Introduction aux règles de sécurité N1 System Manager relatives aux utilisateurs
N1 System Manager intègre un système de comptes utilisateurs permettant un accès basé sur le rôle des utilisateurs à ses principales fonctionnalités (commandes et zones de l'interface de navigateur) via un ensemble de privilèges prédéfinis. Un privilège est une fonction d'administration prédéfinie de N1 System Manager, telle que l'installation de distributions de SE ou la suppression de tâches. Un rôle est un ensemble de privilèges auxquels un utilisateur a accès. N1 System Manager utilise trois rôles par défaut, mais vous pouvez créer des rôles personnalisés en fonction des besoins de votre installation.
Le tableau suivant fournit la liste des rôles par défaut disponibles dans N1 System Manager. Ces rôles ne peuvent pas être modifiés.
Tableau 3–1 Rôles N1 System Manager par défaut|
Rôle |
Privilèges |
Description |
|---|---|---|
|
Admin |
Tous les privilèges, excepté les privilèges SecurityAdmin |
Ce rôle bénéficie de tous les privilèges disponibles dans N1 System Manager, à l'exception de ceux spécifiques à la gestion des rôles, qui sont réservés au rôle SecurityAdmin. |
|
ReadOnly |
Tous les privilèges de lecture (*Read), excepté les privilèges SecurityAdmin |
Ce rôle autorise l'utilisateur à consulter uniquement les informations d'état (en lecture seule) relatives à N1 System Manager. |
|
SecurityAdmin |
RoleRead, RoleWrite, UserRead , UserWrite, PrivilegeRead |
Seul ce rôle bénéficie des privilèges requis pour les opérations de gestion des rôles, telles que la création de rôles, l'ajout de privilèges aux rôles et l'assignation de rôles aux utilisateurs. |
Lorsque vous installez le logiciel Sun N1 System Manager, le superutilisateur du serveur de gestion (root) se voit automatiquement assigner les trois rôles N1 System Manager par défaut, le rôle Admin étant configuré par défaut.
Les utilisateurs auxquels est assigné le rôle SecurityAdmin (les administrateurs de sécurité) sont autorisés à créer de nouveaux rôles en fonction des besoins de leur organisation, ce qui inclut l'ajout d'un ou plusieurs privilèges à ces rôles. Ils peuvent également assigner des rôles aux utilisateurs.
Par exemple, il peut arriver qu'il soit nécessaire de limiter certains utilisateurs à la gestion des mises à jour de SE sur les serveurs de déploiement. Dans ce cas, un administrateur de sécurité peut créer un rôle, appelé OSUpdateAdmin, et lui assigner les privilèges suivants : GroupRead, JobRead, LogRead, ServerDeployUpdate, ServerRead, UpdateRead et UpdateWrite. Reportez-vous au Tableau 3–2 pour une description détaillée des privilèges. Ensuite, l'administrateur de sécurité doit assigner ce rôle aux utilisateurs concernés. Si OSUpdateAdmin est le seul rôle assigné aux utilisateurs, ces derniers ne pourront pas accéder aux autres fonctionnalités de N1 System Manager, à l'exception de la fonction de gestion des mises à jour de SE.
Remarque –
Les utilisateurs, autres que le superutilisateur, ayant uniquement le rôle SecurityAdmin ne sont pas autorisés à étendre leurs privilèges, que ce soit par l'ajout de nouveaux privilèges au rôle SecurityAdmin non modifiable ou par l'ajout de nouveaux privilèges à leur propre compte utilisateur. Reportez-vous à la section Règles relatives à l'administrateur de sécurité pour de plus amples détails à ce sujet.
Le tableau ci-dessous dresse la liste des privilèges prédéfinis pouvant être assignés aux rôles. Une version abrégée de cette liste peut être affichée à l'aide de la commande show privilege.
