第 18 章 Sun Management Center 安全性
本章討論安全性功能、使用者和群組以及它們的權限。本章說明了下列主題:
Sun Management Center 安全性概念
Sun Management Center 軟體的安全性是根據 JavaTM 安全性類別和 SNMPv2usec (SNMP版本 2,以使用者為基礎的安全性模式) 安全性標準所建立。
-
只有有效的 Sun Management Center 使用者才可以使用此軟體。
-
此軟體可認證使用者和個別管理屬性的存取控制。
存取控制類別
-
管理員,類似 UNIX 中的超級使用者 (root)
-
操作員,執行和監視系統的操作員
-
一般使用者,類似只有唯讀檢視權限的訪客
若要瞭解 ACL 類別,必須先瞭解 Sun Management Center 軟體使用者和群組。下列章節將解釋使用者和群組。
Sun Management Center 使用者
Sun Management Center 使用者為伺服器主機上的有效 UNIX 使用者。因此,系統管理員必須將有效的使用者加入檔案 /var/opt/SUNWsymon/cfg/esusers。如果該檔案中沒有某個使用者名稱,則該使用者無法登入 Sun Management Center 軟體。
一般使用者
管理員必須新增所有需要登入 Sun Management Center 軟體的使用者之使用者 ID 清單。依據預設,此檔案中的所有使用者都有一般存取權限,除非使用者藉由使用賦予使用者 esadm、esops 或 esdomadm 權限中所述的程序被賦予其他權限。
esusers 檔案中的所有使用者皆為一般使用者。依預設,Sun Management Center 的一般使用者可以執行以下功能:
-
登入該軟體
-
檢視管理網域、主機及建立的模組
-
檢視事件
-
觸發手動重新顯示
-
執行 ad hoc 指令
-
圖形資料
Sun Management Center 超級使用者
Sun Management Center 超級使用者會自動屬於將在下列章節中說明的所有群組。Sun Management Center 超級使用者具有管理員權限,如Sun Management Center 管理員 (esadm)中所述。
Sun Management Center 群組
依預設,下列群組會在 Sun Management Center 伺服器設定期間建立於伺服器主機上:
此外,所有的 Sun Management Center 使用者均屬於一個稱為 ANYGROUP 的假設群組。
這些列示的群組必須在執行 Sun Management Center 伺服器層的機器上定義,並且不需要在其他機器上定義。隨後的章節將對這些群組進行更詳細的說明。
備註 –
這些列示的群組定義於 /etc/group 檔案中。
Sun Management Center 操作員 (esops)
屬於 esops 群組的 Sun Management Center 軟體使用者通常是操作員使用者。這些操作員可執行、監視並在一定範圍內配置管理系統上的參數。esops 可以執行作業,包括一些允許一般使用者執行的作業:
-
停用或啟用模組
-
設定警報限制
-
設定規則參數
-
執行警報動作
-
執行 ad hoc 指令
-
設定重新顯示間隔時間
-
認可、刪除或修復事件
-
啟用或停用歷程記錄
-
設定記錄歷程參數
Sun Management Center 管理員 (esadm)
屬於 esadm 群組的軟體使用者可以執行管理員作業。管理員作業是可由操作員使用者執行的作業超集合,如Sun Management Center 操作員 (esops)中所述。除操作員使用者 (esops) 可執行的所有作業之外,這些管理員使用者 (esadm) 還可以執行以下作業:
-
載入或卸載模組
-
設定 ACL 使用者和群組
-
檢視管理網域、主機或模組
