security - 如何限制 ClearCase (Windows Server) 中的 VOB 读取访问？

Question

出于合规性原因，我被要求查看如何限制 ClearCase 中某些 VOB 的读取访问权限(因此这需要是可审计的，等等……)。到目前为止，我已经找到了一个解决方案，我将在这里发布，但我仍然有问题，所以任何帮助将不胜感激。尤其是魔鬼在细节中，我认为。

为了便于论证，假设我们有 3 个 VOB 和 3 个组:

gA和gB是两个特殊的组，其他CC用户都在gC，这是默认的CC组

VOB vA，对组 gA 具有读/写访问权限，并且仅限于其他所有人

VOB vB，是对 gB 组的读/写访问权限，对 gA 组的读访问权限，并且仅限于其他所有人

VOB vC，对每个人都具有读/写权限

未回答的问题:

为 CC 用户设置不同的域组有什么影响？当人们登录时，他们的 clearcase 组由用户变量 CLEARCASE_PRIMARY_GROUP 获取。如果他们来自 gA 并且在 vA 中正常工作，则此变量将设置为 gA，但如果他们需要在 vC 中更改某些内容，我敢打赌，如果他们不这样做，他们在 vC 中的文件/版本的组所有权将保持 gA不要做任何事情。 vC 中的对象最终将具有属于 gA、gB、gC 的组。这会是个问题吗？

我什至不确定是否可以在 vB 上正确设置 ACL，而实际上无需创建一个包含 gA 和 gB 人员的新组 gA'，对吗？

在我看来，这里的困难不是技术上的，而是在允许某些人访问适当组的过程中，CM 团队应该远离这个(并由安全部门和涉及的开发团队)。有人有这方面的经验吗？

似乎可以使用 ClearCase Regions 来达到相同的效果。那将如何工作？

最好的祝福，

托马斯

Answer 1

What is the impact in having different Domain groups for CC users ?

除了管理成本(将每个用户注册到多个组可能很麻烦)之外，没有其他成本。
具有不同组的多个元素的事实本身并不是问题。

VOB vB, is read/write access to group gB, read access to group gA, and restricted to everybody else

gB 是 vB 的第二组的一部分，gA 不是(意味着无法结帐)。
770 用于包括 gA 和 gB 的系统组(意味着 gA 的读取访问权限，gB 的读/写权限，gC 的拒绝)

只读或读/写意味着由clearcase(“ cleartool protect”或“ cleartool protectvob”)设置的保护，但“无访问”只能在系统级别实现(chmod 770)

ClearCase 区域与数据限制无关，仅与数据可见性有关:它只允许您查看 vobs 或 View 的子集，它不会阻止您访问它们(一个简单的 mktag -vob，您会看到“ secret ”vob反正)

It seems to me the difficulty here is not technical, but rather that in the process for giving access to certain people to the proper groups, and that the CM team should stay away from this (and leave that to be decided by the Security Department and the development teams involved).

叹息...... CM 应该远离，但 CM 团队不能总是远离 ;) 该团队必须至少初始化请求，以便系统团队将用户注册到正确的组中。与拥有自己的组管理系统的 VCS 相比，仅此初始化步骤就相当麻烦。但是 ClearCase 还没有。