在设置 Sun Management Center 用户和用户组之前,您应当了解可以执行的管理操作的类型,以便将这些操作分配给适当的用户。认真规划用户组和角色,有助于确保配置管理的正确性,以及管理信息和系统资源的数据完整性和安全性。
如果事先不在主访问文件 /var/opt/SUNWsymon/cfg/esusers 中明确标识用户,该用户就不能访问 Sun Management Center。因此要授予用户访问 Sun Management Center 的权限,就必须在 /var/opt/SUNWsymon/cfg/esusers 文件中添加该用户的用户名。然后,该用户才能使用用户名和密码登录 Sun Management Center。
用户登录时,Sun Management Center 使用基于 PAM 的身份验证对用户进行验证。Sun Management Center 基于以下功能角色控制访问以及定义用户权限:
域管理员 – 该角色的级别最高,允许成员在服务器环境中创建顶层域,并为其他 Sun Management Center 用户分配其在这些域中的权限。通过创建特定的域并为这些域分配用户权限,域管理员可以为特定的拓扑环境创建自定义的配置。如果用户是 esdomadm UNIX 用户组的成员,则认为该用户是域管理员。
管理员 – 负责管理拓扑系统之外的所有操作。管理员可以执行特权操作,包括加载模块以及配置被管理的对象和数据属性。管理员还可以指定代理级和模块级的访问控制。这种控制使得此角色能够在授权策略的建立和维护方面发挥作用。如果用户是 esadm UNIX 用户组的成员,则认为该用户是管理员。
操作员 – 该角色允许系统用户配置自己的域和拓扑容器。此外,操作员角色还允许用户配置与数据采集和报警相关的被管理对象,以及查看管理信息。虽然操作员能够启用或禁用管理模块,但是在缺省情况下,他们不能加载模块或更改访问控制权限。因此,操作员代表的这类用户可以有效地使用产品并对其操作进行细微的调整,但是不能影响主要的配置或体系结构更改。如果用户是 esops UNIX 用户组的成员,则认为该用户是操作员。
一般用户 – 此角色代表没有明确归为以上三个用户组的用户。授予一般用户的权限很少。在默认情况下,这些用户只能查看管理信息并确认报警。一般用户角色较适于第一层支持。在该层支持中,主要目标是问题的标识、重新调解和逐步提升。
在大型组织中,Sun Management Center 安全性角色很可能直接对应到现有的系统管理和支持等职能。而对于其他组织,企业功能和产品角色之间的对应关系可能比较模糊,因此该过程会相对复杂一些。在有些情况下,为单个用户分配所有的逻辑角色可能会比较保险。
权限的规定十分灵活,不必局限于这四种 Sun Management Center 安全性角色。
可以在域级、拓扑容器级、代理级和模块级明确指定 Sun Management Center 权限。规定权限时可以引用任意的 UNIX 用户或用户组,上述各组仅为习惯用法。分配职能角色时,Sun Management Center 权限组允许使用现有的帐户配置。虽然建议不要在分配权限时明确指定用户,但是在已建立了 UNIX 组的环境中使用这些 UNIX 组将十分方便。
有关安全性角色、组和用户的详细信息,请参见设置用户以及《Sun Management Center 3.6.1 用户指南》中的第 18 章 “Sun Management Center 安全性”。