Concepts de sécurité de Sun Management Center
La sécurité dans le logiciel Sun Management Center est basée sur les classes de sécurité JavaTM et sur les normes de sécurité SNMPv2 usec (SNMP version 2, modèle de sécurité basé sur l'utilisateur).
Le logiciel offre les couches de sécurité suivantes :
-
Seuls des utilisateurs de Sun Management Center valides peuvent utiliser le logiciel.
-
Le logiciel vous permet de définir des permissions de sécurité ou catégories de contrôle d'accès (ACL). Les fonctionnalités de sécurité fournissent un contrôle au niveau des domaines administratifs, des groupes, des hôtes et des modules.
-
Le logiciel authentifie les connexions des utilisateurs et contrôle l'accès aux différentes propriétés gérées.
Catégories de contrôle d'accès
Le logiciel propose les catégories de contrôle d'accès suivantes :
-
Admin, similaire au super-utilisateur (root) d'UNIX ;
-
Opérateur, s'apparente aux opérateurs qui exécutent et surveillent le système ;
-
Générique, semblable à un accès guest (invité) dont les privilèges sont limités à la simple consultation.
Pour comprendre ces catégories ACL, vous devez commencer par comprendre les concepts d'utilisateur et de groupe dans Sun Management Center. Les sections qui suivent expliquent ces concepts.
Utilisateurs de Sun Management Center
Les utilisateurs de Sun Management Center sont des utilisateurs UNIX valides sur l'hôte du serveur. Ainsi, l'administrateur système doit ajouter les utilisateurs valides au fichier suivant : /var/opt/SUNWsymon/cfg/esusers . Si le nom d'un utilisateur ne figure pas dans ce fichier, cet utilisateur ne pourra pas se connecter au logiciel Sun Management Center.
Utilisateurs génériques
L'administrateur doit ajouter la liste des ID d'utilisateur de tous les utilisateurs qui ont besoin de se connecter au logiciel Sun Management Center. Tous les utilisateurs qui figurent dans ce fichier ont par défaut des privilèges d'accès génériques, à moins d'avoir reçu des privilèges supplémentaires dans le cadre des procédures décrites dans Octroi de privilèges esadm, esops ou esdomadm.
Tout utilisateur figurant dans le fichier esusers est un utilisateur générique. Les utilisateurs génériques de Sun Management Center peuvent, par défaut, accomplir les actions suivantes :
-
se connecter au logiciel ;
-
afficher les domaines administratifs, les hôtes et les modules qui sont créés ;
-
afficher les événements ;
-
déclencher manuellement des rafraîchissements ;
-
Exécuter des commandes ad hoc
-
représenter graphiquement des données.
Super-utilisateur de Sun Management Center
Le super-utilisateur de Sun Management Center appartient automatiquement à tous les groupes décrits dans les sections suivantes. Le super-utilisateur de Sun Management Center a les privilèges d'administrateur décrits dans Administrateurs de Sun Management Center ou esadm.
Groupes de Sun Management Center
Les groupes suivants sont créés par défaut sur l'hôte du serveur lors de la configuration du serveur de Sun Management Center :
De plus, tous les utilisateurs de Sun Management Center appartiennent à un groupe hypothétique appelé ANYGROUP.
Les groupes listés doivent être définis sur la machine où tourne la couche serveur de Sun Management Center. Il est inutile de les définir sur d'autres machines. Ces groupes sont décrits plus en détails dans les sections qui suivent.
Remarque :
Les groupes listés sont définis dans le fichier /etc/group.
Opérateurs de Sun Management Center ou esops
Les utilisateurs du logiciel Sun Management Center qui appartiennent au groupe esops sont habituellement des utilisateurs de type opérateur. Ces opérateurs peuvent exécuter, surveiller et dans une certaine mesure, configurer des paramètres sur les systèmes gérés. Les utilisateurs esops peuvent effectuer de nombreuses opérations dont certaines de celles permises aux utilisateurs génériques :
-
Désactiver ou activer des modules
-
Définir les limites d'alarme
-
Définir les paramètres des règles
-
Exécuter les actions à entreprendre en cas d'alarme
-
exécuter des commandes ad hoc ;
-
Définir l'intervalle de rafraîchissement
-
Reconnaître, supprimer ou corriger des événements
-
Activer ou désactiver l'enregistrement de l'historique
-
Définir les paramètres pour l'historique
Administrateurs de Sun Management Center ou esadm
Les utilisateurs du logiciel qui appartiennent au groupe esadm peuvent effectuer les opérations d'administrateur. Ces opérations sont un sur-ensemble de celles pouvant être effectuées par les utilisateurs de type Opérateur comme décrit dans Opérateurs de Sun Management Center ou esops. En plus de toutes les opérations pouvant être effectuées par les utilisateurs opérateurs (esops), les utilisateurs administrateurs (esadm) peuvent effectuer les opérations suivantes :
-
charger ou décharger des modules ;
-
définir les utilisateurs et les groupes ACL ;
-
afficher les domaines administratifs, les hôtes ou les modules.
