第 18章 Sun Management Center 的安全性
本章討論安全性功能、使用者和群組以及它們的權限。本章將討論下列主題:
Sun Management Center 安全性概念
Sun Management Center 軟體中的安全性基於 JavaTM 安全性類別及 SNMPv2 usec(SNMP 版本 2,基於使用者的安全性模式)安全性標準。
-
只有有效的 Sun Management Center 使用者才可以使用此軟體。
-
此軟體可認證使用者和個別管理屬性的存取控制。
存取控制類別
-
管理員,類似 UNIX 中的超級使用者 (root)
-
操作員,執行和監視系統的操作員
-
一般使用者,類似只有唯讀檢視權限的訪客
若要瞭解 ACL 類別,必須先瞭解 Sun Management Center 軟體使用者和群組。下列章節將解釋使用者和群組。
Sun Management Center 使用者
Sun Management Center 使用者是伺服器主機上的有效 UNIX 使用者。因此,系統管理員必須將有效的使用者加入檔案 /var/opt/SUNWsymon/cfg/esusers。如果該檔案中沒有某個使用者名稱,則該使用者無法登入 Sun Management Center 軟體。
一般使用者
管理員必須新增所有需要登入 Sun Management Center 軟體的使用者之使用者 ID 清單。依預設,除非使用賦予使用者以 esadm、esops 或 esdomadm 權限中所述的步驟賦予使用者額外的權限,否則此檔案中所有的使用者僅擁有一般使用者存取權限。
esusers 檔案中的所有使用者皆為一般使用者。依預設,Sun Management Center 的一般使用者可以執行以下功能:
-
登入該軟體
-
檢視管理領域、主機及建立的模組
-
檢視事件
-
觸發手動重新顯示
-
執行 ad hoc 指令
-
圖形資料
Sun Management Center 超級使用者
Sun Management Center 超級使用者會自動屬於將在下列章節中說明的所有群組。Sun Management Center 超級使用者擁有如Sun Management Center 管理員 (esadm)所述的管理員權限。
Sun Management Center 群組
依預設,下列群組會在 Sun Management Center 伺服器設定期間建立於伺服器主機上:
此外,所有的 Sun Management Center 使用者均屬於一個稱為 ANYGROUP 的假設的群組。
這些列示的群組必須在執行 Sun Management Center 伺服器層的機器上定義,並且不需要在其他機器上定義。隨後的章節將對這些群組進行更詳細的說明。
註解 –
這些列示的群組定義於 /etc/group 檔案中。
Sun Management Center 操作員 (esops)
屬於 esops 群組的 Sun Management Center 軟體使用者通常是操作員使用者。這些操作員可執行、監視並在一定範圍內配置管理系統上的參數。esops 可以執行作業,包括一些允許一般使用者執行的作業:
-
停用或啟用模組
-
設定警報限制
-
設定規則參數
-
執行警報動作
-
執行 ad hoc 指令
-
設定重新顯示間隔時間
-
認可、刪除或修復事件
-
啟用或停用歷程記錄
-
設定記錄歷程參數
Sun Management Center 管理員 (esadm)
屬於 esadm 群組的軟體使用者可以執行管理員作業。管理員作業是操作員使用者可執行的作業(如Sun Management Center 操作員 (esops)中所述)的超集 。除操作員使用者 (esops) 可執行的所有作業之外,這些管理員使用者 (esadm) 還可以執行以下作業:
-
載入或卸載模組
-
設定 ACL 使用者和群組
-
檢視管理領域、主機或模組
Sun Management Center 領域管理員 (esdomadm)
