ABI三员分立(或三权分立)配置

3307
0

yangm 数据达人Lv4

发表于2022-8-11 16:58

楼主
本帖最后由 yangm 于 2022-8-11 17:01 编辑

1.三员权限配置需求
要求软件支持设置系统管理员、安全保密管理员、安全审计员三个角色,三个用户角色负责不同级别的系统操作。其中:
l  系统管理员/应用管理员负责机构/用户管理、系统参数初始化等工作。
l  安全保密管理员/保密管理员负责用户权限配置,审计普通用户和安全审计员的操作日志等工作。
l  安全审计员负责审计系统管理员、安全保密管理员的操作日志。
三员权限要求严格分离,互不影响,并且三员权限不能被分配给普通用户。
2.三员分立部署过程
2.1 修改配置文件
从war包中找到web-inf/classes/config/security/securityconfig.properties文件,如果相应目录没有目录或文件,则在web-inf/classes/config路径下创建目录security、创建文件securityconfig.properties即可。
截图202208111653307597.png
loadsystemrole=false
forbidadmin=false
auditpermission=false
将文件中的loadsystemrole改为true。
2.2.重启服务器,使用超级管理员(admin)登录
2.3.创建三员分立机构
在根机构下创建管理部门,并分别创建对应SYSSSA(系统管理员)、SYSSSO(安全保密管理员)和SYSAUDITOR(安全审计员)的用户。
截图202208111653436668.png
注:三员管理部门一定要创建在根目录下,因为将来为了达成“三员权限要求严格分离,互不影响,并且三员权限不能被分配给普通用户”的要求,需要禁用该机构。
ABI5.1.4版本不支持设置禁用某机构中的子机构。
2.4.授予角色权限
2.4.1.系统管理员角色
职责:负责机构/用户管理、系统参数初始化等工作。
权限特点:该角色只有机构用户的管理权限,即添加、删除权限,不具备给机构用户授权的权限;不具备管理三员权限,即不具备三员机构/用户添加删除权限;有”系统管理“的完全控制权限。
l  授予完全控制机构用户权限,禁用“机构授权、反机构授权”
截图202208111655045436.png
l  禁用三员机构(即2.3中创建的三员分立机构)管理权限做法:在“高级“授权中选择”添加权限“按钮添加如下两个权限。
截图202208111655146790.png 截图202208111655267546.png
l  授予完全控制系统设置权限,禁用完全控制系统连接池权限
截图202208111655468364.png
2.4.2.  安全审计员
职责:负责审计系统管理员、安全保密管理员的操作日志。
权限特点:该角色只有系统日志查看权限,并且只能查看系统管理员、安全保密管理员的操作日志。
l  授予查看系统日志权限
截图202208111656088168.png
2.4.3.  安全保密管理员
职责:负责用户权限配置,审计普通用户和安全审计员的操作日志、管理日志等工作。
权限特点:该角色拥有权限,但不能使用权限,只能授予权限,这意味者他要有机构用户的使用权限(否则不能管理用户权限),有其他系统资源(如分析平台)的授予权限,但无使用权限。另外还具有角色管理的权限,但不能管理三员角色和系统自带角色(管理员、所有用户)。故将他的权限拆分成两类,第一类是能使用的权限,第二类是不能使用但能授予给别人的权限。将这个角色做成父子角色,父角色分配他能使用的权限,子角色分配他不能使用但能授予给别人的权限。
配置方法:
(1)    将角色“授权者”拖到角色“安全保密管理员”的下级,使“授权者”成为“安全保密管理员/保密管理员”的子角色。
(2)    给子角色“授权者”授权
l  授权完全控制“主题管理”、“门户管理”等的权限。
(3)    给父角色“安全保密管理员/保密管理员”授权
l  授权完全控制“机构用户”、“角色管理”权限
l  授权完成控制“系统日志”权限
l  在高级权限中添加根机构查看本级及所有下级的权限,禁用三权分立管理机构查看本级及所有下级的权限
截图202208111657267111.png 截图202208111657368750.png
l  在高级权限中添加“根角色”拥有本级及所有下级的权限,禁用“安全审计员、应用系统管理员、安全保密管理员”拥有本级及所有下级的权限,禁用“管理员、所有用户”拥有本级及所有下级的权限。
截图202208111657479189.png
2.5.      关于日志的补充说明
由于系统内置的三权分立配置完成后,默认的安全保密管理角色只能看到普通用户的日志,安全审计管理员能看到全部三员的日志,这与需求存在一定的差异。目前解决办法是自己根据日志表(ABI51_EACL_V_ORG)新建报表模板来实现对应的日志权限。
在系统主题域中已经有日志主题表可以直接用来创建分析表
截图202208111657575262.png
然后根据需求添加过滤条件即可。
具体表样可参考附件:
日志设置的资源链接:../../elog/logconfig.do?loggername=elog_system

补充说明:
《安全保密管理员》权限管理界面要求屏蔽显示"系统设置、系统主题域、用户权限、门户管理以及修改密码"功能可使用门户,在门户自定义脚本中使用如下脚本解决
截图202208111659163539.png
var myid = setInterval(function(){
       var frame1 = $("[src='../../resource/EACL$16$userorg']").contents();
       var frame2 = $("[src='../../resource/EACL$16$rolemgr']").contents();
       var frame;
       if(frame1.length>0){
              frame=frame1;
       }else if(frame2.length>0){
              frame=frame2;
       }
       if(frame){
              if(frame.find("span:contains('权限')").closest(".eui-tabctrl-header-item").attr("class")=='eui-tabctrl-header-item eui-tabctrl-header-active'){
                     console.log("a")
                     frame.find("[title='用户权限']").closest("li").css("display","none");
                     frame.find("[title='系统主题域']").closest("li").css("display","none");
                     frame.find("[title='门户管理']").closest("li").css("display","none");
                     frame.find("[title='系统设置']").closest("li").css("display","none");
              }
              if(frame.find("span:contains('用户信息')").closest(".eui-tabctrl-header-item").attr("class")=='eui-tabctrl-header-item eui-tabctrl-header-active'){
                     console.log("b")
                     frame.find("[id='com.face.org.pwdtable']").css("display","none");
                     frame.find("legend:contains('安全设置')").closest(".eui-area-h2").css("display","none");
                     frame.find("label:contains('修改密码:')").closest(".eui-form-item").css("display","none");
              }
       }
},1000);
截图202208111659073494.png 截图202208111700146820.png 系统日志分析表_20191106_130911.zip (2.98 KB, 下载次数: )
0个回答

只看楼主

登录后可回答问题,请登录注册

小时

全天响应

分钟

快速处理问题

工程师强势助力

明星产品
解决方案
联系合作

渠道咨询电话:137-0120-6790

技术支持QQ:400-0011-866(工作日9:00-18:00)

产品建议邮箱yixin@esensoft.com

关注我们

扫TA学习更多干货

一对一专家交流