当前位置: 首页 > 图文教程 > 服务器 > Linux服务器 > 使用SMC实现Solaris10服务器角色管理(下)
Linux服务器 中的 使用SMC实现Solaris10服务器角色管理(下)
使用SMC实现Solaris10服务器角色管理(上):http://Linux.chinaitlab.com/safe/763757.html
一、查看角色属性步骤
使用鼠标右键点击角色名称的属性,如图8。
角色属性详解包括七个界面,一般选项如图9。
说明:如果您是「主要管理员」的话,使用这个对话框来查看或更改在这个对话框的标题中命名的角色属性。事实上,角色是被授予特定权限以管理网络元件的特殊用户帐户。「主要管理员」必须授予用户承用角色的权限。当用户使用角色时,实际上,该用户便是放弃他或她自己的身份,变成使用该角色的内容,包括权限。注意:如果您是在NIS+环境中运行,则此对话框中将没有“项目”附签。NIS+并不支持项目数据库。
口令管理界面如图10。
说明:使用这个标记来增加这个角色的口令(如果这是随附于Solaris的预先定义角色并且没有口令)或更改这个角色的口令。
注意:「新角色口令」和「确认口令」字段永远都是空的。为了增加安全性,它们不会反应键入的字符(例如,星号)。
用户管理界面如图11。
键入每个您要其能够承用此角色之用户的用户名称,再单击「增加」来将用户名称增加到清单中。
群组界面如图12。
说明:使用这个标记来显示此角色在主要群组的会员资格、查看或更改其它或次要群组。
项目管理界面如图13。
说明:使用此附签来更改此角色的主要项目和项目组员资格。要登录的角色必须至少与一个项目产生关联,它可以是“default”项目、或是您利用此附签选择的另一个主要项目。项目可让您按用户、群组或角色来跟踪系统资源使用情形。若要管理项目,请关闭此对话框并打开“项目”工具。
主目录管理界面如图14。
主目录说明:如果「群组成员」被复选的话,这个角色的目录就可以提供这个角色之主要群组的所有成员(用户和角色)使用。如果「所有用户」被复选的话,就表示每个人都可以访问这个角色的主目录。「只读访问」表示其它的角色和用户可以查看内容,但是不可以更改目录中的文件。「完全访问」可以让角色和用户实际更改文件的内容。主目录自动安装时,承用这个角色的用户不需要知道主目录的全路径;主目录会自动被找到--即使主目录是在远程服务器上或当主目录被移动到不同的服务器也一样。角色通常会从以下名称的路径到达它们的主目录:
/home/rolename。
最后是权限管理界面,如图15。
说明:如果「已授予权限」栏中有数个权限,相同的指令可以出现不只一次。Solaris在权限中寻找指令时,它会从清单的上方开始,并使用它找到的第一个指令。因此,如果有两种不同版本的指令(譬如,一种版本是用有效的root用户id执行的,另外一种是以最终用户执行的),那麽顺序就很重要。选择您要更改其位置的「已授予权限」之权限,然后将它往上或往下移动。先列出最特定和有力的权限,再列出次要的权限,最后才列出万用字符项目。
二、指定管理角色
要指定用户给角色,请选择角色,然后单击「动作」->「指定管理角色」。如图16。
说明:这里选择您要指定给用户的角色。如果这个清单中没有角色的话,您必须先关闭这个对话框,然后单击「动作」->「增加管理角色」来创建角色。
三、指定权限给角色
要指定权限给角色,请选择角色,然后单击「动作」->「指定权限给角色」。如图17。
说明:权限是命名的集合,包含指令、使用特定应用程序(或在应用程序中执行特定功能)的授权和其它(以前创建)的权限;管理员可以授予或拒绝权限的使用。使用这个对话框来指定权限给角色。您指定的权限会决定用户使用此角色可以执行哪些管理功能。如果「已授予权限」栏中出现三角形的小心符号,就表示该栏中的同一个权限有数个副本。这个仅供信息提供目的使用--如果这些是您要的权限,您就不需要做任何进一步的处理。
四、SMC控制台中进行角色管理的常见问题
如果角色不具有应有的功能,请检查以下情况:
请不要同时使用命令行和图形用户界面来管理RBAC。这样可能会导致对配置所做的更改出现冲突,从而使得行为不可预测。您可以使用这两种工具来管理RBAC,但是不能同时使用二者。
角色的权限配置文件是否按功能从高到低的顺序在GUI中列出?
例如,如果All权限配置文件位于列表顶部,则不会运行具有安全性属性的命令。包含具有安全性属性的命令的配置文件在列表中必须位于All权限配置文件的前面。
角色的权限配置文件中的命令是否具有相应的安全性属性?
例如,如果策略为suser,则某些命令会要求uid=0,而不是要求euid=0。
是否在相应的名称服务范围中定义了权限配置文件?角色是否在定义权限配置文件的名称服务范围内运行?
名称服务高速缓存svc:/system/name-service-cache是否已重新启动?
nscd守护进程可以具有很长的生存时间间隔。通过重新启动此守护进程,可使用当前数据更新该名称服务。
总结:到此为止笔者简单介绍了使用SMC进行角色管理方法,基于角色的访问控制方法(RBAC)的显著的两大特征是:
1.由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多,减小了授权管理的复杂性,降低管理开销。
2.灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。
评论 (0) All