好象第一个是CP GROUP ，第二个是AP GROUP。

如果没有第一个，那OSSUSER就只能登AP，不能登CP 了。

还请高人证实。

受教了！！！谢谢

cuadef定义CP与AP用户的关联

不像是二楼说的那个样子吧``

我来详细解释一下：

首先，一个账号建立之后，必须让其归属组ACSUSRG（或者更高权限的ACSADMG），否则无法登陆APG。

用户在使用一个正常账号登陆APG之后，若只是要访问CP，其账号要具备组CPUSRG（或者更高权限的CPADMG），否则会报错“访问拒绝”。

在拥有CPUSRG组权限之后，该用户执行指令MML，AP鉴权系统首先去检查CP User Association list（指令cuals），这个表反映的是一个AP用户组到CP用户的映射关系。如果该用户所属的用户组在这个list中，则其将使用list中所对应的CP用户去访问CP。如果这个对应的CP用户没有在CP中定义，而即便CP中已经定义了和AP中同名的账号，该用户依旧无法正常访问CP，报错“鉴权失败”。但是如果cuals表为空，则用户就直接去IOUAP表中找是否有与自己同名账号，如果有，可以访问CP，如果没有，报错“鉴权失败”。

AP的这种鉴权机制经常会导致的情况是：如果CP SB侧发生了initial load，备用侧dump中可能无自定义的CP USER，而只有内建的administrator，admin以及ossuser。此时如果一个账号（不与内建账号同名）登陆试图访问CP，就会出现CP EX侧正常访问，而SB侧鉴权失败的现象。

总结一下：

1. 一个账号若只是访问CP，最少拥有两个组：ACSUSRG和CPUSRG。

2.账号访问CP首先检查cuals，若：

有其所属用户组对应有CP USER, IOUAP中有该CP USER定义，正常访问。否则报错鉴权失败，无法访问CP。
其所属用户组无对应或者cuals表为空，IOUAP中有该账号的同名定义，正常访问。否则报错鉴权失败，无法访问CP。