Sun Management Center 網域管理員 ( esdomadm)
屬於 esdomadm 群組的使用者可以執行下列網域管理員作業:
-
建立管理網域
-
在管理網域內建立群組
-
新增物件至群組或管理網域
-
檢視管理網域、主機或模組
備註 –
除非另外配置,否則除以上列示的權限之外,屬於 esdomadm 的使用者只是一般使用者。
管理員、操作員及一般使用者功能
下表列出使用者預設可以執行的不同功能類型。給定儲存格中的標記表示指定的使用者可以執行所列示的功能。
此表格適用於所有模組。個別模組可能還會有特定的限制,這些限制皆在該模組的控制之下。
表 18–1 網域管理員、管理員、操作員及一般使用者功能|
功能 |
網域管理員 |
管理 |
操作員 |
一般 |
|---|---|---|---|---|
|
載入模組 |
|
x |
|
|
|
卸載模組 |
|
x |
|
|
|
建立管理網域 |
x |
|
|
|
|
在管理網域內建立群組 |
x |
|
|
|
|
新增物件至群組或管理網域 |
x |
|
|
|
|
檢視管理網域、主機或模組 |
x |
x |
x |
x |
|
設定 ACL 使用者或群組 |
|
x |
|
|
|
停用或啟用模組 |
|
x |
x |
|
|
設定模組作用中時間視窗 |
|
x |
x |
|
|
設定警報限制 |
|
x |
x |
|
|
設定規則參數 |
|
x |
x |
|
|
執行警報動作 |
|
x |
x |
|
|
執行 ad hoc 指令 |
|
x |
x |
|
|
設定重新顯示間隔時間 |
|
x |
x |
|
|
手動觸發重新顯示 |
x |
x |
x |
x |
|
啟用或停用歷程記錄 |
|
x |
x |
|
|
設定記錄歷程參數 |
|
x |
x |
|
|
認可、刪除或修復事件 |
|
x |
x |
|
|
檢視事件 |
x |
x |
x |
x |
在 Sun Management Center 軟體中,上述種類具有包容關係,意即擁有 esadm 權限的使用者,可以執行和擁有 esops 權限的使用者相同的作業。管理員可以變更預設的許可權,以便讓擁有 esops 權限的使用者可以執行比 esadm 使用者更多的作業。包容關係意味著,在此軟體中並沒有任何項目可以讓 esops、esadm 或 esdomadm 中的一個擁有比其他兩個群組更多的權限。
如需關於置換預設權限之方法的更多資訊,請參閱置換預設代理程式權限。
預設權限
管理網域由拓樸管理程式操控。本節介紹拓樸管理程式、其他代理程式以及其他模組的預設權限。
拓樸管理程式的預設權限
表 18–2 拓樸管理程式的預設權限|
拓樸管理程式 |
預設權限 |
|---|---|
|
管理員使用者清單 |
|
|
操作員使用者清單 |
|
|
一般使用者清單 |
|
|
管理員 SNMP 團體清單 |
|
|
操作員 SNMP 團體清單 |
|
|
一般使用者 SNMP 團體清單 |
public |
|
管理員群組清單 |
esdomadm |
|
操作員群組清單 |
esops |
|
一般使用者群組清單 |
ANYGROUP |
其他 Sun Management Center 元件及模組的預設權限
未在拓樸管理程式中的組件及模組之預設權限列示在以下表格中。
表 18–3 Sun Management Center 組件和模組的預設權限|
組件和模組 |
預設權限 |
|---|---|
|
管理員使用者清單 |
|
|
操作員使用者清單 |
|
|
一般使用者清單 |
|
|
管理員群組清單 |
esadm |
|
操作員群組清單 |
esops |
|
一般使用者群組清單 |
ANYGROUP |
|
管理員 SNMP 團體清單 |
|
|
操作員 SNMP 團體清單 |
|
|
一般使用者 SNMP 團體清單 |
public |
