缺省情况下,Solaris 管理工具设置为在本地环境中运行。例如,使用“挂载和共享”工具,可以在特定系统上挂载和共享目录,但是不能在 NIS(网络信息服务)或 NIS+ 环境中挂载和共享。不过,在名称服务环境中,可以用“用户和计算机”和“网络”工具来管理信息。
为了能够在名称服务环境中使用控制台工具,需要创建一个名称服务工具箱,然后向该工具箱中添加工具。
任务 |
说明 |
参考 |
---|---|---|
1. 确认前提条件。 |
确认已完成前提条件,然后尝试在名称服务环境中使用控制台。 | |
2. 为名称服务创建工具箱。 |
使用“新建工具箱”向导为名称服务工具创建工具箱。 | |
3. 向名称服务工具箱中添加工具。 |
向名称服务工具箱中添加“用户”工具或任何其他名称服务工具。 | |
4. 选择刚创建的工具箱。 |
选择刚创建的工具箱以管理名称服务信息。 |
在升级到或安装 Solaris 9 发行版或更高版本时,将创建用于 Solaris Management Console 的 RBAC 安全文件。如果未安装 Solaris Management Console 软件包,则会安装 RBAC 安全文件,但是没有使用 RBAC 所必需的数据。有关 Solaris Management Console 软件包的信息,请参见对 Solaris Management Console 进行故障排除。
如果您所运行的版本不低于 Solaris 9 发行版,则 RBAC 安全文件将包含在名称服务中,以便您可以在名称服务环境中使用 Solaris Management Console 工具。
在标准升级过程中,本地服务器上的安全文件会通过 ypmake、 nispopulate 或等效的 LDAP 命令填充到名称服务环境中。
支持以下名称服务:
NIS
NIS+
LDAP
files
在升级到或安装 Oracle Solaris 10 发行版时,将创建 RBAC 安全文件。
此表简要介绍了在运行 Oracle Solaris 发行版的系统上安装的预定义安全文件。
表 2–3 RBAC 安全文件
本地文件名 |
表名或映射名 |
说明 |
---|---|---|
/etc/user_attr |
user_attr |
将用户和角色与授权和权限配置文件关联 |
/etc/security/auth_attr |
auth_attr |
定义授权及其属性并标识相关的帮助文件 |
/etc/security/prof_attr |
prof_attr |
定义权限配置文件、列出指定给授权的权限配置文件并确定相关的帮助文件 |
/etc/security/exec_attr |
exec_attr |
定义指定给权限配置文件的特权操作 |
对于特殊升级案例,在以下情况下可能必须使用 smattrpop 命令来填充 RBAC 安全文件:
在创建或修改权限配置文件时
需要通过自定义 usr_attr 文件包括用户和角色时
有关更多信息,请参见《系统管理指南:安全性服务》中的“基于角色的访问控制(概述)”。
下表确定了在名称服务环境中使用 Solaris Management Console 需要执行的操作。
前提条件 |
更多信息 |
---|---|
安装 Oracle Solaris 10 发行版。 | |
设置名称服务环境。 | |
选择管理范围。 | |
确保已配置 /etc/nsswitch.conf 文件以便您访问名称服务数据。 |
Solaris Management Console 使用管理范围一词来指代要在其中使用选定管理工具的名称服务环境。“用户”工具和“计算机和网络”工具的管理范围选项包括 LDAP、NIS、NIS+ 或文件。
控制台会话期间选择的管理范围应当与 /etc/nsswitch.conf 文件中标识的主名称服务相对应。
每个系统上的 /etc/nsswitch.conf 文件都为该系统上的名称服务查找功能(在何处读取数据)指定策略。
必须确保从控制台访问的名称服务(通过控制台工具箱编辑器指定)出现在 /etc/nsswitch.conf 文件的搜索路径中。如果指定的名称服务未出现在搜索路径中,工具可能会以非预期方式工作,从而生成错误或警告。
在名称服务环境中使用 Solaris 管理工具时,单个操作可能会影响许多用户。例如,如果您在 NIS 或 NIS+ 名称服务中删除一个用户,该用户将从使用 NIS 或 NIS+ 的所有系统中删除。
如果网络中的不同系统具有不同的 /etc/nsswitch.conf 配置,则可能会出现意外的结果。因此,使用 Solaris 管理工具管理的所有系统都应当具有一致的名称服务配置。
用于管理 Oracle Solaris 操作系统的应用程序被称为工具。这些工具存储在名为工具箱的集合中。工具箱可以位于控制台所处的本地服务器上,也可以位于远程机器上。
使用工具箱编辑器执行以下操作:
添加新工具箱
添加工具至现有工具箱
更改工具箱的作用域
例如,使用此工具可以将域从本地文件更改为名称服务。
可以普通用户身份启动工具箱编辑器。但是,如果您打算进行更改并将它们保存到缺省的控制台工具箱 /var/sadm/smc/toolboxes 中,则必须以 root 身份启动工具箱编辑器。
启动工具箱编辑器。
# /usr/sadm/bin/smc edit & |
从“工具箱”菜单中选择“打开”。
在“工具箱”窗口中,选择“本计算机”。
单击“打开”。
此时“本计算机”工具箱将打开。
在“导航”窗格中,再次选择“本计算机”图标。
选择“操作”菜单中的“添加文件夹”。
使用“文件夹”向导为名称服务环境添加新工具箱。
选择新工具箱图标,并从“工具箱”菜单中选择“另存为”。
在“本地工具箱文件名”对话框中,输入工具箱路径名。
使用 .tbx 后缀。
/var/sadm/smc/toolboxes/this_computer/toolbox-name.tbx |
单击“保存”。
新工具箱将出现在控制台窗口中的“导航”窗格中。
在创建了名称服务工具箱之后,可以在其中放置名称服务工具。有关更多信息,请参见如何向工具箱中添加工具。
除了控制台附带的缺省工具,还可以从控制台启动其他工具。当这些工具变得可用时,可以向现有的工具箱中添加一个或多个工具。
还可以新建用来进行本地管理或网络管理的工具箱。然后,向新工具箱中添加工具。
成为超级用户或同等角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见 《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。
如有必要,启动工具箱编辑器。
# /usr/sadm/bin/smc edit & |
选择工具箱。
如果要在名称服务中工作,请选择刚在工具箱编辑器中创建的工具箱。有关更多信息,请参见如何为特定环境创建工具箱。
从“操作”菜单中选择“添加工具”。
使用“添加工具”向导添加新工具。
要保存更新的工具箱,选择“保存”。
将显示“本地工具箱”窗口。
在创建了名称服务工具箱并向其中添加工具之后,可以启动 Solaris Management Console 并打开所创建的工具箱以管理名称服务环境。
确认满足以下前提条件:
确保所登录的系统配置为能够在名称服务环境中工作。
确认 /etc/nsswitch.conf 文件配置为与名称服务环境相匹配。
启动 Solaris Management Console。
有关更多信息,请参见如何以超级用户或角色身份启动控制台。
选择您刚才创建的名称服务工具箱
工具箱将出现在“导航”窗格中。
有关为名称服务创建工具箱的信息,请参见如何为特定环境创建工具箱。