第 3章 配置考量事項

本章說明會對 Sun Management Center 的安裝或升級有不利影響的項目。本章討論下列主題：

• 安全性建議

• 管理策略

安全性建議

本節提供有關 Sun Management Center 存取、伺服器和代理程式組件以及安全鍵的安全性建議。

使用者、群組以及角色概觀

設定 Sun Management Center 使用者和使用者群組之前，應瞭解可能出現的管理作業類型，以便將這些管理作業指定給適當的使用者類別。仔細規劃使用者群組和角色有助於確保配置管理的正確性、資料的完整性以及管理資訊與系統資源的安全性。

未在主存取檔案 /var/opt/SUNWsymon/cfg/esusers 中明確識別使用者之前，任何使用者均無法存取 Sun Management Center。若要賦予 Sun Management Center 的存取權限，必須將使用者的 UNIX 使用者名稱加入 /var/opt/SUNWsymon/cfg/esusers 中。之後，使用者可以使用標準的 UNIX 使用者名稱和密碼登入 Sun Management Center。

使用者登入後，Sun Management Center 會根據以下功能角色來控制存取並定義使用者權限：

• 領域管理員 – 此角色為最高層級的角色，它允許成員在伺服器環境內建立頂層的領域，並為這些領域中其他的 Sun Management Center 使用者指定權限。領域管理員可以建立特定的領域並指定這些領域上的使用者權限，藉此建立特定拓樸環境的自訂配置。如果使用者是 esdomadm UNIX 使用者群組的成員，則為領域管理員。

• 管理員 – 此角色管理除拓樸系統之外的所有作業。管理員可以執行特權作業（包括載入模組以及配置管理物件與資料屬性），亦可指定代理程式與模組層級的存取控制。此控制使該角色在建立與維護權利策略方面非常有用。如果使用者是 esadm UNIX 使用者群組的成員，則為管理員。

• 操作員 – 此角色允許系統使用者配置他們自己的領域和拓樸容器。操作員角色亦允許使用者配置管理物件的資料獲取作業和警報作業，並檢視管理資訊。儘管操作員可以啟用或停用管理模組，但依預設，操作員不可以載入模組或修改存取控制權限。因此，操作員表示可以有效使用產品並微調其作業、但不能影響主要配置或架構變更的一類使用者。如果使用者是 esops UNIX 使用者群組的成員，則為操作員。

• 一般使用者 – 此角色是指沒有明確指出屬於以上三類群組成員的使用者。一般使用者沒有更多的權限，依預設，他們僅可以進行管理資訊檢視和警報認可。一般使用者角色特別適合第一層級的支援，該層級的主要任務是進行問題識別、矯正以及提昇。

在大型的組織中，Sun Management Center 安全性角色可能可以直接對映到現有的系統管理與支援功能之上。對於其他組織而言，此程序可能有些複雜，因為團體功能與產品角色之間的對映關係可能不太清晰。在某些情形下，可以將所有的邏輯角色指定給單一使用者。

---

註解 –

權限的指定可靈活多樣，不必拘泥於四個 Sun Management Center 安全性角色。

---

Sun Management Center 權限可以明確地指定為領域、拓樸容器、代理程式和模組層級。在僅依慣例使用以上命名的群組時，權限指定可以參考任何 UNIX 使用者或群組。Sun Management Center 權限群組允許在指定功能角色時使用現有的帳號配置。儘管不建議在指定權限時命名明確的使用者，但在已建立 UNIX 群組的環境中使用 UNIX 群組仍十分方便。

如需有關安全性角色、群組以及使用者的詳細資訊，請參閱設定使用者與“Sun Management Center Security” in Sun Management Center 3.5 User's Guide。

Sun Management Center 內部安全性

本節說明在 Sun Management Center 組件之間使用的安全性程序。

伺服器與代理程式之間的安全性

Sun Management Center 伺服器與其管理的節點之間的通訊主要是透過業界標準簡單網路管理協定版本 2（使用了使用者安全性模型 SNMP v2usec）來執行的。SNMPv2 機制特別適用於將使用者認證從伺服器層對映到代理程式側的作業。SNMPv2 是用於確保存取控制策略不會被繞過的主要機制。

Sun Management Center 亦支援使用基於團體的安全性之 SNMP v1 與 v2。儘管就安全性而言不是很可靠，但是支援 SNMP v1 與 v2 對於整合其他裝置與其他管理平台來說十分重要。在不需要使用這些機制的環境中，存取控制規格機制可用於限制或禁止對使用 SNMP v1 與 v2 協定的程序之存取。

