安全性建议

本节提供有关 Sun Management Center 访问、服务器和代理组件以及安全密钥的安全性建议。

用户、组和角色概述

在设置 Sun Management Center 用户和用户组之前，您应当了解可以执行的管理操作的类型，以便将这些操作分配给适当的用户。认真规划用户组和角色，有助于确保配置管理的正确性，以及管理信息和系统资源的数据完整性和安全性。

如果不先在主访问文件 /var/opt/SUNWsymon/cfg/esusers 中明确标识用户，那么该用户就不能访问 Sun Management Center。因此要授予用户访问 Sun Management Center 的权限，就必须在 /var/opt/SUNWsymon/cfg/esusers 文件中添加该用户的 UNIX 用户名。然后，用户才能使用标准的 UNIX 用户名和口令登录 Sun Management Center。

用户登录时，Sun Management Center 将根据以下职能角色来控制访问和定义用户权限：

• 域管理员 – 此角色级别最高，允许其成员在服务器环境中创建顶级域，并为这些域中的其他 Sun Management Center 用户分配权限。通过创建特定的域并为这些域分配用户权限，域管理员可以为特定的拓扑环境创建自定义的配置。如果用户是 esdomadm UNIX 用户组的成员，则认为该用户是域管理员。

• 管理员 – 此角色是拓扑系统以外的所有操作的管理角色。管理员可以执行特权操作，包括加载模块以及配置被管理的对象和数据属性。管理员还可以指定代理级和模块级的访问控制。这种控制使得此角色能够在授权策略的建立和维护方面发挥作用。如果用户是 esadm UNIX 用户组的成员，则认为该用户是管理员。

• 操作员 – 此角色允许系统用户配置自己的域和拓扑容器。操作员角色还允许用户配置与数据获得和警报相关的被管理对象，以及查看管理信息。虽然操作员能够启用或禁用管理模块，但是在缺省情况下，他们不能加载模块或更改访问控制权限。因此，操作员代表的这类用户可以有效地使用产品并对其操作进行细微的调整，但是不能影响主要的配置或体系结构更改。如果用户是 esops UNIX 用户组的成员，则认为该用户是操作员。

• 一般用户 – 此角色代表不明确属于以上三种用户组的用户。授予一般用户的权限很少，缺省情况下，他们只能查看管理信息和确认警报。此类用户角色适用于初级支持，这一级别的主要目标是问题识别、补救和升级。

在大型组织中，Sun Management Center 安全性角色很可能直接对应到现有的系统管理和支持等职能。而对于其他组织，企业功能和产品角色之间的对应关系可能比较模糊，因此该过程会相对复杂一些。在有些情况下，为单个用户分配所有的逻辑角色可能会比较保险。

权限的规定十分灵活，不必局限于这四种 Sun Management Center 安全性角色。

可以在域级、拓扑容器级、代理级和模块级明确指定 Sun Management Center 权限。规定权限时可以引用任意的 UNIX 用户或用户组，上述各组仅为习惯用法。分配职能角色时，Sun Management Center 权限组允许使用现有的帐户配置。虽然建议不要在分配权限时明确指定用户，但是在已建立了 UNIX 组的环境中使用这些 UNIX 组将十分方便。

有关安全性角色、组和用户的详细信息，请参见设置用户和“Sun Management Center 安全性” in Sun Management Center 3.5。

Sun Management Center 内部安全性

本节介绍 Sun Management Center 组件之间所使用的安全设置过程。

服务器到代理的安全性

Sun Management Center 服务器与其被管理节点之间的通信主要是通过行业标准的简单网络管理协议第 2 版来执行的，采用的是用户安全模式 SNMP v2usec。SNMPv2 机制非常适合用于将用户凭据从服务器层映射到代理方操作，它是确保访问控制策略得以实施的主要机制。

Sun Management Center 也支持基于团体安全性的 SNMP v1 和 v2。虽然从安全性的角度来看不够可靠，但是支持 SNMP v1 和 v2 对于与其它设备和管理平台集成非常重要。在不需要使用这些机制的环境中，通过使用 SNMP v1 和 v2 协议，访问控制规定机制可用来限制或禁止对进程的访问。

对于需要使用数据流的自定义操作，还应该采用探测机制。探测机制是由 SNMP 操作启动的。在启动探测机制时，探测操作使用流式 TCP 连接，在被管理的节点上实现可能发生的双向交互服务，例如查看日志文件。由于探测机制使用的是 SNMP 通信，因此不对数据包有效负载进行加密。

跨服务器环境的安全性

当 Sun Management Center 与本地服务器环境以外的被管理节点进行通信时，安全模式可以确保操作作为通用的 espublic SNMPv2 usec 用户执行。使用 espublic 将严格限制用户权限，并使用户只能读取管理数据。

客户机到服务器的安全性

Sun Management Center 服务器层和客户机（如控制台和命令行界面）之间的通信是使用 Java 技术远程方法调用 (RMI) 以及特定于产品的安全模式共同执行的。安全模式允许客户机在低、中或高安全模式下进行操作，这些模式将影响执行的信息鉴别级别。

• 低：无信息鉴别。登录时仅检查用户口令。

• 中（缺省）：只进行控制台到服务器的鉴别。例如，对接收的控制台信息进行服务器鉴别。

• 高：对信息进行控制台和服务器鉴别。

由于较高的安全性级别会造成潜在的性能影响，所以您应该仔细考虑自己的信息鉴别要求。

安全密钥和 SNMP 团体字符串

当您在单独的计算机上安装并设置 Sun Management Center 代理时，将提示您提供口令，用于生成代理的安全密钥。这个口令应当与设置 Sun Management Center 服务器时指定的口令相同。如果 Sun Management Center 服务器和代理的安全密钥不同，则两者之间将无法通信。有关如何重新生成安全密钥的信息，请参见重新生成安全密钥。

在设置过程中，还将提示您接受缺省的 SNMP 团体字符串（公用），或者指定一个私用的团体字符串。SNMP 团体字符串实际上就是具有特权的内部帐户的口令，因此，在与通用的 SNMPv2 usec 工具一起使用时，该字符串可用于模拟服务器层。由于这个原因，请勿使用缺省的团体字符串，而应该为每个服务器环境指定一个单独的私用团体字符串。

应该象对待超级用户口令那样，非常重视安全性口令和 SNMP 团体字符串。