ANYGROUP 關鍵字並非指真正的 UNIX 群組,而是一個特別的關鍵字,它表示任何可登入 Sun Management Center 軟體的使用者均可取得物件的一般存取權限。
存取控制定義和限制
esadm 群組可以為下列元件的使用者和群組指定 ACL 功能:
-
管理網域
-
在管理網域內建立群組
-
主機
-
模組(M)
管理員、操作員及一般使用者存取
ACL 設定包含建立或定義以下一個或多個參數:
-
管理員使用者和管理員群組 – 可執行管理員作業的使用者和群組之清單。依據預設,這些使用者為 esadm 或 esdomadm (視情況而定)。
-
操作員使用者和操作員群組 – 可執行操作員作業的使用者和群組之清單。依據預設,這些使用者為 esops。
-
一般使用者和一般使用者群組 – 可執行一般作業的使用者和群組之清單。依預設,該類別即假設的稱為 ANYGROUP 的群組。
-
管理員團體 (SNMP) – 可執行使用 SNMP 的管理員作業之 SNMP 團體清單。
-
操作員團體 (SNMP) – 可執行使用 SNMP 的操作員作業之 SNMP 團體清單。
-
一般使用者團體 (SNMP) – 可執行使用 SNMP 的一般使用者作業之 SNMP 團體清單。
Sun Management Center 遠端伺服器存取
使用者可以經由在遠端Sun Management Center伺服器執行的階段作業存取並檢視資料。當使用者嘗試存取此類資訊時,該使用者將會取得具有唯讀權限的一般使用者存取權。執行於不同伺服器上的 Sun Management Center 階段作業之行為由每個階段作業的伺服器環境來定義。請參閱 Sun Management Center 伺服器環境和安全性以得知更多資訊。
作為使用者,您可以基於以下各種原因,存取和設定不同的伺服器環境:
-
為使每個伺服器環境可以具有不同的使用者和不同的管理員,且同時保持相互可存取
-
為支援元素之間的實體分隔,如同在廣域網路 (WAN) 環境中那樣
-
為透過讓許多主機由一組中央組件處理來提昇效能
透過連結至不同的伺服器環境,您可以檢視其他伺服器環境中的物件之最高層級的狀態。
Sun Management Center 伺服器環境和安全性
伺服器環境是Sun Management Center代理程式和代理程式連接之特定伺服器層的集合。伺服器環境中的代理程式和主機共用下列單一一組中央組件:
-
Sun Management Center 伺服器
-
拓樸管理程式
-
事件管理程式
-
陷阱處理程式
-
配置管理程式
每個Sun Management Center元件或代理程式在安裝時即已配置為知道其陷阱處理程式和事件管理程式的位置。Sun Management Center 軟體會根據 IP 位址和連接埠位址來識別陷阱處理程式和事件管理程式。若要確定您是否在您的伺服器環境中,您需要瞭解您所存取的各伺服器之 IP 位址和連接埠位址。不同的伺服器環境具有不同的連接埠號。
遠端伺服器環境是指遠端代理程式及與遠端代理程式相關聯的特定伺服器層的集合。
代理程式可從伺服器層接收安全性配置。此資訊可讓代理程式認證傳送給它的管理請求。之後,代理程式可以對所請求的作業(部份管理請求)執行存取控制。
跨伺服器情況下的限制
使用者嘗試跨伺服器環境進行通訊時,應套用某些安全性限制。
在目前的Sun Management Center環境中,您可以存取其他伺服器的資訊,但會有一些限制:
-
如果嘗試存取遠端伺服器環境,則伺服器會賦予您一般使用者存取權限。因此,您可以存取不同伺服器中的資料,但無法修改或使用其中的物件。您被限制為只能檢視遠端伺服器物件。
-
遠端伺服器中各編輯功能的作業方式不相同。例如,您可以在環境之間進行複製和貼上,但無法在環境之間剪下和貼上。
備註 –
在主控台中,是否正在存取其他伺服器環境可能並不明顯。若要識別您是否正在存取其他的伺服器,可檢查 [細節]視窗之 [資訊]標籤中的伺服器 IP 連接埠號或位址。
使用存取控制
新增 Sun Management Center 使用者的步驟
