Sun Management Center 安全性概念
Sun Management Center 軟體中的安全性基於 JavaTM 安全性類別及 SNMPv2 usec(SNMP 版本 2,基於使用者的安全性模式)安全性標準。
-
只有有效的 Sun Management Center 使用者才可以使用此軟體。
-
此軟體可認證使用者和個別管理屬性的存取控制。
存取控制類別
-
管理員,類似 UNIX 中的超級使用者 (root)
-
操作員,執行和監視系統的操作員
-
一般使用者,類似只有唯讀檢視權限的訪客
若要瞭解 ACL 類別,必須先瞭解 Sun Management Center 軟體使用者和群組。下列章節將解釋使用者和群組。
Sun Management Center 使用者
Sun Management Center 使用者是伺服器主機上的有效 UNIX 使用者。因此,系統管理員必須將有效的使用者加入檔案 /var/opt/SUNWsymon/cfg/esusers。如果該檔案中沒有某個使用者名稱,則該使用者無法登入 Sun Management Center 軟體。
一般使用者
管理員必須新增所有需要登入 Sun Management Center 軟體的使用者之使用者 ID 清單。依預設,除非使用賦予使用者以 esadm、esops 或 esdomadm 權限中所述的步驟賦予使用者額外的權限,否則此檔案中所有的使用者僅擁有一般使用者存取權限。
esusers 檔案中的所有使用者皆為一般使用者。依預設,Sun Management Center 的一般使用者可以執行以下功能:
-
登入該軟體
-
檢視管理領域、主機及建立的模組
-
檢視事件
-
觸發手動重新顯示
-
執行 ad hoc 指令
-
圖形資料
Sun Management Center 超級使用者
Sun Management Center 超級使用者會自動屬於將在下列章節中說明的所有群組。Sun Management Center 超級使用者擁有如Sun Management Center 管理員 (esadm)所述的管理員權限。
Sun Management Center 群組
依預設,下列群組會在 Sun Management Center 伺服器設定期間建立於伺服器主機上:
此外,所有的 Sun Management Center 使用者均屬於一個稱為 ANYGROUP 的假設的群組。
這些列示的群組必須在執行 Sun Management Center 伺服器層的機器上定義,並且不需要在其他機器上定義。隨後的章節將對這些群組進行更詳細的說明。
註解 –
這些列示的群組定義於 /etc/group 檔案中。
Sun Management Center 操作員 (esops)
屬於 esops 群組的 Sun Management Center 軟體使用者通常是操作員使用者。這些操作員可執行、監視並在一定範圍內配置管理系統上的參數。esops 可以執行作業,包括一些允許一般使用者執行的作業:
-
停用或啟用模組
-
設定警報限制
-
設定規則參數
-
執行警報動作
-
執行 ad hoc 指令
-
設定重新顯示間隔時間
-
認可、刪除或修復事件
-
啟用或停用歷程記錄
-
設定記錄歷程參數
Sun Management Center 管理員 (esadm)
屬於 esadm 群組的軟體使用者可以執行管理員作業。管理員作業是操作員使用者可執行的作業(如Sun Management Center 操作員 (esops)中所述)的超集 。除操作員使用者 (esops) 可執行的所有作業之外,這些管理員使用者 (esadm) 還可以執行以下作業:
-
載入或卸載模組
-
設定 ACL 使用者和群組
-
檢視管理領域、主機或模組
Sun Management Center 領域管理員 (esdomadm)
屬於 esdomadm 群組的使用者可以執行以下領域管理員作業:
-
建立管理領域
-
在管理領域內建立群組
-
新增物件至群組或管理領域
-
檢視管理領域、主機或模組
註解 –
除非另外配置,否則除以上列示的權限之外,屬於 esdomadm 的使用者只是一般使用者。
管理員、操作員及一般使用者功能
以下表格列示了使用者依預設可執行的不同功能類型。給定儲存格中的標記表示指定的使用者可以執行所列示的功能。
此表格適用於所有模組。個別模組可能還會有特定的限制,這些限制皆在該模組的控制之下。
表 18–1 領域管理員、管理員、操作員及一般使用者功能|
功能 |
領域管理員 |
管理員 |
操作員 |
一般使用者 |
|---|---|---|---|---|
|
載入模組 |
|
x |
|
|
|
卸載模組 |
|
x |
|
|
|
建立管理領域 |
x |
|
|
|
|
在管理領域內建立群組 |
x |
|
|
|
|
新增物件至群組或管理領域 |
x |
|
|
|
|
檢視管理領域、主機或模組 |
x |
x |
x |
x |
|
設定 ACL 使用者或群組 |
|
x |
|
|
|
停用或啟用模組 |
|
x |
x |
|
|
設定模組作用中時間視窗 |
|
x |
|
|
|
設定警報限制 |
|
x |
x |
|
|
設定規則參數 |
|
x |
x |
|
|
執行警報動作 |
|
x |
x |
|
|
執行 ad hoc 指令 |
|
x |
x |
|
|
設定重新顯示間隔時間 |
|
x |
x |
|
|
手動觸發重新顯示 |
x |
x |
x |
x |
|
啟用或停用歷程記錄 |
|
x |
x |
|
|
設定記錄歷程參數 |
|
x |
x |
|
|
認可、刪除或修復事件 |
|
x |
x |
|
|
檢視事件 |
|
x |
x |
x |
在 Sun Management Center 軟體中,上述類別具有包容關係,意即擁有 esadm 權限的使用者可以執行擁有 esops 權限的使用者可以執行的所有作業。管理員可以變更預設的許可權,以便讓擁有 esops 權限的使用者可以執行比 esadm 使用者更多的作業。包容關係意味著,在此軟體中並沒有任何項目可以讓 esops、esadm 或 esdomadm 中的一個擁有比其他兩個群組更多的權限。
如需有關如何置換預設權限的更多資訊,請參閱置換預設代理程式權限。
預設權限
管理領域由拓樸管理程式操控。本節介紹拓樸管理程式、其他代理程式以及其他模組的預設權限。
拓樸管理程式的預設權限
拓樸管理程式的預設權限列示在以下表格中。管理領域在拓樸管理程式中維護。
表 18–2 拓樸管理程式的預設權限|
拓樸管理程式 |
預設權限 |
|---|---|
|
管理員使用者清單 |
|
|
操作員使用者清單 |
|
|
一般使用者清單 |
|
|
管理員 SNMP 團體清單 |
|
|
操作員 SNMP 團體清單 |
|
|
一般使用者 SNMP 團體清單 |
public |
|
管理員群組清單 |
esdomadm |
|
操作員群組清單 |
esops |
|
一般使用者群組清單 |
ANYGROUP |
其他 Sun Management Center 組件及模組的預設權限
未在拓樸管理程式中的組件及模組之預設權限列示在以下表格中。
表 18–3 Sun Management Center 組件和模組的預設權限|
組件和模組 |
預設權限 |
|---|---|
|
管理員使用者清單 |
|
|
操作員使用者清單 |
|
|
一般使用者清單 |
|
|
管理員群組清單 |
esadm |
|
操作員群組清單 |
esops |
|
一般使用者群組清單 |
ANYGROUP |
|
管理員 SNMP 團體清單 |
|
|
操作員 SNMP 團體清單 |
|
|
一般使用者 SNMP 團體清單 |
public |
ANYGROUP 關鍵字並非指真正的 UNIX 群組,而是一個特別的關鍵字,它表示任何可登入 Sun Management Center 軟體的使用者均可取得物件的一般存取權限。
- © 2010, Oracle Corporation and/or its affiliates