Sun Management Center 安全性概念
Sun Management Center 软件的安全性是基于 JavaTM 安全类和 SNMPv2 usec(SNMP 版本 2,基于用户的安全模式)安全性标准。
-
仅有效的 Sun Management Center 用户可以操作本软件。
-
本软件会针对每个管理的特性对用户和访问控制进行鉴别。
访问控制类别
-
管理员,类似 UNIX 中的超级用户 (root)
-
操作员,运行和监视系统的操作员
-
一般,类似具有只读查看权限的访客访问
要了解 ACL 类别,首先需要了解 Sun Management Center 软件的用户和组。以下各节将说明用户和组。
Sun Management Center 用户
Sun Management Center 用户是指服务器主机上的有效 UNIX 用户。因此,系统管理员必须将有效用户添加到文件 /var/opt/SUNWsymon/cfg/esusers 中。如果某个用户名不在此文件中,该用户将不能登录 Sun Management Center 软件。
一般用户
管理员必须将所有需要登录 Sun Management Center 软件的用户添加到用户 ID 列表中。缺省情况下,此文件中的所有用户只具有一般访问权限,除非使用赋予用户 esadm、esops 或 esdomadm 权限中所述的步骤为用户赋予其它权限。
所有出现在 esusers 文件中的用户称为一般用户。缺省情况下,Sun Management Center 一般用户可以执行以下功能:
-
登录软件
-
查看创建的管理域、主机和模块
-
查看事件
-
触发手动刷新
-
运行专用命令
-
绘制数据图表
Sun Management Center 超级用户
Sun Management Center 超级用户自动属于后续各节中描述的所有组。Sun Management Center 超级用户具有管理员权限,如Sun Management Center 管理员或 esadm中所述。
Sun Management Center 组
在 Sun Management Center 服务器的安装过程中,服务器主机上将缺省创建以下组:
此外,所有 Sun Management Center 用户都属于一个称为 ANYGROUP 的虚拟组。
列出的组必须在运行 Sun Management Center 服务器层的计算机上进行定义。这些组不需要在其它计算机上进行定义。后续各节将详细说明这些组。
注意:
列出的组定义在 /etc/group 文件中。
Sun Management Center 操作员或 esops
属于 esops 组的 Sun Management Center 软件用户通常是操作员用户。这些操作员可以运行、监视并在某种程度上配置所管理系统的某些参数。esops 可以执行多种操作,包括某些一般用户可执行的操作:
-
禁用或启用模块
-
设置警报限制
-
设置规则参数
-
运行警报操作
-
运行专用命令
-
设置刷新间隔
-
确认、删除或修复事件
-
启用或禁用历史日志记录
-
设置日志记录历史参数
Sun Management Center 管理员或 esadm
属于 esadm 组的软件用户可以执行管理员操作。管理员操作是操作员用户可执行操作(如Sun Management Center 操作员或 esops中所述)的父集。除了可以执行操作员用户 (esops) 所能执行的所有操作外,这些管理员用户 (esadm) 还可以执行以下操作:
-
加载或卸载模块
-
设置 ACL 用户和组
-
查看管理域、主机或模块
Sun Management Center 域管理员或 esdomadm
-
创建管理域
-
在管理域中创建组
-
向组或管理域中添加对象
-
查看管理域、主机或模块
注意:
除了上面列出的权限外,属于 esdomadm 的用户只是一般用户,除非另行配置。
管理员、操作员和一般功能
下表列出了缺省情况下用户所能执行的不同功能类型。给定单元格中显示的标记表明指定的用户可以执行所列功能。
此表适用于所有模块。个别模块也可能具有特定限制,这些限制由该模块控制。
表 18–1 域管理员、管理员、操作员和一般功能|
功能 |
域管理员 |
管理员 |
操作员 |
一般 |
|---|---|---|---|---|
|
加载模块 |
|
x |
|
|
|
卸载模块 |
|
x |
|
|
|
创建管理域 |
x |
|
|
|
|
在管理域中创建组 |
x |
|
|
|
|
向组或管理域中添加对象 |
x |
|
|
|
|
查看管理域、主机或模块 |
x |
x |
x |
x |
|
设置 ACL 用户或组 |
|
x |
|
|
|
禁用或启用模块 |
|
x |
x |
|
|
设置模块活动时间窗口 |
|
x |
|
|
|
设置警报限制 |
|
x |
x |
|
|
设置规则参数 |
|
x |
x |
|
|
运行警报操作 |
|
x |
x |
|
|
运行专用命令 |
|
x |
x |
|
|
设置刷新间隔 |
|
x |
x |
|
|
手动触发刷新 |
x |
x |
x |
x |
|
启用或禁用历史日志记录 |
|
x |
x |
|
|
设置日志记录历史参数 |
|
x |
x |
|
|
确认、删除或修复事件 |
|
x |
x |
|
|
查看事件 |
|
x |
x |
x |
在 Sun Management Center 软件中,上述各类用户之间存在相互包含的关系。这意味着具有 esadm 权限的用户可以执行具有 esops 权限的用户所能执行的任何操作。由于管理员可以更改缺省权限,因此具有 esops 权限的用户也可以比具有 esadm 权限的用户执行更多的操作。包含关系意味着,软件中没有任何因素可以使 esops、esadm 和 esdomadm 其中之一比其它两者具有更大的权限。
有关如何覆盖缺省权限的详细信息,请参见覆盖缺省代理权限。
缺省权限
管理域由拓扑管理器操纵。本节将描述拓扑管理器、其它代理以及其它模块的缺省权限。
拓扑管理器的缺省权限
表 18–2 拓扑管理器的缺省权限|
拓扑管理器 |
缺省权限 |
|---|---|
|
管理员用户列表 |
|
|
操作员用户列表 |
|
|
一般用户列表 |
|
|
管理员 SNMP 团体列表 |
|
|
操作员 SNMP 团体列表 |
|
|
一般 SNMP 团体列表 |
public |
|
管理员组列表 |
esdomadm |
|
操作员组列表 |
esops |
|
一般组列表 |
ANYGROUP |
其它 Sun Management Center 组件和模块的缺省权限
下表列出了不在拓扑管理器中的组件和模块的缺省权限。
表 18–3 Sun Management Center 组件和模块的缺省权限|
组件和模块 |
缺省权限 |
|---|---|
|
管理员用户列表 |
|
|
操作员用户列表 |
|
|
一般用户列表 |
|
|
管理员组列表 |
esadm |
|
操作员组列表 |
esops |
|
一般组列表 |
ANYGROUP |
|
管理员 SNMP 团体列表 |
|
|
操作员 SNMP 团体列表 |
|
|
一般 SNMP 团体列表 |
public |
关键字 ANYGROUP 并不是真正的 UNIX 组,而是一个特殊的关键字,它表示可以登录 Sun Management Center 软件的所有用户都具有访问对象的一般权限。
- © 2010, Oracle Corporation and/or its affiliates