屬於 esdomadm 群組的使用者可以執行以下領域管理員作業:
-
建立管理領域
-
在管理領域內建立群組
-
新增物件至群組或管理領域
-
檢視管理領域、主機或模組
註解 –
除非另外配置,否則除以上列示的權限之外,屬於 esdomadm 的使用者只是一般使用者。
管理員、操作員及一般使用者功能
以下表格列示了使用者依預設可執行的不同功能類型。給定儲存格中的標記表示指定的使用者可以執行所列示的功能。
此表格適用於所有模組。個別模組可能還會有特定的限制,這些限制皆在該模組的控制之下。
表 18–1 領域管理員、管理員、操作員及一般使用者功能|
功能 |
領域管理員 |
管理員 |
操作員 |
一般使用者 |
|---|---|---|---|---|
|
載入模組 |
|
x |
|
|
|
卸載模組 |
|
x |
|
|
|
建立管理領域 |
x |
|
|
|
|
在管理領域內建立群組 |
x |
|
|
|
|
新增物件至群組或管理領域 |
x |
|
|
|
|
檢視管理領域、主機或模組 |
x |
x |
x |
x |
|
設定 ACL 使用者或群組 |
|
x |
|
|
|
停用或啟用模組 |
|
x |
x |
|
|
設定模組作用中時間視窗 |
|
x |
|
|
|
設定警報限制 |
|
x |
x |
|
|
設定規則參數 |
|
x |
x |
|
|
執行警報動作 |
|
x |
x |
|
|
執行 ad hoc 指令 |
|
x |
x |
|
|
設定重新顯示間隔時間 |
|
x |
x |
|
|
手動觸發重新顯示 |
x |
x |
x |
x |
|
啟用或停用歷程記錄 |
|
x |
x |
|
|
設定記錄歷程參數 |
|
x |
x |
|
|
認可、刪除或修復事件 |
|
x |
x |
|
|
檢視事件 |
|
x |
x |
x |
在 Sun Management Center 軟體中,上述類別具有包容關係,意即擁有 esadm 權限的使用者可以執行擁有 esops 權限的使用者可以執行的所有作業。管理員可以變更預設的許可權,以便讓擁有 esops 權限的使用者可以執行比 esadm 使用者更多的作業。包容關係意味著,在此軟體中並沒有任何項目可以讓 esops、esadm 或 esdomadm 中的一個擁有比其他兩個群組更多的權限。
如需有關如何置換預設權限的更多資訊,請參閱置換預設代理程式權限。
預設權限
管理領域由拓樸管理程式操控。本節介紹拓樸管理程式、其他代理程式以及其他模組的預設權限。
拓樸管理程式的預設權限
拓樸管理程式的預設權限列示在以下表格中。管理領域在拓樸管理程式中維護。
表 18–2 拓樸管理程式的預設權限|
拓樸管理程式 |
預設權限 |
|---|---|
|
管理員使用者清單 |
|
|
操作員使用者清單 |
|
|
一般使用者清單 |
|
|
管理員 SNMP 團體清單 |
|
|
操作員 SNMP 團體清單 |
|
|
一般使用者 SNMP 團體清單 |
public |
|
管理員群組清單 |
esdomadm |
|
操作員群組清單 |
esops |
|
一般使用者群組清單 |
ANYGROUP |
其他 Sun Management Center 組件及模組的預設權限
未在拓樸管理程式中的組件及模組之預設權限列示在以下表格中。
表 18–3 Sun Management Center 組件和模組的預設權限|
組件和模組 |
預設權限 |
|---|---|
|
管理員使用者清單 |
|
|
操作員使用者清單 |
|
|
一般使用者清單 |
|
|
管理員群組清單 |
esadm |
|
操作員群組清單 |
esops |
|
一般使用者群組清單 |
ANYGROUP |
|
管理員 SNMP 團體清單 |
|
|
操作員 SNMP 團體清單 |
|
|
一般使用者 SNMP 團體清單 |
public |
