々に適切なグループへのアクセスを提供するプロセスにおいて、CMチームはこれを避けなければならない(そしてそれをセキュリティ部門と関係する開発チーム)。誰かがこの問題の経験がありますか?

  • ClearCaseリージョンを使用して同じ効果を達成することは可能であるようです。それはどのように機能しますか?

よろしくお願いします、

トーマス

4

2 に答える 2

1

CCユーザーに異なるドメイングループを使用するとどのような影響がありますか?

管理費以外はありません(すべてのユーザーを多くのグループに登録するのは面倒です)。
異なるグループを持ついくつかの要素があるという事実自体は問題ではありません。

VOB vBは、グループgBへの読み取り/書き込みアクセス、グループgAへの読み取りアクセスであり、他のすべてのユーザーに制限されています

gBはvBのセカンダリグループの一部ですが、gAはそうではありません(チェックアウトが不可能であることを意味します)。gAおよびgBを含むシステム
グループ の場合は770 (gAの場合は読み取りアクセス、gBの場合は読み取り/書き込み、gCの場合は拒否を意味します)

読み取り専用または読み取り/書き込みは、クリアケース(" cleartool protect"または" cleartool protectvob")によって設定された保護を意味しますが、 "アクセスなし"はシステムレベルでのみ実現できます(chmod 770)

ClearCaseリージョンは、データの制限とは関係がなく、データの可視性のみを示します。これにより、VOBまたはビューのサブセットのみを表示でき、それらへのアクセスが妨げられることはありません(単純mktag -vobで、とにかく「機密」のVOBが表示されます)。

ここでの難しさは技術的なものではなく、特定の人々に適切なグループへのアクセスを提供するプロセスにおいて、CMチームはこれを避けなければならない(そしてそれをセキュリティ部門と関係する開発チーム)。

ため息...CMは離れている必要がありますが、CMチームは常に離れているとは限りません;)システムチームがユーザーを正しいグループに登録するには、そのチームは少なくともリクエストを初期化する必要があります。独自のグループ管理システムを備えたVCSと比較すると、その初期化手順だけでもかなりの手間がかかります。しかし、ClearCaseはまだありません。

于 2009-06-08T17:39:24.453 に答える
0

これまでのところ、 IBMdeveloperworksフォーラムからこの回答を見つけました。

(編集)

  1. チーム用に2つの追加ドメイングループを作成します

  2. 適切な新しいドメイングループを各ClearCaseユーザーのグループプロファイルに追加します(既に持っているgCグループメンバーシップに加えて)。vobadminアカウントをこれら両方の新しいグループのメンバーにする必要があります。

  3. それに応じて、VOBのグループ所有権を変更します。vAの場合は
    cleartool protectvob -chgrp group_name <\\..vob.vbs>
    gA、
    vBの場合はgB、
    他のすべてのVOBの場合はgC(すでに当てはまるはずです)

  4. vAおよびvBVOBのルート要素から「その他のグループ」権限を削除し ます。CCExplorercleartool protect -chmod 770 <vob-tag-name>
    を使用してこれを行うこともできます。任意のビューでVOBを右クリックし、[要素のプロパティ]を選択します。VOB全体を再保護する必要はありません(注: VOB全体の再保護には長い時間がかかり、ここには200を超えるVOBがあるため、これは私にとって重要です)。

これで、gAグループのメンバーのみがvAVOBにアクセスできるようになります。
gBグループのメンバーのみがvBVOBにアクセスできます。
誰もがgCグループのメンバーであるため、他のすべてのVOBにアクセスできます。

ドメインコントローラーで設定されているユーザーアカウントのプライマリグループとは異なるグループがそのユーザーによって新しく作成されたオブジェクトを所有する場合は、特定のユーザーのCLEARCASE_PRIMARY_GROUP環境変数を設定する必要があることに注意してください。

于 2009-06-08T17:32:41.670 に答える