用户、组和角色概述

在设置 Sun Management Center 用户和用户组之前，您应当了解可以执行的管理操作的类型，以便将这些操作分配给适当的用户。认真规划用户组和角色，有助于确保配置管理的正确性，以及管理信息和系统资源的数据完整性和安全性。

如果不先在主访问文件 /var/opt/SUNWsymon/cfg/esusers 中明确标识用户，那么该用户就不能访问 Sun Management Center。因此要授予用户访问 Sun Management Center 的权限，就必须在 /var/opt/SUNWsymon/cfg/esusers 文件中添加该用户的 UNIX 用户名。然后，用户才能使用标准的 UNIX 用户名和口令登录 Sun Management Center。

用户登录时，Sun Management Center 将根据以下职能角色来控制访问和定义用户权限：

• 域管理员 – 此角色级别最高，允许其成员在服务器环境中创建顶级域，并为这些域中的其他 Sun Management Center 用户分配权限。通过创建特定的域并为这些域分配用户权限，域管理员可以为特定的拓扑环境创建自定义的配置。如果用户是 esdomadm UNIX 用户组的成员，则认为该用户是域管理员。

• 管理员 – 此角色是拓扑系统以外的所有操作的管理角色。管理员可以执行特权操作，包括加载模块以及配置被管理的对象和数据属性。管理员还可以指定代理级和模块级的访问控制。这种控制使得此角色能够在授权策略的建立和维护方面发挥作用。如果用户是 esadm UNIX 用户组的成员，则认为该用户是管理员。

• 操作员 – 此角色允许系统用户配置自己的域和拓扑容器。操作员角色还允许用户配置与数据获得和警报相关的被管理对象，以及查看管理信息。虽然操作员能够启用或禁用管理模块，但是在缺省情况下，他们不能加载模块或更改访问控制权限。因此，操作员代表的这类用户可以有效地使用产品并对其操作进行细微的调整，但是不能影响主要的配置或体系结构更改。如果用户是 esops UNIX 用户组的成员，则认为该用户是操作员。

• 一般用户 – 此角色代表不明确属于以上三种用户组的用户。授予一般用户的权限很少，缺省情况下，他们只能查看管理信息和确认警报。此类用户角色适用于初级支持，这一级别的主要目标是问题识别、补救和升级。

在大型组织中，Sun Management Center 安全性角色很可能直接对应到现有的系统管理和支持等职能。而对于其他组织，企业功能和产品角色之间的对应关系可能比较模糊，因此该过程会相对复杂一些。在有些情况下，为单个用户分配所有的逻辑角色可能会比较保险。

权限的规定十分灵活，不必局限于这四种 Sun Management Center 安全性角色。

可以在域级、拓扑容器级、代理级和模块级明确指定 Sun Management Center 权限。规定权限时可以引用任意的 UNIX 用户或用户组，上述各组仅为习惯用法。分配职能角色时，Sun Management Center 权限组允许使用现有的帐户配置。虽然建议不要在分配权限时明确指定用户，但是在已建立了 UNIX 组的环境中使用这些 UNIX 组将十分方便。

有关安全性角色、组和用户的详细信息，请参见设置用户和“Sun Management Center 安全性” in Sun Management Center 3.5。