分类:
2008-05-27 10:12:47
Solaris虽然所有的功能都可以在命令行中完成,但对于一般的用户图形化的操作更能提高工作的效率。在Solaris 9之前,实际上Soalris操作系统之前没有一个完整的管理界面,唯一可用的是Admintool。Admintool将软件包打包为一个软件群集合,使得对软件的管理更轻松。
上节介绍了SMC 的基础知识。本节笔者会结合具体案例使用SMC 进行用户管理。
五、增加用户
要增加用户,请单击「动作」->「增加用户」,然后选择用「使用精灵」或「从模板」,如图:
| 图5 增加用户 |
说明:利用用户模板,您可以创建用户共享的命名属性集,将来创建新用户时,您可以用那些属性集为您的开始点。例如,您可以为生物课的新学生创建一个模板,或为新近的业务人员创建模板。(如果您在右边窗口选择「用户模板」,请单击「动作」->「打开」来查看现有模板的清单,如果有的话。「动作」菜单会更改以提供以下描述的选项。)要创建新用户模板,请单击「动作」->「增加用户模板」。要查看或更改现有用户模板的内容,请双击 模板的名称。要从现有的模板创建新的模板,请选择您已经创建的模板,然后单击「动作」->「复制用户模板」。
六、增加权限
权限是命名的集合,包含指令、使用特定应用程序(或在应用程序中执行特定功能)的授权和其它(以前创建)的权限;管理员可以授予或拒绝权限的使用。图6是增加权限的引导图。
| 图6 增加权限的引导图 |
说明:如果您在右边窗口选择「权限」,请单击「动作」->「打开」来查看现有权限的清单。然后,「动作」菜单就会更改以提供以下描述的选项。要增加清单,请单击「动作」->「增加权限」。要查看或更改现有权限的内容,请双击 权限的名称。注意:当您授予权限时,您便是授予用户访问特定指令,让他们能够执行管理功能、和允许他们对数据库进行更改。提供的权限应该能够涵盖您大部分的需求。更改任何现有的权限之前,请确定您了解做任何更改可能造成的长远和有效的含意。
在选择“增加权限”命令后会出现四个引导栏目(图7-图10),通过指令和一些授权的组合可以生成一个新的权限。
| 图7 设置权限的名称 |
| 图8 选择指令对话框 |
| 图9 选择授权对话框 |
| 图10 辅助权限设置对话框 |
通过图7-10的设置就完成一个权限的添加。
七、添加角色
角色是用来授予权限给管理员的特殊帐户。包括在每个角色属性中的是可以担任该角色的用户清单以及授予该角色的权限清单。在创建主管理员角色时,会得到输入以下信息的提示。表1是 使用 Solaris Management Console 添加角色时的字段说明。
表1 使用 Solaris Management Console 添加角色时的字段说明
| 字段名称 | 功能说明 |
|
角色名 |
选择管理员用来登录特定角色的名称。 |
|
全名 |
提供此角色完整的说明名称。(可选) |
|
说明 |
提供此角色进一步的说明。 |
|
角色 ID 号 |
选择指定给此角色的标识号。此标识号与 UID 的标识符集合相同。 |
|
角色 shell |
选择在用户登录终端或控制台窗口并在该窗口中承担角色时运行的 shell。 |
|
创建角色邮件列表 |
创建一个与角色同名的邮件列表(如果选中的话)。使用此列表,可以向指定给该角色的每个人发送电子邮件。 |
|
角色口令和确认口令 |
设置和确认角色口令。 |
|
“可用的权限”和“授予的权限” |
向该角色指定权限,方法是从“可用的权限”列表中选择权限并将它们添加到“授予的权限”列表中。 |
|
选择起始目录 |
选择将作为该角色的专用文件存储位置的起始目录服务器。 |
|
向该角色指定用户 |
将特定的用户添加到该角色,以便他们能够承担该角色来执行特定任务。 |
使用“添加管理角色”向导,按照以下操作步骤来创建主管理员角色。