ANYGROUP 關鍵字並非指真正的 UNIX 群組,而是一個特別的關鍵字,它表示任何可登入 Sun Management Center 軟體的使用者均可取得物件的一般存取權限。
存取控制定義和限制
esadm 群組可以為以下組件的使用者及群組指定 ACL 功能:
-
管理領域
-
在管理領域內建立群組
-
主機
-
模組
管理員、操作員及一般使用者存取
ACL 設定包含建立或定義以下一個或多個參數:
-
管理員使用者和管理員群組 – 可執行管理員作業的使用者和群組之清單。依預設,這些使用者為 esadm 或 esdomadm(視具體情況)。
-
操作員使用者和操作員群組 – 可執行操作員作業的使用者和群組之清單。依預設,這些使用者為 esops。
-
一般使用者和一般使用者群組 – 可執行一般作業的使用者和群組之清單。依預設,該類別即假設的稱為 ANYGROUP 的群組。
-
管理員團體 (SNMP) – 可執行使用 SNMP 的管理員作業之 SNMP 團體清單。
-
操作員團體 (SNMP) – 可執行使用 SNMP 的操作員作業之 SNMP 團體清單。
-
一般使用者團體 (SNMP) – 可執行使用 SNMP 的一般使用者作業之 SNMP 團體清單。
Sun Management Center 遠端伺服器存取
使用者可以經由在遠端 Sun Management Center 伺服器上執行的階段作業來存取和檢視資料。當使用者嘗試存取此類資訊時,該使用者將會取得具有唯讀權限的一般使用者存取權。執行於不同伺服器上的 Sun Management Center 階段作業之行為由每個階段作業的伺服器環境來定義。請參閱Sun Management Center 伺服器環境和安全性,以取得更多資訊。
作為使用者,您可以基於以下各種原因,存取和設定不同的伺服器環境:
-
為使每個伺服器環境可以具有不同的使用者和不同的管理員,且同時保持相互可存取
-
為支援元素之間的實體分隔,如同在廣域網路 (WAN) 環境中那樣
-
為透過讓許多主機由一組中央組件處理來提昇效能
透過連結至不同的伺服器環境,您可以檢視其他伺服器環境中的物件之最高層級的狀態。
Sun Management Center 伺服器環境和安全性
伺服器環境是 Sun Management Center 代理程式及主控台所連接的特定伺服器層的集合。伺服器環境中的代理程式和主機共用下列單一一組中央組件:
-
Sun Management Center 伺服器
-
拓樸管理程式
-
事件管理程式
-
陷阱處理程式
-
配置管理程式
每個 Sun Management Center 組件或代理程式在安裝中即已配置其陷阱處理程式和事件管理程式的位置。Sun Management Center 軟體會根據 IP 位址和連接埠位址來識別陷阱處理程式和事件管理程式。若要確定您是否在您的伺服器環境中,您需要瞭解您所存取的各伺服器之 IP 位址和連接埠位址。不同的伺服器環境具有不同的連接埠號。
遠端伺服器環境是指遠端代理程式及與遠端代理程式相關聯的特定伺服器層的集合。
代理程式可從伺服器層接收安全性配置。此資訊可讓代理程式認證傳送給它的管理請求。之後,代理程式可以對所請求的作業(部份管理請求)執行存取控制。
跨伺服器情況下的限制
使用者嘗試跨伺服器環境進行通訊時,應套用某些安全性限制。
在目前的 Sun Management Center 環境中,您可以存取其他伺服器的資訊,但會有一些限制:
-
如果嘗試存取遠端伺服器環境,則伺服器會賦予您一般使用者存取權限。因此,您可以存取不同伺服器中的資料,但無法修改或使用其中的物件。您被限制為只能檢視遠端伺服器物件。
-
遠端伺服器中各編輯功能的作業方式不相同。例如,您可以在環境之間進行複製和貼上,但無法在環境之間進行剪下和貼上。
註解 –
在主控台中,是否正在存取其他伺服器環境可能並不明顯。若要識別您是否正在存取其他的伺服器,可檢查「細節」視窗之「資訊」標籤中的伺服器 IP 連接埠號或位址。
使用存取控制
新增 Sun Management Center 使用者
-
