上節(jié)介紹了SMC 的基礎(chǔ)知識。本節(jié)筆者會結(jié)合具體案例使用SMC 進(jìn)行用戶管理。
五、增加用戶
要增加用戶,請單擊「動作」->「增加用戶」,然后選擇用「使用精靈」或「從模板」,如圖:
 |
| 圖5 增加用戶 |
說明:利用用戶模板,您可以創(chuàng)建用戶共享的命名屬性集,將來創(chuàng)建新用戶時,您可以用那些屬性集為您的開始點。例如,您可以為生物課的新學(xué)生創(chuàng)建一個模板,或為新近的業(yè)務(wù)人員創(chuàng)建模板。(如果您在右邊窗口選擇「用戶模板」,請單擊「動作」->「打開」來查看現(xiàn)有模板的清單,如果有的話。「動作」菜單會更改以提供以下描述的選項。)要創(chuàng)建新用戶模板,請單擊「動作」->「增加用戶模板」。要查看或更改現(xiàn)有用戶模板的內(nèi)容,請雙擊 模板的名稱。要從現(xiàn)有的模板創(chuàng)建新的模板,請選擇您已經(jīng)創(chuàng)建的模板,然后單擊「動作」->「復(fù)制用戶模板」。
六、增加權(quán)限
權(quán)限是命名的集合,包含指令、使用特定應(yīng)用程序(或在應(yīng)用程序中執(zhí)行特定功能)的授權(quán)和其它(以前創(chuàng)建)的權(quán)限;管理員可以授予或拒絕權(quán)限的使用。圖6是增加權(quán)限的引導(dǎo)圖。
 |
| 圖6 增加權(quán)限的引導(dǎo)圖 |
說明:如果您在右邊窗口選擇「權(quán)限」,請單擊「動作」->「打開」來查看現(xiàn)有權(quán)限的清單。然后,「動作」菜單就會更改以提供以下描述的選項。要增加清單,請單擊「動作」->「增加權(quán)限」。要查看或更改現(xiàn)有權(quán)限的內(nèi)容,請雙擊 權(quán)限的名稱。注意:當(dāng)您授予權(quán)限時,您便是授予用戶訪問特定指令,讓他們能夠執(zhí)行管理功能、和允許他們對數(shù)據(jù)庫進(jìn)行更改。提供的權(quán)限應(yīng)該能夠涵蓋您大部分的需求。更改任何現(xiàn)有的權(quán)限之前,請確定您了解做任何更改可能造成的長遠(yuǎn)和有效的含意。
在選擇“增加權(quán)限”命令后會出現(xiàn)四個引導(dǎo)欄目(圖7-圖10),通過指令和一些授權(quán)的組合可以生成一個新的權(quán)限。
 |
| 圖7 設(shè)置權(quán)限的名稱 |
 |
| 圖8 選擇指令對話框 |
 |
| 圖9 選擇授權(quán)對話框 |
|
| 圖10 輔助權(quán)限設(shè)置對話框 |
通過圖7-10的設(shè)置就完成一個權(quán)限的添加。#p#副標(biāo)題#e#
七、添加角色
角色是用來授予權(quán)限給管理員的特殊帳戶。包括在每個角色屬性中的是可以擔(dān)任該角色的用戶清單以及授予該角色的權(quán)限清單。在創(chuàng)建主管理員角色時,會得到輸入以下信息的提示。表1是 使用 Solaris Management Console 添加角色時的字段說明。
表1 使用 Solaris Management Console 添加角色時的字段說明
| 字段名稱 | 功能說明 |
|
角色名 |
選擇管理員用來登錄特定角色的名稱。 |
|
全名 |
提供此角色完整的說明名稱。(可選) |
|
說明 |
提供此角色進(jìn)一步的說明。 |
|
角色 ID 號 |
選擇指定給此角色的標(biāo)識號。此標(biāo)識號與 UID 的標(biāo)識符集合相同。 |
|
角色 shell |
選擇在用戶登錄終端或控制臺窗口并在該窗口中承擔(dān)角色時運行的 shell。 |
|
創(chuàng)建角色郵件列表 |
創(chuàng)建一個與角色同名的郵件列表(如果選中的話)。使用此列表,可以向指定給該角色的每個人發(fā)送電子郵件。 |
|
角色口令和確認(rèn)口令 |
設(shè)置和確認(rèn)角色口令。 |
|
“可用的權(quán)限”和“授予的權(quán)限” |
向該角色指定權(quán)限,方法是從“可用的權(quán)限”列表中選擇權(quán)限并將它們添加到“授予的權(quán)限”列表中。 |
|
選擇起始目錄 |
選擇將作為該角色的專用文件存儲位置的起始目錄服務(wù)器。 |
|
向該角色指定用戶 |
將特定的用戶添加到該角色,以便他們能夠承擔(dān)該角色來執(zhí)行特定任務(wù)。 |
使用“添加管理角色”向?qū)В凑找韵虏僮鞑襟E來創(chuàng)建主管理員角色。
◆標(biāo)識角色名、角色的全名、說明、角色I(xiàn)D 號、角色shell 以及是否希望創(chuàng)建角色郵件列表。單擊“下一步”。如圖11 。
 |
| 圖11 標(biāo)識角色名稱 |
◆從“可用的權(quán)限”列中選擇“主管理員”權(quán)限并將其添加到“授予的權(quán)限”列中。單擊“下一步”。