如果自訂作業需要資料串，則會同時使用探測機制。探測機制由 SNMP 作業啟動。啟動之後，探測作業使用資料串 TCP 連接來實施管理節點上雙向的、可能是互動式的服務，例如日誌檔檢視。由於探測機制使用 SNMP 通訊，因此不對資料封包主體進行加密。

跨伺服器之環境中的安全性

當 Sun Management Center 與本端伺服器環境之外的管理節點進行通訊時，安全性模型可確保作為一般 espublic SNMPv2 usec 使用者來執行這些作業。使用 espublic 可極大地限制權限，並限制使用者對管理資料的檢視。

用戶端至伺服器的安全性

Sun Management Center 伺服器層與用戶端（如主控台與指令行介面）之間的通訊是透過結合使用 Java 技術遠端方法調用 (RMI) 與綜合的特定產品安全性模型來執行的。安全性模型允許用戶端在低、中或高安全性模式下作業，該模式會影響所執行的訊息認證之層級。

• 低：不進行訊息認證。僅在登入時檢查使用者密碼。

• 中（預設值）：僅執行主控台至伺服器的認證，例如對收到的主控台訊息之伺服器認證。

• 高：同時執行主控台認證和伺服器認證。

由於執行層級較高的安全性對效能有潛在的影響，因此請仔細考量您的訊息認證需求。

安全鍵與 SNMP 團體字串

當您在一台獨立的機器上安裝並設定 Sun Management Center 代理程式時，系統會提示您提供用於產生該代理程式之安全鍵的密碼。該密碼應與您設定 Sun Management Center 伺服器時指定的密碼相同。如果 Sun Management Center 伺服器與代理程式的安全鍵不同，它們將無法相互通訊。如需有關如何重新產生安全鍵的資訊，請參閱重新產生安全鍵。

在設定過程中，系統還會提示您接受預設的 SNMP 團體字串 (public)，或指定私用團體字串。SNMP 團體字串是享有特權的內部帳號所必需的密碼。如果不進行變更，在用於一般 SNMPv2 usec 工具時，此字串可能會被利用來欺瞞伺服器層。因此，請勿使用預設的團體字串。請為每個伺服器環境指定一個不同的私用團體字串。

安全性密碼和 SNMP 團體字串與超級使用者密碼一樣重要。

管理策略

本節概括介紹 Sun Management Center 的管理方法。瞭解要管理的系統及其實施方式，有助於成功地佈署和使用 Sun Management Center。

伺服器環境

管理資訊組織的最高層級為伺服器環境。每台 Sun Management Center 伺服器僅提供一個伺服器環境。每個伺服器環境可以含有一個或多個向其報告的管理系統。每個管理系統只能向一個伺服器環境報告。

一般而言，伺服器環境之間的通訊會受到限制，管理事件不會在伺服器之間轉寄。伺服器環境的架構應平行於使用 Sun Management Center 的組織內的群組結構。伺服器環境還應與這些群組的系統管理職責平行。擁有伺服器的管理群組同時擁有該伺服器內的管理資料。此群組可完全控制對 Sun Management Center 伺服器所管理之所有系統和網路資源的存取。

領域策略

領域是伺服器環境中最高層級的結構。領域提供個別環境，您可以在這些個別環境中建立自訂拓樸配置。領域非常普遍。您可以建立一個領域來代表特定使用者、環境或其他任何邏輯區域的資訊。管理系統可能會出現在多個領域中，因此可能存在多個重疊的領域。所以，您可以針對相同的管理資訊和系統資源構建數個不同的表示。

領域通常包含呈階層結構的 Sun Management Center 群組集合，您可以使用這些群組來匯集管理系統集、Sun Management Center 管理模組集或管理物件集。此階層結構定義了使用者介面中可見的資訊分類，亦定義了匯集管理狀況以及向高層級摘要提供此狀況的規則。此功能和靈活性使得領域及領域內的容器成為建構特定環境之邏輯管理模型的強大工具。

組織策略

Sun Management Center 包含功能強大的探索管理程式 ，該程式可以定期自動檢查本端環境以識別所有管理節點。探索管理程式有助於配置 Sun Management Center，它依基於網路的實體線路構造管理資訊。

依據您環境的特點，使用探索管理程式可能不是檢視管理資訊和匯集狀況資訊的最佳方法。相反，在組織 Sun Management Center 環境之前識別所有管理系統時，探索管理程式非常有用。如需有關探索管理程式的進一步資訊，請參閱“Adding Objects to the Topology Database Using the Discovery Manager” in Sun Management Center 3.5 User's Guide。

