Herencia de permisos

Este tema describe conceptos importantes para entender cómo se heredan los permisos de carpeta.

Es clave comprender la herencia de los permisos de Rational ClearQuest a fin de desarrollar una sólida política de control de acceso a las carpetas del espacio de trabajo.

Permisos de línea base: el grupo Todos

Además de los grupos de usuarios, la función de permisos de carpeta del espacio de trabajo utiliza un grupo predefinido denominado Todos, que contiene a cada usuario de Rational ClearQuest. La pertenencia del usuario es automática e implícita. No es posible cambiar la pertenencia del grupo Todos.

El grupo Todos se utiliza para establecer un permiso de línea base a partir del cual se pueden aplicar modificaciones. Por ejemplo, el permiso predeterminado para la carpeta Consultas públicas es Sólo lectura para todos los usuarios. Utilice el grupo Todos para cambiar el permiso predeterminado sin crear ni gestionar un grupo explícito.

Herencia por grupo y subgrupo

De la misma forma que se definen los permisos para grupos en lugar de para personas, el modelo de herencia de permisos depende de la pertenencia a un grupo y subgrupo de un usuario.

Un Administrador de carpetas puede asignar permisos distintos a una carpeta para un grupo y su subgrupo. Si un usuario es indirectamente miembro de un grupo porque es directamente miembro de un subgrupo, y el grupo y el subgrupo tienen acceso distinto a una carpeta (por ejemplo, Lectura/Escritura frente a Sólo lectura), el acceso del usuario siempre vendrá determinado por el acceso al subgrupo.

Por otro lado, si un usuario es miembro directo de varios grupos, independientemente de si los grupos son subgrupos entre ellos, y los grupos tienen distintos niveles de acceso, el acceso del usuario vendrá determinado por el grupo cuyo permiso tenga el nivel de precedencia más alto. La pertenencia directa en un grupo tiene precedencia sobre la pertenencia indirecta al determinar la herencia de permisos.

Herencia por carpeta y subcarpeta

Los usuarios que pueden cambiar permisos sobre una carpeta incluyen cualquier usuario con el privilegio de Administrador de carpetas públicas o Administrador de seguridad, o cualquier usuario que es miembro de un grupo al que se ha otorgado el permiso Cambiar permiso sobre una carpeta.

De manera predeterminada, un subcarpeta hereda los permisos de su carpeta padre. Un usuario que puede cambiar permisos puede alterar temporalmente los permisos heredados de carpeta para sus grupos asignando distintos permisos a una subcarpeta. Si se alteran temporalmente los permisos sobre una subcarpeta, y la subcarpeta tiene subcarpetas, las subcarpetas heredan los permisos de alteración temporal. El Administrador de seguridad y el Administrador de carpetas públicas pueden acceder a cualquier carpeta o subcarpeta, independientemente del permiso asignado a la carpeta.

Permisos efectivos

El término permiso efectivo se relaciona con el acceso de un grupo a una carpeta determinada y con el acceso de un usuario individual.

El permiso efectivo para un grupo sobre una carpeta es:
  1. El permiso aplicado explícito para el grupo a esa carpeta, si hay uno.
  2. Si no hay permiso aplicado explícito, evalúe cada nivel de subordinación de un permiso aplicado. El nivel de subordinación de grupo más ajustado que tenga un permiso aplicado determinará el permiso efectivo. Si hay más de un permiso aplicado en este nivel de subordinación de grupo, el permiso efectivo será el permiso aplicado de precedencia más alta. A fin de determinar el nivel de subordinación, el grupo Todos se considera el nivel de subordinación más distante.
  3. Por otro lado, el permiso efectivo es el mismo que el permiso efectivo del grupo de la carpeta padre. Si no hay ninguna carpeta padre (por ejemplo, la carpeta Consultas públicas), el permiso efectivo es el predeterminado (Sólo lectura para la carpeta Consultas públicas).
El permiso efectivo para un usuario sobre una carpeta es:
  1. El permiso aplicado con precedencia más alta a esa carpeta entre los grupos de los que el usuario es miembro, si existe uno.
  2. Si no hay permiso aplicado explícito, evalúe los niveles de subordinación de cada uno de los grupos del usuario para un permiso aplicado. El nivel de subordinación de grupo más ajustado que tenga un permiso aplicado determinará el permiso efectivo. Si hay más de un permiso aplicado en este nivel de subordinación de grupo, el permiso efectivo será el permiso aplicado de precedencia más alta. Para fines de determinar el nivel de subordinación, el grupo Todos se considera el nivel de subordinación más distante.
  3. Por otro lado, el permiso efectivo es el mismo que el permiso efectivo del usuario de la carpeta padre. Si no hay ninguna carpeta padre (por ejemplo, la carpeta Consultas públicas), el permiso efectivo es el predeterminado (Sólo lectura para la carpeta Consultas públicas).

Consideraciones sobre temporización

Las actualizaciones de los permisos de carpeta para un grupo o subgrupo de usuarios tienen lugar en la sesión actual de Rational ClearQuest tan pronto como el Administrador de carpetas realiza la actualización. Dentro de la misma réplica que la sesión actual, las actualizaciones tienen lugar en todas las sesiones iniciadas después de que el cambio se haya confirmado en la base de datos. En otras réplicas, las actualizaciones tienen lugar en sesiones iniciadas después de que las réplicas se hayan sincronizado con la réplica que contiene la sesión actual y la sincronización se haya completado.

Debido a que existe un retardo antes de que los cambios de permiso tengan efecto en otras sesiones, es posible que los usuarios accedan a la base de datos con permisos menos restrictivos que los que el administrador ha establecido para ellos durante un periodo de tiempo después de que se hayan cambiado los permisos en la sesión actual.


Comentarios