Le logiciel propose les catégories de contrôle d'accès suivantes :
Admin, similaire au super-utilisateur (root) d'UNIX ;
Opérateur, s'apparente aux opérateurs qui exécutent et surveillent le système ;
Générique, semblable à un accès guest (invité) dont les privilèges sont limités à la simple consultation.
Pour comprendre ces catégories ACL, vous devez commencer par comprendre les concepts d'utilisateur et de groupe dans Sun Management Center. Les sections qui suivent expliquent ces concepts.
Les utilisateurs de Sun Management Center sont des utilisateurs UNIX valides sur l'hôte du serveur. Ainsi, l'administrateur système doit ajouter les utilisateurs valides au fichier suivant : /var/opt/SUNWsymon/cfg/esusers . Si le nom d'un utilisateur ne figure pas dans ce fichier, cet utilisateur ne pourra pas se connecter au logiciel Sun Management Center.
L'administrateur doit ajouter la liste des ID d'utilisateur de tous les utilisateurs qui ont besoin de se connecter au logiciel Sun Management Center. Tous les utilisateurs qui figurent dans ce fichier ont par défaut des privilèges d'accès génériques, à moins d'avoir reçu des privilèges supplémentaires dans le cadre des procédures décrites dans Octroi de privilèges esadm, esops ou esdomadm.
Tout utilisateur figurant dans le fichier esusers est un utilisateur générique. Les utilisateurs génériques de Sun Management Center peuvent, par défaut, accomplir les actions suivantes :
se connecter au logiciel ;
afficher les domaines administratifs, les hôtes et les modules qui sont créés ;
afficher les événements ;
déclencher manuellement des rafraîchissements ;
Exécuter des commandes ad hoc
représenter graphiquement des données.
Le super-utilisateur de Sun Management Center appartient automatiquement à tous les groupes décrits dans les sections suivantes. Le super-utilisateur de Sun Management Center a les privilèges d'administrateur décrits dans Administrateurs de Sun Management Center ou esadm.
Les groupes suivants sont créés par défaut sur l'hôte du serveur lors de la configuration du serveur de Sun Management Center :
De plus, tous les utilisateurs de Sun Management Center appartiennent à un groupe hypothétique appelé ANYGROUP.
Les groupes listés doivent être définis sur la machine où tourne la couche serveur de Sun Management Center. Il est inutile de les définir sur d'autres machines. Ces groupes sont décrits plus en détails dans les sections qui suivent.
Les groupes listés sont définis dans le fichier /etc/group.
Les utilisateurs du logiciel Sun Management Center qui appartiennent au groupe esops sont habituellement des utilisateurs de type opérateur. Ces opérateurs peuvent exécuter, surveiller et dans une certaine mesure, configurer des paramètres sur les systèmes gérés. Les utilisateurs esops peuvent effectuer de nombreuses opérations dont certaines de celles permises aux utilisateurs génériques :
Désactiver ou activer des modules
Définir les limites d'alarme
Définir les paramètres des règles
Exécuter les actions à entreprendre en cas d'alarme
exécuter des commandes ad hoc ;
Définir l'intervalle de rafraîchissement
Reconnaître, supprimer ou corriger des événements
Activer ou désactiver l'enregistrement de l'historique
Définir les paramètres pour l'historique
Les utilisateurs du logiciel qui appartiennent au groupe esadm peuvent effectuer les opérations d'administrateur. Ces opérations sont un sur-ensemble de celles pouvant être effectuées par les utilisateurs de type Opérateur comme décrit dans Opérateurs de Sun Management Center ou esops. En plus de toutes les opérations pouvant être effectuées par les utilisateurs opérateurs (esops), les utilisateurs administrateurs (esadm) peuvent effectuer les opérations suivantes :
charger ou décharger des modules ;
définir les utilisateurs et les groupes ACL ;
afficher les domaines administratifs, les hôtes ou les modules.
Les utilisateurs qui appartiennent au groupe esdomadm peuvent effectuer les opérations d'administrateur de domaines suivantes :
Créer des domaines administratifs
Créer des groupes au sein des domaines administratifs
Ajouter des objets aux groupes ou domaines administratifs
afficher les domaines administratifs, les hôtes ou les modules.
En dehors des privilèges répertoriés ci-dessus, un utilisateur appartenant au groupe esdomadm est un simple utilisateur générique, sauf configuration autre.
Le tableau suivant contient les différents types de fonctions que peuvent effectuer par défaut les utilisateurs. La présence d'une croix dans une cellule indique que l'utilisateur peut effectuer la fonction listée.
Ce tableau s'applique à tous les modules. Certains modules peuvent présenter des restrictions spécifiques, qui sont sous le contrôle du module.
Tableau 18–1 Fonctions Admin domaine, Admin, Opérateur et Générique
Fonction |
Admin domaine |
Admin |
Opérateur |
Générique |
---|---|---|---|---|
Charger des modules |
|
x |
|
|
Décharger des modules |
|
x |
|
|
Créer des domaines administratifs |
x |
|
|
|
Créer des groupes au sein des domaines administratifs |
x |
|
|
|
Ajouter des objets aux groupes ou domaines administratifs |
x |
|
|
|
Afficher les domaines administratifs, les hôtes ou les modules |
x |
x |
x |
x |
Définir les utilisateurs ou les groupes ACL |
|
x |
|
|
Désactiver ou activer des modules |
|
x |
x |
|
Définir la fenêtre de temps d'activité |
|
x |
|
|
Définir les limites d'alarme |
|
x |
x |
|
Définir les paramètres des règles |
|
x |
x |
|
Exécuter les actions à entreprendre en cas d'alarme |
|
x |
x |
|
Exécuter des commandes ad hoc |
|
x |
x |
|
Définir l'intervalle de rafraîchissement |
|
x |
x |
|
Déclencher manuellement un rafraîchissement |
x |
x |
x |
x |
Activer ou désactiver l'enregistrement de l'historique |
|
x |
x |
|
Définir les paramètres pour l'historique |
|
x |
x |
|
Reconnaître, supprimer ou corriger des événements |
|
x |
x |
|
Afficher les événements |
|
x |
x |
x |
Dans le logiciel Sun Management Center, les catégories ci-dessus maintiennent des relations inclusives. Cela signifie que par défaut, un utilisateur qui a des privilèges esadm peut faire tout ce qu'un utilisateur ayant des privilèges esops peut faire. Un administrateur a la possibilité de changer les permissions par défaut pour permettre par exemple à un utilisateur ayant des privilèges esops de faire plus de choses qu'un utilisateur esadm. Le qualificatif « inclusive » associé au mot relation indique que rien dans le logiciel ne rend l'un de ces trois groupes esops , esadm et esdomadm, plus puissant que les autres.
Pour plus d'informations sur comment contourner les privilèges par défaut, reportez-vous à Remplacement des privilèges par défaut.