Sun Management Center 安全性概念
Sun Management Center 軟體的安全性是根據 JavaTM 安全性類別和 SNMPv2usec (SNMP版本 2,以使用者為基礎的安全性模式) 安全性標準所建立。
-
只有有效的 Sun Management Center 使用者才可以使用此軟體。
-
此軟體可認證使用者和個別管理屬性的存取控制。
存取控制類別
-
管理員,類似 UNIX 中的超級使用者 (root)
-
操作員,執行和監視系統的操作員
-
一般使用者,類似只有唯讀檢視權限的訪客
若要瞭解 ACL 類別,必須先瞭解 Sun Management Center 軟體使用者和群組。下列章節將解釋使用者和群組。
Sun Management Center 使用者
Sun Management Center 使用者為伺服器主機上的有效 UNIX 使用者。因此,系統管理員必須將有效的使用者加入檔案 /var/opt/SUNWsymon/cfg/esusers。如果該檔案中沒有某個使用者名稱,則該使用者無法登入 Sun Management Center 軟體。
一般使用者
管理員必須新增所有需要登入 Sun Management Center 軟體的使用者之使用者 ID 清單。依據預設,此檔案中的所有使用者都有一般存取權限,除非使用者藉由使用賦予使用者 esadm、esops 或 esdomadm 權限中所述的程序被賦予其他權限。
esusers 檔案中的所有使用者皆為一般使用者。依預設,Sun Management Center 的一般使用者可以執行以下功能:
-
登入該軟體
-
檢視管理網域、主機及建立的模組
-
檢視事件
-
觸發手動重新顯示
-
執行 ad hoc 指令
-
圖形資料
Sun Management Center 超級使用者
Sun Management Center 超級使用者會自動屬於將在下列章節中說明的所有群組。Sun Management Center 超級使用者具有管理員權限,如Sun Management Center 管理員 (esadm)中所述。
Sun Management Center 群組
依預設,下列群組會在 Sun Management Center 伺服器設定期間建立於伺服器主機上:
此外,所有的 Sun Management Center 使用者均屬於一個稱為 ANYGROUP 的假設群組。
這些列示的群組必須在執行 Sun Management Center 伺服器層的機器上定義,並且不需要在其他機器上定義。隨後的章節將對這些群組進行更詳細的說明。
備註 –
這些列示的群組定義於 /etc/group 檔案中。
Sun Management Center 操作員 (esops)
屬於 esops 群組的 Sun Management Center 軟體使用者通常是操作員使用者。這些操作員可執行、監視並在一定範圍內配置管理系統上的參數。esops 可以執行作業,包括一些允許一般使用者執行的作業:
-
停用或啟用模組
-
設定警報限制
-
設定規則參數
-
執行警報動作
-
執行 ad hoc 指令
-
設定重新顯示間隔時間
-
認可、刪除或修復事件
-
啟用或停用歷程記錄
-
設定記錄歷程參數
Sun Management Center 管理員 (esadm)
屬於 esadm 群組的軟體使用者可以執行管理員作業。管理員作業是可由操作員使用者執行的作業超集合,如Sun Management Center 操作員 (esops)中所述。除操作員使用者 (esops) 可執行的所有作業之外,這些管理員使用者 (esadm) 還可以執行以下作業:
-
載入或卸載模組
-
設定 ACL 使用者和群組
-
檢視管理網域、主機或模組
Sun Management Center 網域管理員 ( esdomadm)
屬於 esdomadm 群組的使用者可以執行下列網域管理員作業:
-
建立管理網域
-
在管理網域內建立群組
-
新增物件至群組或管理網域
-
檢視管理網域、主機或模組
備註 –
除非另外配置,否則除以上列示的權限之外,屬於 esdomadm 的使用者只是一般使用者。
管理員、操作員及一般使用者功能
下表列出使用者預設可以執行的不同功能類型。給定儲存格中的標記表示指定的使用者可以執行所列示的功能。
此表格適用於所有模組。個別模組可能還會有特定的限制,這些限制皆在該模組的控制之下。
表 18–1 網域管理員、管理員、操作員及一般使用者功能|
功能 |
網域管理員 |
管理 |
操作員 |
一般 |
|---|---|---|---|---|
|
載入模組 |
|
x |
|
|
|
卸載模組 |
|
x |
|
|
|
建立管理網域 |
x |
|
|
|
|
在管理網域內建立群組 |
x |
|
|
|
|
新增物件至群組或管理網域 |
x |
|
|
|
|
檢視管理網域、主機或模組 |
x |
x |
x |
x |
|
設定 ACL 使用者或群組 |
|
x |
|
|
|
停用或啟用模組 |
|
x |
x |
|
|
設定模組作用中時間視窗 |
|
x |
x |
|
|
設定警報限制 |
|
x |
x |
|
|
設定規則參數 |
|
x |
x |
|
|
執行警報動作 |
|
x |
x |
|
|
執行 ad hoc 指令 |
|
x |
x |
|
|
設定重新顯示間隔時間 |
|
x |
x |
|
|
手動觸發重新顯示 |
x |
x |
x |
x |
|
啟用或停用歷程記錄 |
|
x |
x |
|
|
設定記錄歷程參數 |
|
x |
x |
|
|
認可、刪除或修復事件 |
|
x |
x |
|
|
檢視事件 |
x |
x |
x |
x |
在 Sun Management Center 軟體中,上述種類具有包容關係,意即擁有 esadm 權限的使用者,可以執行和擁有 esops 權限的使用者相同的作業。管理員可以變更預設的許可權,以便讓擁有 esops 權限的使用者可以執行比 esadm 使用者更多的作業。包容關係意味著,在此軟體中並沒有任何項目可以讓 esops、esadm 或 esdomadm 中的一個擁有比其他兩個群組更多的權限。
如需關於置換預設權限之方法的更多資訊,請參閱置換預設代理程式權限。
預設權限
管理網域由拓樸管理程式操控。本節介紹拓樸管理程式、其他代理程式以及其他模組的預設權限。
拓樸管理程式的預設權限
表 18–2 拓樸管理程式的預設權限|
拓樸管理程式 |
預設權限 |
|---|---|
|
管理員使用者清單 |
|
|
操作員使用者清單 |
|
|
一般使用者清單 |
|
|
管理員 SNMP 團體清單 |
|
|
操作員 SNMP 團體清單 |
|
|
一般使用者 SNMP 團體清單 |
public |
|
管理員群組清單 |
esdomadm |
|
操作員群組清單 |
esops |
|
一般使用者群組清單 |
ANYGROUP |
其他 Sun Management Center 元件及模組的預設權限
未在拓樸管理程式中的組件及模組之預設權限列示在以下表格中。
表 18–3 Sun Management Center 組件和模組的預設權限|
組件和模組 |
預設權限 |
|---|---|
|
管理員使用者清單 |
|
|
操作員使用者清單 |
|
|
一般使用者清單 |
|
|
管理員群組清單 |
esadm |
|
操作員群組清單 |
esops |
|
一般使用者群組清單 |
ANYGROUP |
|
管理員 SNMP 團體清單 |
|
|
操作員 SNMP 團體清單 |
|
|
一般使用者 SNMP 團體清單 |
public |
ANYGROUP 關鍵字並非指真正的 UNIX 群組,而是一個特別的關鍵字,它表示任何可登入 Sun Management Center 軟體的使用者均可取得物件的一般存取權限。
- © 2010, Oracle Corporation and/or its affiliates