成為 Sun Management Center 伺服器主機上的超級使用者。
% su -
-
編輯 /var/opt/SUNWsymon/cfg/esusers 檔案。
-
在新的一行中加入使用者名稱。
請確定該使用者名稱為有效的 UNIX 使用者名稱。
-
儲存檔案並結束編輯程式。
新增至使用者清單的使用者擁有預設的權限。請參閱預設權限和置換預設代理程式權限,以取得更多資訊。
控制存取模組
-
以下列任一方式存取屬性編輯程式:
-
在選取的物件上按下滑鼠按鍵 3,並從蹦現式功能表中選擇「屬性編輯程式」。
-
在主控台視窗中,自「工具」功能表中選擇「屬性編輯程式」。
螢幕上將顯示屬性編輯程式。除「取消」和「說明」按鈕之外,視窗底端的按鈕皆處於非作用中。 這些按鈕會在修改視窗中的任一欄位之後變更為作用中。
-
-
在「屬性編輯程式」視窗中,選擇「安全性」標籤。
-
依需要變更值。
以下清單說明了各欄位中的資料,並提供了範例值。
- 管理員使用者
-
使用者清單。jim 是一位可執行管理員作業的使用者。
- 操作員使用者
-
操作員清單。john 及其他使用者為可執行操作員作業的使用者。請注意,請以一個或多個空格來分隔這些使用者的項目。
- 一般使用者
-
一般使用者清單。nick 和 richie 為可執行一般使用者作業的使用者。
- 管理員群組
-
所有屬於管理員群組的使用者都可以執行管理員作業。依預設,這些使用者為 esadm 或 esdomadm(視具體情況)。
- 操作員群組
-
所有屬於 esops 的使用者都可以執行操作員作業。
- 一般使用者群組
-
ANYGROUP 是假設的群組,可以執行一般使用者作業。所有 Sun Management Center 使用者都屬於此假設群組。
- 管理員團體
-
此欄位為空,表示沒有 SNMP 團體可以執行使用 SNMP 的管理員作業。
- 操作員團體
-
此欄位為空,表示沒有 SNMP 團體可以執行使用 SNMP 的操作員作業。
- 一般使用者團體
-
依預設,public 為可執行使用 SNMP 之一般使用者作業的 SNMP 團體。
請在多個項目之間使用空格或逗號,如「使用者」之下的「操作員」之項目中所述。
如需有關安全性權限的更多資訊,請參閱存取控制類別。
在 ACL 中新增使用者定義的群組
-
成為 Sun Management Center 伺服器主機上的超級使用者。
-
使用 groupadd 指令建立群組。
# /usr/sbin/groupadd groupname
-
新增使用者至新建立的群組。
-
將此新群組加入 ACL。
請參閱控制存取模組,以取得更多資訊。
賦予使用者以 esadm、esops 或 esdomadm 權限
-
成為 Sun Management Center 伺服器主機上的超級使用者。
-
如果需要,新增此使用者名稱至 /var/opt/SUNWsymon/cfg/esusers 檔案。
-
在 /etc/group 檔案中,新增此使用者至下列行中適當的一行:esadm、esops 或 esdomadm。
-
儲存檔案並結束編輯程式。
刪除 Sun Management Center 使用者
-
成為 Sun Management Center 伺服器主機上的超級使用者。
-
在 /var/opt/SUNWsymon/cfg/esusers 檔案中,刪除與要刪除的使用者名稱相對應的行。
-
儲存檔案並結束編輯程式。
-
從 Sun Management Center 群組中刪除此使用者名稱。
註解 –從 Sun Management Center 使用者清單中刪除某使用者之後,該使用者將無法再登入 Sun Management Center 伺服器。請確定從所有 ACL 中刪除該使用者。
置換預設代理程式權限
在 Sun Management Center 軟體中,只有管理員可以使用屬性編輯程式來修改特定物件的 ACL 清單,以置換預設權限。
- © 2010, Oracle Corporation and/or its affiliates