이 주제에서는 ClearQuest에서 폴더 권한이 상속되는 방법을 이해하는 데
필수적인 개념을 설명합니다.
IBM Rational® ClearQuest®에서의
권한 상속을 이해하는 것이 견고한 작업공간 폴더 액세스 제어 정책을 개발하는
키가 됩니다.
기준선 권한, Everyone 그룹
프로젝트 또는 위치로
정의된 사용자 그룹과 더불어, 작업공간 폴더 권한 기능은 사전 정의된 Everyone이라는
'유니버설' 그룹을 사용하며 이 그룹에는 모든 Rational ClearQuest
사용자가 포함됩니다.
수정이 적용될 수 있는 기준선 권한을 설정하는 데 이 그룹이
사용됩니다. 예를 들어, ClearQuest가 공용 조회 폴더에 설정한 기본 권한은
모든 사용자에 대해 읽기 전용입니다. 명시 그룹을 작성하여 관리할 필요없이
Everyone 그룹을 사용하여 기본 동작을 변경하십시오.
그룹 및 서브그룹에 의한 상속
권한이
개인이 아니라 그룹에 정의된 것처럼 권한 속성 모델은 사용자 그룹 및
서브그룹 멤버쉽에 따라 달라집니다.
폴더 관리자가 그룹 및 서브그룹의 폴더에 다른 권한을 지정할 수
있음을 명심하는 것이 중요합니다. 사용자가 그룹과 해당 서브그룹 모두의 구성원이며,
폴더에 대한 그룹과 서브그룹의 액세스가 서로 다른 경우(예: 읽기/쓰기 대 읽기 전용)
사용자의 액세스는 항상 서브그룹 액세스로 판별됩니다.
반면 사용자가
여러 그룹의 직접적인 구성원이면서 해당 그룹들이 서로 서브그룹이 아니라 다양한
액세스 레벨을 갖고 있는 경우 사용자의 액세스는 가장 높은 우선순위 레벨의
권한을 가진 그룹으로 판별됩니다.
폴더 및 서브폴더에 의한 상속
기본적으로, 서브폴더는
상위 폴더의 권한을 상속합니다. 그룹의 공용 폴더 관리자는 서브폴더에 특별히
다른 권한을 지정하여 고유 그룹에 대한 상속된 권한을 대체할 수 있습니다. 서브폴더에
대한 권한이 대체되고, 해당 서브폴더 자체에 또 다른 서브폴더가 있는 경우 권한이
대체된 서브폴더의 서브폴더는 상속된 기본 권한에 대한 대체 권한으로 설정된 권한을
기본적으로 상속합니다. 보안 관리자와 공용 폴더 관리자는 폴더에 지정된 권한에
상관없이 모든 폴더 또는 서브폴더에 액세스할 수 있습니다.
유효 권한
유효 권한이라는 용어는 특정 폴더에 대한
그룹 액세스와 개별 사용자 액세스라는 두 가지 관점에서 이해할 수 있습니다.
특정 폴더에
대한 그룹의 유효 권한은 다음과 같습니다.
- 명시적으로 적용된 권한이 있는 경우 이 권한은 특정 폴더에 대해 명시적으로 적용된
해당 그룹의 권한입니다.
- 명시적으로 적용된 권한이 없는 경우 적용된 권한에 대한 각 그룹의 계층 레벨을
평가합니다. 적용된 권한을 가진 가장 가까운 그룹 계층 레벨에 따라 유효 권한이
판별됩니다. 이 그룹 계층 레벨에 적용된 권한이 두 개 이상 있으면 가장 높은 우선순위로
적용된 권한이 유효 권한이 됩니다. 계층 레벨을 판별하기 위해 Everyone 그룹은
가장 먼 계층 레벨로 간주됩니다.
- 그렇지 않으면 유효 권한은 상위 폴더에 대한 그룹의 유효 권한과 같아집니다. 상위
폴더가 없는 경우(예를 들어, 최상위 레벨 공용 조회 폴더를 다룰 경우), 유효
권한은 기본값(일반적으로 읽기 전용)입니다.
특정 폴더에
대한 사용자의 유효 권한은 다음과 같습니다.
- 명시적으로 적용된 권한이 있는 경우 사용자가 구성원으로 속해 있는 그룹의
권한 중에서 해당 폴더에 대해 가장 높은 우선순위로 적용된 권한이 유효 권한입니다.
- 명시적으로 적용된 권한이 없는 경우 적용된 권한에 대한 사용자의 그룹 계층 레벨을
평가합니다. 적용된 권한을 가진 가장 가까운 그룹 계층 레벨에 따라 유효 권한이
판별됩니다. 이 그룹 계층 레벨에 적용된 권한이 두 개 이상 있으면 가장 높은 우선순위로
적용된 권한이 유효 권한이 됩니다. 계층 레벨을 판별하기 위해 Everyone 그룹은
가장 먼 계층 레벨로 간주됩니다.
- 그렇지 않으면 유효 권한은 상위 폴더에 대한 사용자의 유효 권한과 같아집니다. 상위
폴더가 없는 경우(예를 들어, 최상위 레벨 공용 조회 폴더를 다룰 경우), 유효
권한은 기본값(일반적으로 읽기 전용)입니다.
적용 시점 고려사항
또한, 사용자 그룹 또는 서브그룹의
폴더 권한 갱신은 변경이 중앙 사용자 데이터베이스에 업로드되기 전이라도 폴더 관리자가
갱신을 수행하면 현재 Rational ClearQuest 세션에서
바로 적용됩니다. 현재 세션과 동일한 복제본 내에서, 갱신은 데이터베이스에서 변경이
확약된 이후에 시작된 모든 세션에 적용됩니다. 다른 복제본의 경우, 갱신은 해당 복제본과
현재 세션이 포함된 복제본 사이의 동기화가 완료된 이후에 시작된 세션에 적용됩니다.
액세스
변경이 시간 차이를 두고 적용되기 때문에 권한이 현재 세션에서 변경된 이후 일정 시간 동안
사용자는 관리자가 설정한 권한보다 덜 제한적인 권한을 가지고 데이터베이스에 액세스할 수 있습니다.