步驟
-
成為 Sun Management Center 伺服器主機上的超級使用者。
% su -
-
編輯 /var/opt/SUNWsymon/cfg/esusers 檔案。
-
在新的文字行加入使用者名稱。
確認該使用者名稱為有效的 UNIX 使用者名稱。
-
儲存檔案並離飭s輯器。
新增至使用者清單的使用者擁有預設的權限。請參閱預設權限和置換預設代理程式權限以得知更多資訊。
控制存取模組
步驟
-
以下列任一方式存取屬性編輯器:
-
在選取的物件上按一下滑鼠按鈕 3,並從快顯功能表中選擇 [屬性編輯器]。
-
在主控台視窗中,自 [工具]功能表中選擇 [屬性編輯器]。
會顯示屬性編輯器。除 [取消]和 [說明]按鈕之外,視窗底端的按鈕皆處於非作用中。這些按鈕會在修改視窗中的任一欄位之後變更為作用中。
-
-
在 [屬性編輯器]視窗中,選擇 [安全性]標籤。
-
依需要變更值。
以下清單說明了各欄位中的資料,並提供了範例值。
- 管理員使用者
-
使用者清單。jim 是一位可執行管理員作業的使用者。
- 操作員使用者
-
操作員清單。john 及其他使用者為可執行操作員作業的使用者。請注意,請以一個或多個空格來分隔這些使用者的項目。
- 一般使用者
-
一般使用者清單。nick 和 richie 是可以執行一般作業的使用者。
- 管理員群組
-
所有屬於管理員群組的使用者都可以執行管理員作業。依據預設,這些使用者為 esadm 或 esdomadm (視情況而定)。
- 操作員群組
-
所有屬於 esops 的使用者都可以執行操作員作業。
- 一般使用者群組
-
ANYGROUP 是假設的群組,可以執行一般使用者作業。所有 Sun Management Center 使用者都屬於此假設群組。
- 管理員社群
-
此欄位為空,表示沒有 SNMP 團體可以執行使用 SNMP 的管理員作業。
- 操作員社群
-
此欄位為空,表示沒有 SNMP 團體可以執行使用 SNMP 的操作員作業。
- 一般使用者社群
-
依預設,public 為可執行使用 SNMP 之一般使用者作業的 SNMP 團體。
請在多個項目之間使用空格或逗號,如「使用者」之下的「操作員」之項目中所述。
如需關於安全性權限的更多資訊,請參閱存取控制類別。
在 ACL 中新增使用者定義的群組
步驟
-
成為 Sun Management Center 伺服器主機上的超級使用者。
-
使用 groupadd 指令建立群組。
# /usr/sbin/groupadd groupname
-
新增使用者至新建立的群組。
-
將此新群組加入 ACL。
請參閱控制存取模組以得知更多資訊。
賦予使用者 esadm、esops 或 esdomadm 權限
步驟
-
成為 Sun Management Center 伺服器主機上的超級使用者。
-
若有需要,請新增使用者名稱到 /var/opt/SUNWsymon/cfg/esusers 檔案。
-
在 /etc/group 檔案中,將使用者加入下列行中適當的一行︰esadm、 esops 或 esdomadm。
-
儲存檔案並結束編輯器。
刪除 Sun Management Center 使用者
步驟
-
成為 Sun Management Center 伺服器主機上的超級使用者。
-
在 /var/opt/SUNWsymon/cfg/esusers 中,刪除對應於您要刪除之使用者名稱的文字行。
-
儲存檔案並結束編輯器。
-
從 Sun Management Center 群組中刪除此使用者名稱。
備註 –從 Sun Management Center 使用者清單中刪除某使用者之後,該使用者將無法再登入 Sun Management Center 伺服器。請確定從所有 ACL 中刪除該使用者。
置換預設代理程式權限
在 Sun Management Center 軟體中,只有管理員可以使用屬性編輯器來修改特定物件的 ACL 清單,以置換預設權限。