◆标识角色名、角色的全名、说明、角色ID 号、角色shell 以及是否希望创建角色邮件列表。单击“下一步”。如图11 。
| 图11 标识角色名称 |
◆从“可用的权限”列中选择“主管理员”权限并将其添加到“授予的权限”列中。单击“下一步”。
◆为角色选择起始目录。单击“下一步”。
◆将自己指定给可以承担角色的用户列表。单击“下一步”。最后单击“完成”按钮。如图12 。
| 图12 角色添加完成 |
说明:要指定用户给角色,请选择角色,然后单击「动作」->「指定管理角色」。要指定权限给角色,请选择角色,然后单击「动作」->「指定权限给角色」。要查看或更改现有角色的属性,请双击 角色的名称。
八、增加群组
这是管理群组的工具。如果您在右边窗口选择「群组」,请单击「动作」->「打开」来查看现有群组的清单。「动作」菜单会更改以提供以下描述的选项。
要增加群组,请单击「动作」->「增加群组」。如图13 。
| 图13 添加群组 |
要查看或更改现有群组的内容,请双击 群组名称。
要将用户复制到群组,请在「用户帐户」工具中选择用户,复制它们(用「动作」菜单)。然后,返回「群组」工具选择群组,再单击「动作」->「将用户贴到群组」。
九、用户、权限以及授权的关系
用户管理是solaris系统的核心,系统所有的进程和文件都是由特定用户拥有。并且分配给特定的用户组。系统如果没有有效的用户和用户组,也就没有任何的数据活动,solaris系统管理员的首要任务就是管理用户。
RBAC是“基于角色的访问控制能力”英文的缩写(Role Based Access Control),是Solaris操作系统所提供的一种先进的管理权限代理机制。传统的基于超级用户的系统给任何可以成为超级用户的人授予超级用户权限。从Solaris 8开始,Sun公司提供了RBAC这种基于角色的访问控制能力:管理员可以给一般用户分配有限的管理能力,实现更细粒度的用户权限控制。概括而言,Solaris RBAC能够有选择性的将超级用户的权限打包,并分配给对应的用户。这样,原来的一些必须由root用户来操作的管理工作就可以由取得相关权限的用户来完成了。Solaris 基于角色的访问控制 (Role Based Access Control, RBAC) 增强功能软件在 Solaris 10 OS 中称为 Solaris 用户权利管理软件,该软件使管理员能够为各个用户分配对程序和命令的特定访问权限。这将减少管理错误或意外/恶意使用 IT 资源的可能性。用户权利管理是集中式管理,能够降低成本,提高灵活性。 理解Solaris RBAC中的几个重要概念对于掌握本文的操作是非常重要的:
◆Authorization - 取得授权后,才有权限进行相关的操作。
◆Profile - 通过profile能够将authorization及相关的操作编组,定义了允许以什么样的权限执行何种命令。使用profile便于今后将具备这些授权的所有操作一次性的分配给用户。
◆Profile Shell - 一种特殊的shell(例如pfksh,而不是ksh)。这种shell能够在执行相关的命令前先查询RBAC的数据库看是否具备相关的执行权限。
图14 是用户、权限以及授权的关系的图解。
| 图14 用户、权限以及授权的关系 |
◆注释:一个用户帐号有以下几不部分组成:
用户名:用户登陆系统的唯一的名字。用户名也叫做登陆名。
口令:当用户访问系统登陆需要输入的结合了最大256个字母,数字,或者特殊字符的一种组合。
UID:用户在系统中独一无二的系统标示。
GID:独一无二的系统组标示,标示用户属于那个组。
注释:标示用户信息。也可以理解为用户情况的一个简单描述信息
用户的家目录:用户登陆系统以后用户所在的目录。这个目录存储了用户的配置文件。
用户登陆shell:通过用户shell定义的用户初始化文件设置用户的工作环境。