組織 Sun Management Center 環境的其他方法包括：

• 實體

• 環境

• 應用程式

• 服務

在每個 Sun Management Center 環境中，均必須重視完全性。涵蓋範圍必須足夠大，以便能夠前攝地識別系統的問題，或者至少能立即識別出問題。如果裝置、主機、服務或程序中發生對環境至關重要的故障，而這些故障不為 Sun Management Center 所監視，則可能會導致涵蓋範圍出現缺口而影響實施的整體有效性。為避免發生此問題，在建置 Sun Management Center 管理環境時，應考量自訂的模組、代理解決方案，甚至來自其他伺服器環境的資訊。

實體組織

管理系統的實體位置可能與系統駐留的網路位置不一致。在這種情況下，您可能想要建立一個新的領域，在這個領域中，Sun Management Center 群組依實體線路而構造。這樣，城市、場所、建築物、地面、伺服器位置甚至裝置機架均可輕鬆地表示出來。位於這些位置的系統可以在使用探索管理程式執行探索的領域中進行複製與貼上。

若要依實體線路配置 Sun Management Center 環境，您必須知道系統的實體位置。此組織可以成為非常有價值且存取方便的參考。實體組織還可定義狀況匯集路徑，因此可將問題在實體線路上隔離出來，並可協助識別一般模式的故障。例如，局部的供電中斷可能會影響駐留在數個網路中的系統，但問題僅會在一個實體區域中報告。

---

小心 –

您必須自行更新資訊。執行探索時，此資訊不會自動更新。探索程序不會自動追蹤以實體方式重新定位的裝置。

---

環境策略

您的組織可能具有數個邏輯環境，這些環境的位置與資源重疊，但是邏輯功能仍有區別。邏輯環境包括團體群組（如銷售部與工程部）、功能群組（如零售部與學會），甚至邏輯軟體環境（如使用者接受與生產）。

在所有這些情況下，可考量建立不同的 Sun Management Center 拓樸群組以隔離每個群組的元素。分開的拓樸群組可阻止一個群組中的問題在另一個群組中發出警報。在為包含多領域伺服器的系統配置 Sun Management Center 環境時，這種隔離尤其重要。不同領域所執行的功能可能針對完全不同的群組或環境。單一拓樸群組中包含不同的領域可能導致使人誤解的資訊和警報通知。

應用程式組織

應用程式是系統管理中的複雜實體。從管理角度決定應用程式的構成元素可能會十分困難，尤其是在應用程式為分散式應用程式且依靠許多外部服務以正確作業時。因此，應在安裝 Sun Management Center 之前先組織應用程式，而不應等到遇到問題的時候才開始考量因果關係。進行一些初始分析有助於提昇解決應用程式層級問題的效率。

在配置應用程式導向的 Sun Management Center 環境時，拓樸容器通常包含主機、模組以及特定物件的組合。一些主機可能完全用於執行該應用程式，而其他一些主機可能僅使用部份資源來支援應用程式正確作業。例如，在應用程式使用團體目錄服務的情況下，該目錄服務的運作情況對於應用程式作業十分重要，但該伺服器上其他服務的運作情況對應用程式並不重要，或是應用程式並不需要其他的服務。

服務職責

在某些情況下，一個群組或管理員可能負責特定服務，但不負責基本資源。例如，資料庫管理員可能負責資料庫服務可用性和資料完整性，但並不負責硬體或作業系統管理。專為資料庫服務建立的 Sun Management Center 領域有助於資料庫管理員執行必要的作業。一般使用者角色權限可以透過提供對一般系統和網路狀況的存取權來協助管理員。

管理大型企業

Sun Management Center 中的一些工具可協助您簡化大型企業的管理。其中一個工具是「參考領域」，它可讓群組跨伺服器環境共用管理資訊。另一個功能是「群組作業」系統，它有助於執行高度分散的大型管理作業。

群組系統可讓您設定資料屬性值，修改資料屬性。您也可以載入、卸下、啟用和停用 Sun Management Center 伺服器環境中的模組。所有這些作業均可套用至管理系統和節點的大型群組。這些群組可以使用現有的拓樸結構或靈活的探索型過濾器來定義。群組作業可以儲存並多次執行。您可以使用排程程式來自動執行群組作業。群組作業亦包括模組配置傳送 (MCP)，在此工具中，可將參考節點的全部配置上傳至伺服器，然後再將其下傳至所有相似的節點中，藉此複製參考節點的全部配置。

如需有關參考領域的進一步資訊，請參閱“Monitoring Remote Administrative Domains” in Sun Management Center 3.5 User's Guide。如需有關群組作業的進一步資訊，請參閱“Managing Group-related Jobs” in Sun Management Center 3.5 User's Guide。