Administrateurs de domaines de Sun Management Center ou esdomadm
Les utilisateurs qui appartiennent au groupe esdomadm peuvent effectuer les opérations d'administrateur de domaines suivantes :
-
Créer des domaines administratifs
-
Créer des groupes au sein des domaines administratifs
-
Ajouter des objets aux groupes ou domaines administratifs
-
afficher les domaines administratifs, les hôtes ou les modules.
Remarque :
En dehors des privilèges répertoriés ci-dessus, un utilisateur appartenant au groupe esdomadm est un simple utilisateur générique, sauf configuration autre.
Fonctions Administrateur, Opérateur et Générique
Le tableau suivant contient les différents types de fonctions que peuvent effectuer par défaut les utilisateurs. La présence d'une croix dans une cellule indique que l'utilisateur peut effectuer la fonction listée.
Ce tableau s'applique à tous les modules. Certains modules peuvent présenter des restrictions spécifiques, qui sont sous le contrôle du module.
Tableau 18–1 Fonctions Admin domaine, Admin, Opérateur et Générique|
Fonction |
Admin domaine |
Admin |
Opérateur |
Générique |
|---|---|---|---|---|
|
Charger des modules |
|
x |
|
|
|
Décharger des modules |
|
x |
|
|
|
Créer des domaines administratifs |
x |
|
|
|
|
Créer des groupes au sein des domaines administratifs |
x |
|
|
|
|
Ajouter des objets aux groupes ou domaines administratifs |
x |
|
|
|
|
Afficher les domaines administratifs, les hôtes ou les modules |
x |
x |
x |
x |
|
Définir les utilisateurs ou les groupes ACL |
|
x |
|
|
|
Désactiver ou activer des modules |
|
x |
x |
|
|
Définir la fenêtre de temps d'activité |
|
x |
|
|
|
Définir les limites d'alarme |
|
x |
x |
|
|
Définir les paramètres des règles |
|
x |
x |
|
|
Exécuter les actions à entreprendre en cas d'alarme |
|
x |
x |
|
|
Exécuter des commandes ad hoc |
|
x |
x |
|
|
Définir l'intervalle de rafraîchissement |
|
x |
x |
|
|
Déclencher manuellement un rafraîchissement |
x |
x |
x |
x |
|
Activer ou désactiver l'enregistrement de l'historique |
|
x |
x |
|
|
Définir les paramètres pour l'historique |
|
x |
x |
|
|
Reconnaître, supprimer ou corriger des événements |
|
x |
x |
|
|
Afficher les événements |
|
x |
x |
x |
Dans le logiciel Sun Management Center, les catégories ci-dessus maintiennent des relations inclusives. Cela signifie que par défaut, un utilisateur qui a des privilèges esadm peut faire tout ce qu'un utilisateur ayant des privilèges esops peut faire. Un administrateur a la possibilité de changer les permissions par défaut pour permettre par exemple à un utilisateur ayant des privilèges esops de faire plus de choses qu'un utilisateur esadm. Le qualificatif « inclusive » associé au mot relation indique que rien dans le logiciel ne rend l'un de ces trois groupes esops , esadm et esdomadm, plus puissant que les autres.
Pour plus d'informations sur comment contourner les privilèges par défaut, reportez-vous à Remplacement des privilèges par défaut.
Privilèges par défaut
Les domaines administratifs sont manipulés par le Gestionnaire de topologie. Cette section illustre les privilèges par défaut pour le Gestionnaire de topologie, pour d'autres agents et pour d'autres modules.
Privilèges par défaut du Gestionnaire de topologie
Les privilèges par défaut du Gestionnaire de topologie, qui maintient les domaines administratifs, sont répertoriés dans le tableau ci-après :
Tableau 18–2 Privilèges par défaut du Gestionnaire de topologie|
Gestionnaire de topologie |
Privilèges par défaut |
|---|---|
|
Liste des utilisateurs Admin |
|
|
Liste des utilisateurs Opérateur |
|
|
Liste des utilisateurs Générique |
|
|
Liste des communautés SNMP Admin |
|
|
Liste des communautés SNMP Opérateur |
|
|
Liste des communautés SNMP Générique |
public |
|
Liste des groupes Admin |
esdomadm |
|
Liste des groupes Opérateur |
esops |
|
Liste des groupes Générique |
ANYGROUP |
Privilèges par défaut des autres modules et composants de Sun Management Center
Les privilèges par défaut de tous les autres composants ou modules qui ne figurent pas dans le Gestionnaire de topologie sont listés dans le tableau suivant.
Tableau 18–3 Privilèges par défaut des composants et modules de Sun Management Center|
Composants et modules |
Privilèges par défaut |
|---|---|
|
Liste des utilisateurs Admin |
|
|
Liste des utilisateurs Opérateur |
|
|
Liste des utilisateurs Générique |
|
|
Liste des groupes Admin |
esadm |
|
Liste des groupes Opérateur |
esops |
|
Liste des groupes Générique |
ANYGROUP |
|
Liste des communautés SNMP Admin |
|
|
Liste des communautés SNMP Opérateur |
|
|
Liste des communautés SNMP Générique |
public |
Le mot clé ANYGROUP n'est pas un vrai groupe UNIX mais un mot clé spécial qui signifie que tout utilisateur pouvant se connecter au logiciel Sun Management Center se voit attribuer un accès générique aux objets.
- © 2010, Oracle Corporation and/or its affiliates