◆為角色選擇起始目錄。單擊“下一步”。
◆將自己指定給可以承擔(dān)角色的用戶列表。單擊“下一步”。最后單擊“完成”按鈕。如圖12 。
 |
| 圖12 角色添加完成 |
說明:要指定用戶給角色,請選擇角色,然后單擊「動作」->「指定管理角色」。要指定權(quán)限給角色,請選擇角色,然后單擊「動作」->「指定權(quán)限給角色」。要查看或更改現(xiàn)有角色的屬性,請雙擊 角色的名稱。
八、增加群組
這是管理群組的工具。如果您在右邊窗口選擇「群組」,請單擊「動作」->「打開」來查看現(xiàn)有群組的清單。「動作」菜單會更改以提供以下描述的選項。
要增加群組,請單擊「動作」->「增加群組」。如圖13 。
 |
| 圖13 添加群組 |
要查看或更改現(xiàn)有群組的內(nèi)容,請雙擊 群組名稱。
要將用戶復(fù)制到群組,請在「用戶帳戶」工具中選擇用戶,復(fù)制它們(用「動作」菜單)。然后,返回「群組」工具選擇群組,再單擊「動作」->「將用戶貼到群組」。
九、用戶、權(quán)限以及授權(quán)的關(guān)系
用戶管理是solaris系統(tǒng)的核心,系統(tǒng)所有的進(jìn)程和文件都是由特定用戶擁有。并且分配給特定的用戶組。系統(tǒng)如果沒有有效的用戶和用戶組,也就沒有任何的數(shù)據(jù)活動,solaris系統(tǒng)管理員的首要任務(wù)就是管理用戶。
RBAC是“基于角色的訪問控制能力”英文的縮寫(Role Based Access Control),是Solaris操作系統(tǒng)所提供的一種先進(jìn)的管理權(quán)限代理機制。傳統(tǒng)的基于超級用戶的系統(tǒng)給任何可以成為超級用戶的人授予超級用戶權(quán)限。從Solaris 8開始,Sun公司提供了RBAC這種基于角色的訪問控制能力:管理員可以給一般用戶分配有限的管理能力,實現(xiàn)更細(xì)粒度的用戶權(quán)限控制。概括而言,Solaris RBAC能夠有選擇性的將超級用戶的權(quán)限打包,并分配給對應(yīng)的用戶。這樣,原來的一些必須由root用戶來操作的管理工作就可以由取得相關(guān)權(quán)限的用戶來完成了。Solaris 基于角色的訪問控制 (Role Based Access Control, RBAC) 增強功能軟件在 Solaris 10 OS 中稱為 Solaris 用戶權(quán)利管理軟件,該軟件使管理員能夠為各個用戶分配對程序和命令的特定訪問權(quán)限。這將減少管理錯誤或意外/惡意使用 IT 資源的可能性。用戶權(quán)利管理是集中式管理,能夠降低成本,提高靈活性。 理解Solaris RBAC中的幾個重要概念對于掌握本文的操作是非常重要的:
◆Authorization - 取得授權(quán)后,才有權(quán)限進(jìn)行相關(guān)的操作。
◆Profile - 通過profile能夠?qū)uthorization及相關(guān)的操作編組,定義了允許以什么樣的權(quán)限執(zhí)行何種命令。使用profile便于今后將具備這些授權(quán)的所有操作一次性的分配給用戶。
◆Profile Shell - 一種特殊的shell(例如pfksh,而不是ksh)。這種shell能夠在執(zhí)行相關(guān)的命令前先查詢RBAC的數(shù)據(jù)庫看是否具備相關(guān)的執(zhí)行權(quán)限。
圖14 是用戶、權(quán)限以及授權(quán)的關(guān)系的圖解。
 |
| 圖14 用戶、權(quán)限以及授權(quán)的關(guān)系 |
圖14 說明:授權(quán)和命令的定義關(guān)聯(lián)起來構(gòu)成了權(quán)限配置文件,該權(quán)限配置文件再分派給不同的角色用戶來說使用。系統(tǒng)管理的一個重要的任務(wù)就是為訪問系統(tǒng)的任何一個用戶設(shè)置合適的系統(tǒng)帳戶。任何一個用戶需要有一個獨一無二的用戶名和用戶ID(UID),家目錄和登陸shell,你也能夠決定用戶需要訪問的組。
◆注釋:一個用戶帳號有以下幾不部分組成:
用戶名:用戶登陸系統(tǒng)的唯一的名字。用戶名也叫做登陸名。
口令:當(dāng)用戶訪問系統(tǒng)登陸需要輸入的結(jié)合了最大256個字母,數(shù)字,或者特殊字符的一種組合。
UID:用戶在系統(tǒng)中獨一無二的系統(tǒng)標(biāo)示。
GID:獨一無二的系統(tǒng)組標(biāo)示,標(biāo)示用戶屬于那個組。
注釋:標(biāo)示用戶信息。也可以理解為用戶情況的一個簡單描述信息
用戶的家目錄:用戶登陸系統(tǒng)以后用戶所在的目錄。這個目錄存儲了用戶的配置文件。
用戶登陸shell:通過用戶shell定義的用戶初始化文件設(shè)置用戶的工作環(huán)境。