步驟
-
存取您要變更其權限的特定管理物件之屬性編輯器。
-
若要檢視和變更安全性資訊,請按一下 [屬性編輯器]視窗中的 [安全性]標籤。
-
依需要變更資訊。
-
若要套用所作安全性變更並關閉 [屬性編輯器]視窗,請按一下 [確定]。
若要保持 [屬性編輯視窗]為開啟狀態並套用安全性變更,請按一下 [套用]。
SNMP 加密 (私密性)
Sun Management Center支援伺服器和Sun Management Center代理程式元件之間的 SNMP 通訊加密。SNMP 加密支援使用 CBC-DES 對稱式加密演算法。
您可以使用 es-config 程序檔在 Sun Management Center 伺服器上啟用 SNMP 加密。使用此程序檔,您可以開啟或關閉自動協商功能。如需詳細資訊,請參閱啟用 SNMP 加密。
在 Solaris 9 或更舊版本上加密
在執行 Solaris 9 或更舊版本的系統上,加密是基於套裝模組 SUNWcry。
請注意下列執行 Solaris 9 之系統的情況:
-
在 Sun Management Center 伺服器和代理程式主機兩者上的加密是依 SUNWcry 套裝模組而定,該套裝模組包含 /usr/lib/libcrypt_d.so 加密程式庫。您必須單獨安裝此套裝軟體。
-
即使安裝了 SUNWcry,Sun Management Center 3.5 與舊版伺服器和代理程式也不支援 SNMP 加密。
-
如果系統偵測到 SUNWcry 套裝軟體,則在代理程式或伺服器安裝過程中會自動配置 SNMP 加密支援。
在 Solaris 10 上的加密
在執行 Solaris 10 的系統上,加密是基於「公開金鑰密碼標準格式」(PKCS#11)。
PKCS#11 會指定一個 API (即 Cryptoki) 到持有密碼資訊的裝置並執行加密功能。如需關於 RSA 定義 PKCS#11 的更多資訊,請至 http://www.rsasecurity.com/rsalabs。
請注意下列執行 Solaris 10 之系統的情況:
-
在 Sun Management Center 伺服器和代理程式主機兩者上的加密是依 SUNWcsl 套裝模組而定,該套裝模組包含 /usr/lib/libpkcs11.so 加密程式庫。此套裝模組會依預設安裝。
-
即使安裝了 SUNWcsl,Sun Management Center 3.5 與舊版伺服器和代理程式也不支援 SNMP 加密。
-
如果系統偵測到 SUNWcsl 套裝模組,則在代理程式或伺服器安裝過程中會自動配置 SNMP 加密支援。
在 Linux 上加密
在執行 Linux 的系統上,加密是基於「公開金鑰密碼標準格式」(PKCS#11)。
SNMP 加密是依 PKCS11_API.so 加密程式庫為主。此程式庫並非預設安裝。您必須在 /usr/lib/pkcs11 中提供此程式庫並啟用 pkcs_slot 常駐程式來啟用加密。
自動協商功能
支援加密的Sun Management Center 3.6 伺服器可以設置為動態支援代理程式,而不論這些代理程式是否支援加密。此功能稱為自動協商,並可設定為開啟或關閉。
如果將自動協商功能設定為關閉,您要確定啟動與代理程式的通訊時,該伺服器始終會使用加密。具有嚴格安全策略的環境可能更偏好此設定。如果將自動協商功能設定為關閉︰
-
如果代理程式支援加密,則該代理程式會理解加密的 SNMP 訊息。
-
如果代理程式不支援加密,則該代理程式不會理解加密訊息。這樣一來,將發生逾時,並且會顯示主控台訊息「代理程式未回應」。逾時將記錄在代理程式記錄中。
如果將自動協商功能設定為開啟,則僅當代理程式支援加密時,伺服器才加密它與該代理程式的 SNMP 通訊。因此,會發生下列事件之一︰
-
如果代理程式支援加密,則該代理程式會理解加密的 SNMP 訊息。
-
如果代理程式不支援加密,則僅會認證 SNMP 訊息,而不會進行加密。
啟用 SNMP 加密
