Sun Management Center 軟體的安全性是根據 JavaTM 安全性類別和 SNMPv2usec (SNMP版本 2,以使用者為基礎的安全性模式) 安全性標準所建立。
只有有效的 Sun Management Center 使用者才可以使用此軟體。
此軟體可認證使用者和個別管理屬性的存取控制。
管理員,類似 UNIX 中的超級使用者 (root)
操作員,執行和監視系統的操作員
一般使用者,類似只有唯讀檢視權限的訪客
若要瞭解 ACL 類別,必須先瞭解 Sun Management Center 軟體使用者和群組。下列章節將解釋使用者和群組。
Sun Management Center 使用者為伺服器主機上的有效 UNIX 使用者。因此,系統管理員必須將有效的使用者加入檔案 /var/opt/SUNWsymon/cfg/esusers。如果該檔案中沒有某個使用者名稱,則該使用者無法登入 Sun Management Center 軟體。
管理員必須新增所有需要登入 Sun Management Center 軟體的使用者之使用者 ID 清單。依據預設,此檔案中的所有使用者都有一般存取權限,除非使用者藉由使用賦予使用者 esadm、esops 或 esdomadm 權限中所述的程序被賦予其他權限。
esusers 檔案中的所有使用者皆為一般使用者。依預設,Sun Management Center 的一般使用者可以執行以下功能:
登入該軟體
檢視管理網域、主機及建立的模組
檢視事件
觸發手動重新顯示
執行 ad hoc 指令
圖形資料
Sun Management Center 超級使用者會自動屬於將在下列章節中說明的所有群組。Sun Management Center 超級使用者具有管理員權限,如Sun Management Center 管理員 (esadm)中所述。
依預設,下列群組會在 Sun Management Center 伺服器設定期間建立於伺服器主機上:
此外,所有的 Sun Management Center 使用者均屬於一個稱為 ANYGROUP 的假設群組。
這些列示的群組必須在執行 Sun Management Center 伺服器層的機器上定義,並且不需要在其他機器上定義。隨後的章節將對這些群組進行更詳細的說明。
這些列示的群組定義於 /etc/group 檔案中。
屬於 esops 群組的 Sun Management Center 軟體使用者通常是操作員使用者。這些操作員可執行、監視並在一定範圍內配置管理系統上的參數。esops 可以執行作業,包括一些允許一般使用者執行的作業:
停用或啟用模組
設定警報限制
設定規則參數
執行警報動作
執行 ad hoc 指令
設定重新顯示間隔時間
認可、刪除或修復事件
啟用或停用歷程記錄
設定記錄歷程參數
屬於 esadm 群組的軟體使用者可以執行管理員作業。管理員作業是可由操作員使用者執行的作業超集合,如Sun Management Center 操作員 (esops)中所述。除操作員使用者 (esops) 可執行的所有作業之外,這些管理員使用者 (esadm) 還可以執行以下作業:
載入或卸載模組
設定 ACL 使用者和群組
檢視管理網域、主機或模組
屬於 esdomadm 群組的使用者可以執行下列網域管理員作業:
建立管理網域
在管理網域內建立群組
新增物件至群組或管理網域
檢視管理網域、主機或模組
除非另外配置,否則除以上列示的權限之外,屬於 esdomadm 的使用者只是一般使用者。
下表列出使用者預設可以執行的不同功能類型。給定儲存格中的標記表示指定的使用者可以執行所列示的功能。
此表格適用於所有模組。個別模組可能還會有特定的限制,這些限制皆在該模組的控制之下。
表 18–1 網域管理員、管理員、操作員及一般使用者功能
功能 |
網域管理員 |
管理 |
操作員 |
一般 |
---|---|---|---|---|
載入模組 |
|
x |
|
|
卸載模組 |
|
x |
|
|
建立管理網域 |
x |
|
|
|
在管理網域內建立群組 |
x |
|
|
|
新增物件至群組或管理網域 |
x |
|
|
|
檢視管理網域、主機或模組 |
x |
x |
x |
x |
設定 ACL 使用者或群組 |
|
x |
|
|
停用或啟用模組 |
|
x |
x |
|
設定模組作用中時間視窗 |
|
x |
x |
|
設定警報限制 |
|
x |
x |
|
設定規則參數 |
|
x |
x |
|
執行警報動作 |
|
x |
x |
|
執行 ad hoc 指令 |
|
x |
x |
|
設定重新顯示間隔時間 |
|
x |
x |
|
手動觸發重新顯示 |
x |
x |
x |
x |
啟用或停用歷程記錄 |
|
x |
x |
|
設定記錄歷程參數 |
|
x |
x |
|
認可、刪除或修復事件 |
|
x |
x |
|
檢視事件 |
x |
x |
x |
x |
在 Sun Management Center 軟體中,上述種類具有包容關係,意即擁有 esadm 權限的使用者,可以執行和擁有 esops 權限的使用者相同的作業。管理員可以變更預設的許可權,以便讓擁有 esops 權限的使用者可以執行比 esadm 使用者更多的作業。包容關係意味著,在此軟體中並沒有任何項目可以讓 esops、esadm 或 esdomadm 中的一個擁有比其他兩個群組更多的權限。
如需關於置換預設權限之方法的更多資訊,請參閱置換預設代理程式權限。
管理網域由拓樸管理程式操控。本節介紹拓樸管理程式、其他代理程式以及其他模組的預設權限。
拓樸管理程式 |
預設權限 |
---|---|
管理員使用者清單 |
|
操作員使用者清單 |
|
一般使用者清單 |
|
管理員 SNMP 團體清單 |
|
操作員 SNMP 團體清單 |
|
一般使用者 SNMP 團體清單 |
public |
管理員群組清單 |
esdomadm |
操作員群組清單 |
esops |
一般使用者群組清單 |
ANYGROUP |
未在拓樸管理程式中的組件及模組之預設權限列示在以下表格中。
表 18–3 Sun Management Center 組件和模組的預設權限
組件和模組 |
預設權限 |
---|---|
管理員使用者清單 |
|
操作員使用者清單 |
|
一般使用者清單 |
|
管理員群組清單 |
esadm |
操作員群組清單 |
esops |
一般使用者群組清單 |
ANYGROUP |
管理員 SNMP 團體清單 |
|
操作員 SNMP 團體清單 |
|
一般使用者 SNMP 團體清單 |
public |
ANYGROUP 關鍵字並非指真正的 UNIX 群組,而是一個特別的關鍵字,它表示任何可登入 Sun Management Center 軟體的使用者均可取得物件的一般存取權限。