Herencia de permisos

Este tema describe conceptos importantes para entender cómo se heredan los permisos de carpeta en ClearQuest

Comprender la herencia de los permisos en IBM Rational ClearQuest es clave para desarrollar una sólida política de control de acceso a las carpetas del espacio de trabajo.

Permisos de línea base; el grupo Todos

Además de los grupos de usuarios definidos por proyecto o ubicación, la función de permisos de carpeta del espacio de trabajo hace uso de un grupo "universal" predefinido denominado Todos, que contiene a cada usuario de Rational ClearQuest. Este grupo se utiliza para establecer un permiso de línea base a partir del cual se pueden aplicar modificaciones. Por ejemplo, el permiso predeterminado establecido por ClearQuest para la carpeta Consultas públicas es Sólo lectura para todos los usuarios. Utilice el grupo Todos para cambiar el comportamiento predeterminado sin tener que crear y gestionar un grupo explícito.

Herencia por grupo y subgrupo

De la misma forma que se definen los permisos para grupos en lugar de para personas, el modelo de herencia de permisos depende de las pertenencias a un grupo y subgrupo de un usuario.

Es importante tener en cuenta que un administrador de carpetas puede asignar permisos distintos a una carpeta para un grupo y su subgrupo. Si un usuario es miembro tanto de un grupo como de su subgrupo, y el grupo y el subgrupo tienen distinto acceso a la carpeta (por ejemplo, Lectura/Escritura frente a Sólo lectura), el acceso del usuario siempre vendrá determinado por el acceso al subgrupo.

Por otro lado, si un usuario es miembro directo de varios grupos que no sean subgrupos unos de otros, y los grupos tienen distintos niveles de acceso, el acceso del usuario vendrá determinado por el grupo cuyo permiso tenga el nivel de precedencia más alto.

Herencia por carpeta y subcarpeta

De manera predeterminada, un subcarpeta hereda los permisos de su carpeta padre. El administrador de carpetas públicas de un grupo puede cambiar esto para sus propios grupos asignando específicamente distintos permisos a la subcarpeta. Si los permisos de una subcarpeta se alteran temporalmente, y la subcarpeta tiene a su vez subcarpetas, sus subcarpetas heredarán de forma predeterminada los permisos que estaban establecidos como alteraciones temporales de los permisos heredados de forma predeterminada. El administrador de seguridad y el administrador de carpetas públicas pueden acceder a cualquier carpeta o subcarpeta independientemente del permiso que tenga asignado la carpeta.

Permisos efectivos

El término permiso efectivo se puede entender de dos formas, en relación al acceso de un grupo a una carpeta en particular, o en relación al acceso de un usuario individual.

El permiso efectivo para un grupo de una determinada carpeta es:
  1. El permiso aplicado explícito de dicho grupo para tal carpeta, si lo hay
  2. Si no hay permiso aplicado explícito, evalúe cada nivel de subordinación de un permiso aplicado. El nivel de subordinación de grupo más ajustado que tenga un permiso aplicado determinará el permiso efectivo. Si hay más de un permiso aplicado en este nivel de subordinación de grupo, el permiso efectivo será el permiso aplicado de precedencia más alta. Para determinar el nivel de subordinación, el grupo Todos es considerado el nivel de subordinación más distante.
  3. Por otro lado, el permiso efectivo es el mismo que el permiso efectivo del grupo de la carpeta padre. Si no hay carpeta padre (por ejemplo, cuando se trata de la carpeta Consultas públicas de nivel superior), el permiso efectivo es el valor predeterminado (normalmente, Sólo lectura).
El permiso efectivo de un usuario en una carpeta determinada es el siguiente:
  1. El permiso aplicado de procedencia más alta para dicha carpeta entre los grupos de los que es miembro el usuario, si hay uno
  2. Si no hay permiso aplicado explícito, evalúe los niveles de subordinación de cada uno de los grupos del usuario para un permiso aplicado. El nivel de subordinación de grupo más ajustado que tenga un permiso aplicado determinará el permiso efectivo. Si hay más de un permiso aplicado en este nivel de subordinación de grupo, el permiso efectivo será el permiso aplicado de precedencia más alta. Para determinar el nivel de subordinación, el grupo Todos es considerado el nivel de subordinación más distante.
  3. Por otro lado, el permiso efectivo es el mismo que el permiso efectivo del usuario de la carpeta padre. Si no hay carpeta padre (por ejemplo, cuando se trata de la carpeta Consultas públicas de nivel superior), el permiso efectivo es el valor predeterminado (normalmente, Sólo lectura).

Consideraciones sobre temporización

Las actualizaciones a los permisos de carpeta para un grupo o subgrupo de usuarios entran en vigor dentro de la sesión de Rational ClearQuest actual tan pronto como el administrador de carpetas realiza la actualización, incluso antes de que se cargue el cambio en la base de datos de usuarios central. Dentro de la misma réplica que la sesión actual, las actualizaciones entran en vigor en todas las sesiones iniciadas después de que el cambio haya sido confirmado en la base de datos. En otras réplicas, entran en vigor en sesiones iniciadas después de que las réplicas se hayan sincronizado con la réplica que contiene la sesión actual y una vez finalizada la sincronización.

Debido al retardo de tiempo en la efectividad de los cambios de acceso, puede que los usuarios estén accediendo a la base de datos con permisos menos restrictivos que los que el administrador haya establecido para ellos durante el período de tiempo posterior al cambio de los permisos en la sesión actual.



Comentarios