若要找到 SNMP 加密的目前狀態,請執行 es-config 指令而不需搭配任何引數。
為伺服器安裝啟動 SNMP 加密
步驟
-
檢查是否已安裝套裝模組。
-
(在執行 Solaris 9 或更舊版本的系統) 輸入以下指令確認 SUNWcry 套裝模組 (其包含 /usr/lib/libcrypt_d.so 加密程式庫) 已安裝在系統上:
% pkginfo | grep SUNWcry
如果已安裝該套裝軟體,則系統會顯示︰
application SUNWcry
備註 –SUNWcry 套裝軟體是 Solaris 加密工具組的一部分。若要取得 Solaris 加密工具組,請洽詢您的 Sun 銷售代表。如需有關管理安全系統的重要資訊,請參閱您的 Solaris 系統管理說明文件。
-
(在執行 Solaris 10 的系統) 輸入以下指令確認 SUNWcsl 套裝模組 (其包含 /usr/lib/libpkcs11.so 加密程式庫) 已安裝在系統上:
% pkginfo | grep SUNWcsl
如果已安裝該套裝軟體,則系統會顯示︰
application SUNWcsl
-
(在執行 Linux 的系統) 確認您在 /usr/lib/pkcs11 提供 PKCS11_API.so 加密程式庫並啟用 pkcs_slot 常駐程式。
-
-
以超級使用者的身份從伺服器主機輸入下列指令:
# es-config -r
系統會偵測是否有適當的套裝模組存在,並自動停止所有 Sun Management Center 元件。隨後,程序檔會要求提供安全性種子。
-
鍵入安全性種子。
程序檔會要求提供 SNMPv1 團體字串。
-
在詢問您是否要初始加密社群時,輸入 y 初始加密社群,或輸入 n 拒絕。
-
在詢問您是否要啟用自動協商功能時,輸入 y 啟用,或者輸入 n 拒絕。
如需自動協商功能的詳細資訊,請參閱自動協商功能。
SNMP 通訊
Sun Management Center 代理程式可以與使用 SNMPv1、SNMPv2c 和 SNMPv2usec 的伺服器進行通訊。這些通訊會依預設啟用。您可以編輯 domain-config.x 檔案來停用 SNMPv1 和 SNMPv2c 通訊。但是,您無法停用 SNMPv2usec 通訊。
停用 SNMPv1 通訊
步驟
-
成為 Sun Management Center 代理程式的超級使用者。
% su -
-
開啟 /var/opt/SUNWsymon/cfg/domain-config.x 檔案。
-
在檔案中加入下列各行:
agent = { agentServer = "agentHostName" snmpPort = "161" SNMPv1 = off }其中 agentHostName 是安裝代理程式的主機名稱。
停用 SNMPv2c 通訊
步驟
-
成為 Sun Management Center 代理程式的超級使用者。
% su -
-
開啟 /var/opt/SUNWsymon/cfg/domain-config.x 檔案。
-
在檔案中加入下列各行:
agent = { agentServer = "agentHostName" snmpPort = "161" SNMPv2c = off }其中 agentHostName 是安裝代理程式的主機名稱。
SNMPv3
SNMPv3 是業界通用的標準協定,引進可用來克服 SNMPv2usec 的限制。就架構而言,由 SNMP 版本 3 使用者安全性模式 (SNMPv3 usm) 產生的 SNMP 訊息比 SNMPv2usec 產生的訊息更為嚴謹。
Sun Management Center 3.6 軟體支援 SNMPv3。SNMPv3 可讓 Sun Management Center 代理程式更安全地與第三方管理應用程式進行通訊。
- © 2010, Oracle Corporation and/or its affiliates