Tableau 3–2 Privilèges N1 System Manager|
Privilège |
Description |
Commandes |
|---|---|---|
|
Discover |
Détection des serveurs |
discover |
|
FirmwareRead |
Affichage des mises à jour de microprogramme |
show firmware |
|
FirmwareWrite |
Gestion des mises à jour de microprogramme |
create firmware delete firmware set firmware |
|
GroupRead |
Affichage des groupes de serveurs |
show group |
|
GroupWrite |
Gestion des groupes de serveurs |
create group delete group add group remove group set group |
|
JobRead |
Affichage des tâches |
show job |
|
JobWrite |
Suppression ou arrêt des tâches |
delete job stop job |
|
LogRead |
Affichage du journal d'événements |
show log |
|
NotificationRuleRead |
Affichage des règles de notification |
show notification |
|
NotificationRuleWrite |
Gestion des règles de notification |
create notification delete notification set notification start notification stop notification |
|
NotificationRuleTest |
Test d'une règle de notification |
set notification notification test |
|
OSProfileRead |
Affichage des profils de SE |
show osprofile |
|
OSProfileWrite |
Gestion des profils de SE |
add osprofile remove osprofile create osprofile delete osprofile set osprofile |
|
OSRead |
Affichage des distributions de SE |
show os |
|
OSWrite |
Gestion des distributions de SE |
create os delete os set os |
|
PrivilegeRead |
Affichage des privilèges |
show privilege |
|
RoleRead |
Affichage des rôles |
show role |
|
RoleWrite |
Gestion des rôles |
create role delete role add role remove role set role |
|
ServerBoot |
Redémarrage des serveurs |
reset group reset server |
|
ServerDeployFirmware |
Installation des microprogrammes sur les serveurs |
load server serveur firmware load group groupe firmware |
|
ServerDeployOS |
Installation de systèmes d'exploitation sur les serveurs |
load server serveur osprofile load group groupe osprofile |
|
ServerDeployUpdate |
Installation ou désinstallation de mises à jour de SE sur les serveurs |
load server serveur update load group groupe update unload server serveur update unload group groupe update |
|
ServerExecute |
Exécution des commandes sur les serveurs |
start server serveur command start group groupe command |
|
ServerPower |
Mise sous et hors tension des serveurs |
stop group stop server start group start server |
|
ServerRead |
Affichage et actualisation des serveurs |
show server set group groupe refresh set server serveur refresh |
|
ServerWrite |
Gestion des serveurs et des agents de gestion |
set server delete server |
|
UpdateRead |
Affichage des mises à jour de SE |
show update |
|
UpdateWrite |
Ajout et suppression des mises à jour de SE |
create update delete update |
|
UserRead |
Affichage des utilisateurs |
show user |
|
UserWrite |
Gestion des utilisateurs |
create user delete user add user remove user set user |
Règles relatives à l'administrateur de sécurité
Il est possible de configurer de façon sécurisée un utilisateur N1 System Manager autre que le superutilisateur pour qu'il dispose des privilèges d'administrateur de sécurité en lui assignant uniquement le rôle SecurityAdmin. Dans ce cas, il ne peut pas étendre ses privilèges, que ce soit par l'ajout de nouveaux privilèges au rôle SecurityAdmin (qui ne peut pas être modifié) ou par l'ajout de nouveaux rôles à son compte utilisateur.
Il n'est pas possible de configurer le superutilisateur (root) de façon à lui assigner uniquement les privilèges d'administrateur de sécurité, car le superutilisateur est autorisé à étendre les privilèges du compte root en lui assignant de nouveaux rôles.
De même, un utilisateur ne peut pas disposer uniquement des privilèges associés à l'administrateur de sécurité si le rôle SecurityAdmin et un autre rôle personnalisé lui sont déjà assignés. Ces utilisateurs pourraient en effet utiliser leurs privilèges SecurityAdmin pour ajouter des privilèges à leur rôle personnalisé et ainsi étendre leurs privilèges.
- © 2010, Oracle Corporation and/or its affiliates