Sun Management Center 软件的安全性基于 JavaTM 安全类和 SNMPv2usec(SNMP 版本 2,基于用户的安全模式)安全性标准。
仅有效的 Sun Management Center 用户可以操作本软件。
您可以在本软件中设置安全性权限或访问控制列表 (access control list, ACL) 类别。安全性特性可以提供管理域、组、主机和模块级别的控制。
本软件会针对每个管理的属性对用户和访问控制进行鉴别。
管理员,类似 UNIX 中的超级用户 (root)
操作员,运行和监视系统的操作员
一般,类似具有只读查看权限的访客访问
要了解 ACL 类别,首先需要了解 Sun Management Center 软件的用户和组。以下各节将说明用户和组。
Sun Management Center 用户是服务器主机上的有效 UNIX 用户。因此,系统管理员必须将有效用户添加到文件 /var/opt/SUNWsymon/cfg/esusers 中。如果某个用户名不在此文件中,该用户将不能登录 Sun Management Center 软件。
管理员必须将所有需要登录 Sun Management Center 软件的用户添加到用户 ID 列表中。默认情况下,此文件中的所有用户都具有一般访问权限,除非使用赋予用户 esadm、esops 或 esdomadm 权限中介绍的过程授予用户其他权限。
所有出现在 esusers 文件中的用户称为一般用户。默认情况下,Sun Management Center 一般用户可以执行以下功能:
登录软件
查看创建的管理域、主机和模块
查看事件
触发手动刷新
运行专用命令
绘制数据图表
Sun Management Center 超级用户自动属于后续各节中描述的所有组。Sun Management Center 超级用户具有管理员权限,如Sun Management Center 管理员或 esadm所述。
在设置 Sun Management Center 服务器的过程中,服务器主机上将创建以下默认组:
此外,所有 Sun Management Center 用户都属于一个称为 ANYGROUP 的虚拟组。
列出的组必须在运行 Sun Management Center 服务器层的计算机上进行定义。这些组不需要在其他计算机上进行定义。后续各节将详细说明这些组。
列出的组定义在 /etc/group 文件中。
属于 esops 组的 Sun Management Center 软件用户通常是操作员用户。这些操作员可以运行、监视并在某种程度上配置所管理系统的某些参数。esops 可以执行多种操作,包括某些一般用户可执行的操作:
禁用或启用模块
设置报警限制
设置规则参数
运行报警操作
运行专用命令
设置刷新间隔
确认、删除或修复事件
启用或禁用历史日志记录
设置日志记录历史参数
属于 esadm 组的软件用户可以执行管理员操作。管理员操作是可由操作员用户执行的操作的超集,如 Sun Management Center 操作员或 esops所述。除了可以执行操作员用户 (esops) 所能执行的所有操作外,这些管理员用户 (esadm) 还可以执行以下操作:
加载或卸载模块
设置 ACL 用户和组
查看管理域、主机或模块
创建管理域
在管理域中创建组
向组或管理域中添加对象
查看管理域、主机或模块
除了上面列出的权限外,属于 esdomadm 的用户只是一般用户,除非另行配置。
下表列出了默认情况下用户可以执行的不同功能类型。给定单元格中显示的标记表明指定的用户可以执行所列功能。
此表适用于所有模块。个别模块也可以具有特定限制,这些限制由该模块控制。
表 18–1 域管理员、管理员、操作员和一般功能
功能 |
域管理员 |
管理员 |
操作员 |
常规 |
---|---|---|---|---|
加载模块 |
|
x |
|
|
卸载模块 |
|
x |
|
|
创建管理域 |
x |
|
|
|
在管理域中创建组 |
x |
|
|
|
向组或管理域中添加对象 |
x |
|
|
|
查看管理域、主机或模块 |
x |
x |
x |
x |
设置 ACL 用户或组 |
|
x |
|
|
禁用或启用模块 |
|
x |
x |
|
设置模块活动时间窗口 |
|
x |
x |
|
设置报警限制 |
|
x |
x |
|
设置规则参数 |
|
x |
x |
|
运行报警操作 |
|
x |
x |
|
运行专用命令 |
|
x |
x |
|
设置刷新间隔 |
|
x |
x |
|
手动触发刷新 |
x |
x |
x |
x |
启用或禁用历史日志记录 |
|
x |
x |
|
设置日志记录历史参数 |
|
x |
x |
|
确认、删除或修复事件 |
|
x |
x |
|
查看事件 |
x |
x |
x |
x |
在 Sun Management Center 软件中,上述各类用户之间存在相互包含的关系。这意味着具有 esadm 权限的用户可以执行具有 esops 权限的用户所能执行的任何操作。由于管理员可以更改默认权限,因此具有 esops 权限的用户也可以比具有 esadm 权限的用户执行更多的操作。包含关系意味着,软件中没有任何因素可以使 esops、esadm 和 esdomadm 其中之一比其他两者具有更大的权限。
有关如何覆盖默认权限的更多信息,请参见覆盖默认代理权限。
管理域由拓扑管理器操纵。本节将描述拓扑管理器、其他代理以及其他模块的默认权限。
拓扑管理器 |
默认权限 |
---|---|
管理员用户列表 |
|
操作员用户列表 |
|
一般用户列表 |
|
管理员 SNMP 团体列表 |
|
操作员 SNMP 团体列表 |
|
一般 SNMP 团体列表 |
public |
管理员组列表 |
esdomadm |
操作员组列表 |
esops |
一般组列表 |
ANYGROUP |
下表列出了不在拓扑管理器中的组件和模块的默认权限。
表 18–3 Sun Management Center 组件和模块的默认权限
组件和模块 |
默认权限 |
---|---|
管理员用户列表 |
|
操作员用户列表 |
|
一般用户列表 |
|
管理员组列表 |
esadm |
操作员组列表 |
esops |
一般组列表 |
ANYGROUP |
管理员 SNMP 团体列表 |
|
操作员 SNMP 团体列表 |
|
一般 SNMP 团体列表 |
public |
关键字 ANYGROUP 并不是真正的 UNIX 组,而是一个特殊的关键字,它表示可以登录 Sun Management Center 软件的所有用户都具有访问对象的一般权限。