Présentation des utilisateurs, des groupes et des rôles

Avant de configurer les utilisateurs et les groupes d'utilisateurs de Sun Management Center, vous devez comprendre les types d'opérations de gestion qui sont possibles, de sorte à pouvoir attribuer ces opérations aux catégories d'utilisateurs appropriées. Planifier avec soin les groupes d'utilisateurs et les rôles favorise une gestion adéquate de la configuration, l'intégrité des données et la sécurité des informations de gestion et des ressources système.

Aucun utilisateur ne peut accéder à Sun Management Center sans avoir été préalablement identifié de façon explicite dans le fichier d'accès maître /var/opt/SUNWsymon/cfg/esusers. Pour octroyer un accès à Sun Management Center, vous devez ajouter le nom de l'utilisateur au répertoire /var/opt/SUNWsymon/cfg/esusers. L'utilisateur peut alors se connecter à Sun Management Center en utilisant son nom d'utilisateur et son mot de passe.

Lorsqu'un utilisateur se connecte, Sun Management Center l'authentifie via PAM. Sun Management Center contrôle l'accès et définit les privilèges de cet utilisateur sur la base des rôles fonctionnels suivants :

• Administrateurs de domaines – Ce rôle est le plus haut dans la hiérarchie. Il permet aux membres de créer des domaines de niveau supérieur dans un contexte serveur et d'assigner des privilèges à d'autres utilisateurs de Sun Management Center au sein de ces domaines. L'administrateur de domaines peut créer des configurations personnalisées pour des environnements topologiques spécifiques en créant des domaines spécifiques et en accordant des privilèges d'utilisateur pour ces domaines. Les utilisateurs sont considérés comme des administrateurs de domaines s'ils sont membres du groupe d'utilisateurs UNIX esdomadm.

• Administrateurs – Ce rôle donne accès aux fonctions d'administration de toutes les opérations extérieures au système topologique. Les administrateurs peuvent effectuer des opérations privilégiées telles que le chargement de modules et la configuration d'objets gérés et de propriétés de données. Les administrateurs peuvent également spécifier le contrôle des accès au niveau des agents et des modules. Ce contrôle rend ce rôle instrumental dans l'établissement et la maintenance des stratégies d'octroi de droits. Les utilisateurs sont considérés comme des administrateurs s'ils sont membres du groupe d'utilisateurs UNIX esadm.

• Opérateurs – Ce rôle permet aux utilisateurs du système de configurer leurs propres domaines et conteneurs topologiques. Le rôle d'opérateur permet également aux utilisateurs de configurer les objets gérés en ce qui concerne l'acquisition de données et les alarmes, et d'afficher les informations de gestion. Bien que les opérateurs puissent activer ou désactiver les modules de gestion, ils ne peuvent pas, par défaut, charger ces modules ni modifier les privilèges d'accès. Les opérateurs constituent par conséquent une catégorie d'utilisateurs, qui peut utiliser le produit et en régler le fonctionnement de manière efficace, mais qui ne peut pas effectuer de changements de configuration ou d'architecture plus importants. Les utilisateurs sont considérés comme des opérateurs s'ils sont membres du groupe d'utilisateurs UNIX esops.

• Utilisateurs génériques – Ce rôle est celui des utilisateurs qui ne sont pas explicitement membres de l'un des trois groupes précédents. Les utilisateurs génériques ne reçoivent pas de privilèges étendus et, par défaut, peuvent seulement afficher les informations de gestion et reconnaître les alarmes. Le rôle d’utilisateur générique est parfaitement adapté au premier niveau d’assistance, dont les principaux objectifs sont l’identification des problèmes, la correction et la rectification.

Dans les grandes entreprises, il est probable que les rôles de sécurité de Sun Management Center soient directement reliés à des fonctions d'administration système et d'assistance existantes. Ailleurs, le processus peut être davantage impliqué car la mise en correspondance entre une fonction institutionnelle et un rôle produit est souvent moins nette. Dans certains cas, l'attribution de tous les rôles logiques à un unique utilisateur peut être justifiée.

La spécification des privilèges est flexible et n'a pas à être limitée aux quatre rôles de sécurité de Sun Management Center.

Les privilèges de Sun Management Center peuvent être spécifiés de façon explicite au niveau d'un domaine, d'un conteneur topologique, d'un agent et d'un module. La spécification des privilèges peut référencer tout utilisateur ou groupe UNIX arbitraire, les groupes susmentionnés n'étant employés que par convention. Les groupes de privilèges de Sun Management Center permettent l'utilisation de configurations de comptes existantes lors de l'attribution des rôles fonctionnels. Bien que nommer des utilisateurs de façon explicite lors de l'attribution des privilèges ne soit pas recommandé, l'utilisation des groupes UNIX peut se révéler pratique dans les environnements dans lesquels de tels groupes UNIX sont déjà établis.

Pour plus d'informations sur les rôles de sécurité, les groupes et les utilisateurs, reportez-vous à la section Configuration des utilisateurs et auChapitre 18, Sun Management Center Security du Sun Management Center 3.6.1 User’s Guide.