访问控制定义和限制

esadm 组可以为用户和组指定以下组件的 ACL 特性：

• 管理域

• 管理域中的组

• 主机

• 模块(M)

管理员、操作员和一般访问

ACL 规范包括建立或定义一个或多个以下参数：

• 管理员用户和管理员组 – 可以执行管理员操作的用户和组的列表。默认情况下，这些用户是 esadm 或 esdomadm，这将视情况而定。

• 操作员用户和操作员组 – 可以执行操作员操作的用户和组的列表。默认情况下，这些用户是 esops。

• 一般用户和一般组 – 可以执行一般操作的用户和组的列表。默认情况下，此类别是一个称为 ANYGROUP 的虚拟组。

• 管理员团体 (SNMP) – 可以使用 SNMP 执行管理员操作的 SNMP 团体的列表。

• 操作员团体 (SNMP) – 可以使用 SNMP 执行操作员操作的 SNMP 团体的列表。

• 一般团体 (SNMP) – 可以使用 SNMP 执行一般操作的 SNMP 团体的列表。

Sun Management Center 远程服务器访问

用户可以访问并查看在远程 Sun Management Center 服务器上运行的会话的数据。当用户尝试访问此类信息时，该用户将作为具有只读权限的一般用户进行访问。在不同服务器上运行的 Sun Management Center 会话的操作将根据每个会话的服务器环境来定义。有关更多信息，请参见Sun Management Center 服务器环境和安全性。

作为用户，您可以出于各种原因来访问并设置不同的服务器环境：

• 使每个服务器环境都具有不同的用户和管理员，但仍然可以互相访问

• 允许元素之间存在物理分隔，例如在广域网 (WAN) 环境中

• 使多台主机可以由一套中央组件来处理，从而提高性能

通过链接到其它服务器环境，您可以查看该服务器环境中对象的顶级状态。

Sun Management Center 服务器环境和安全性

服务器环境包括一组 Sun Management Center 代理以及与代理连接的特定服务器层。服务器环境中的代理和主机共享一个中央组件集，这些组件如下所示：

• Sun Management Center 服务器

• 拓扑管理器

• 事件管理器

• 陷阱处理程序

• 配置管理器

每个 Sun Management Center 组件或代理在安装时均已经过配置，以便获得其陷阱处理程序和事件管理器的位置。Sun Management Center 软件通过陷阱处理程序和事件管理器的 IP 地址和端口地址来标识它们。要确定是否在自己的服务器环境中，您需要知道所访问服务器各自的 IP 地址和端口地址。不同的服务器环境具有不同的端口号。

远程服务器环境是指一个远程代理集合以及与远程代理关联的特定服务器层。

代理从服务器层接收安全性配置。此信息使代理可以鉴别发送到该代理的管理请求。然后，代理可以对请求的操作执行访问控制，作为该管理请求的一部分。

跨服务器的限制

当用户尝试跨服务器环境进行通信时，会有一些安全性方面的限制。

在当前的 Sun Management Center 环境中，您可以访问其他服务器中的信息，但有如下限制：

• 如果尝试访问远程服务器环境，该服务器将赋予您一般用户权限。因此，您可以对数据进行访问，但不能修改或使用该服务器中的对象。您被限制为只能查看远程服务器对象。

• 您可以作为一般用户查看其他环境中的数据，但不能执行控制操作，例如设置报警阈值或其他类似功能。

• 在远程服务器中，编辑功能会有所不同。例如，您可以在环境之间进行复制并粘贴，但不能进行剪切并粘贴。

控制台可能并没有明显表示出您正在访问其他服务器环境。要确定您是否正在访问其他服务器，可以在“细节”窗口的“信息”选项卡中检验一下该服务器的 IP 端口号或地址。