分类:
2008-03-24 16:54:36
一、SMC简介
在Solaris 9之前,实际上Soalris操作系统之前没有一个完整的管理界面,唯一可用的是Admintool。Admintool将软件包打包为一个软件群集合,使得对软件的管理更轻松。Admintool调用了软件包命令。在对软件的管理中可以交替地使用软件包命令和Admintool。比如说,可以使用Admintool来安装一个软件,但用pkgrm命令来将软件删除。也可以使用pkgadd命令安装软件并用Admintool来将其删除。不管软件如何被安装,Admintool将会显示系统中所有已安装的软件。
Soaris 9 开始出现的Solaris管理控制台(SMC,Solaris Management Console)功能比admintool要强得多。Solaris 10中SMC 版本是2.1 。Solaris管理控制台(SMC,Solaris Management Console) 是一个基于图形用户界面的"雨伞应用程序",用作不同管理工具的启动点。SMC 带有一个完整的工具箱,另外您还可以管理无盘客户机,但只能通过命令行,不能使用“图形用户界面”。您可以向缺省工具箱添加或删除工具,或通过使用"SMC 工具箱编辑器"创建一个新的工具箱来管理不同的工具集。Solaris Management Console 是基于 GUI 管理工具的容器,这些工具存储在被称为工具箱的集合中。该控制台中提供了一个缺省工具箱,其中包含多种基本管理工具,包括用于管理以下对象的工具:
◆进程 -- 暂停、恢复、监视和控制进程。
◆用户 -- 建立和维护用户帐户、用户模板、组、邮件列表、管理角色和权限。授予或拒绝用户和管理角色权限-控制每个用户是否可以使用特定应用程序,以及每个用户可以执行的任务。
◆预定作业 - 预定、启动和管理任务。
◆安装和共享 - 查看和管理安装、共享和使用信息。
◆磁盘 - 创建和查看磁盘分区。
◆串行端口 - 配置和管理现有串行端口。
◆日志查看程序 - 查看应用程序和命令行信息以及管理日志文件。
Solaris管理控制台(SMC,Solaris Management Console) 具体功能如下:
◆ 建立和维护用户帐户、用户模板、组、邮件列表、管理角色和权限。授予或拒绝用户和管理角色权限-控制每个用户是否可以使用特定应用程序,以及每个用户可以执行的任务。
◆为用户分派权限和角色;
◆创建实施用户策略;
◆定时、定期事实周期性工作;
◆监视进程、恢复进程、删除进程、挂起进程;
◆查看系统日志;
◆查看挂接的文件系统。
◆配置和管理现有串行端口。
◆创建和查看磁盘分区。
二、启动登录SMC
1.启动SMC
通过JDS图形界面启动Solaris管理控制台(SMC,Solaris Management Console),JDS就是Java desktop SYSTEM,是Sun于2003年提出的商用桌面运算推广方案,有Linux版与Solaris版。JDS下选择“开始”-“运行应用程序”-“smc”,如图1。
| 在JDS下 启动SMC |
另外和许多Unix 工具一样,smc 也有许多命令行参数。可以在命令行下启动:
% /usr/sadm/bin/smc &
2.Solaris Management Console 的窗口布局
Solaris Management Console控制台共有三个窗口,控制台首次启动可能需要一两分钟时间。Solaris Management Console 窗口控制台的主要部分由三部分组成,如图2:
| SMC窗口布局 |
◆导航窗口(左上侧)
导航窗口用于访问多个(或多组)工具、文件夹或其他工具箱。导航窗格中的图标称作节点,如果是文件夹或工具箱的话,则可以展开。在导航中单击某个项目便会决定出现在「查看」窗口中的东西。转动器图标会显示在代表项目群组的项目旁边;单击该图标或连续双击图标旁边的文字可以展开或隐藏该群组。导航窗口显示与否,取决于查看菜单中的显示设置。
◆查看窗口(右上侧)
查看窗口用来查看与在导航窗格中选择的节点有关的信息。查看窗格显示选定文件夹的内容、从属工具或与选定工具相关的数据。如果在导航窗口中所选择的节点是文件夹,该文件夹的内容就会显示在查看窗口中。如果选择的节点是简单的工具,就像「日期/时间」工具,时钟可能会显示出来。如果选择的节点是复杂的工具,就像「用户管理员」,内容可能会是用户帐户和电子邮件帐户的子工具;选择用户帐户节点和可能会显示出来的用户清单,并更改动作菜单使其允许编辑清单。
◆信息窗口(底部)
信息窗口用于显示关联说明或控制台事件。在控制台下方的「信息」窗口会视选择的内容说明」或控制台事件标记,决定显示「导航」窗口中选择之对象的内容说明或警报类型清单。信息窗口显示与否,取决于查看菜单中的显示设置。
3.Solaris Management Console的列显示
在查看-显示菜单中,开源控制Solaris Management Console的显示选择,包括三列:
◆工具列
“工具列”和其他软件的工具列类似,位于主菜单的下方。
◆位置列
位置列位在控制台的工具列下方,包含一个主工具箱图标、工具箱字段 (指示当前的工具箱以及在工具箱中所选择的项目),以及下拉菜单 (包含最近所造访过的工具箱)。单击主工具箱图标,以打开主工具箱。从下拉菜单中选择工具箱,以便打开该工具箱。位置列显示与否,取决于「查看」菜单中的「显示」设置;详细信息请参阅查看菜单。
◆状态列
状态列位于控制台的正下方。状态列的左边窗口会显示导航窗口中选择的节点下的项目(节点)数目。状态列的中间窗口指示控制台的活动-例如装入工具-藉由前后的「阴影」移动。状态列的右边窗口则会提供一些控制台工作期间的进度信息,包括打开工具箱文件。状态列显示与否,取决于查看菜单中的显示设置;详细信息请参阅查看菜单。
4. SMC控制台登录
启动SMC后要进入相应的栏目必须程序进行认证。输入用户名称与口令,然后点击 确定 。若是您被允许成为一个角色,下一步会显示该 角色名称 登录对话框。否则, 控制台 中会显示所选择的工具箱。说明如果您是第一个登录到这个 SMC 服务器的人,可能必须以 root 的身份登录并输入 root 的口令,这样您就可以设置用户帐户、使用名称服务、指定权限和角色给用户,并且执行其它重要的引导作业。如图3。
| 使用管理员权限登录 |
点击 控制台 下面的 控制台登录 标记来列出可以在 控制台登录 日志中查看的登录事件类型。仅有那些已经登录的事件类型会显示出来。点击 信息 窗口中的任何链接来查看选择事件类型的登录。点击登录中的个别事件来查看该事件的简要描述。
5.使用SMC 进行用户管理
用户工具是一组管理用户帐户、用户群组和邮件清单的工具。图4是用户管理界面,
| SMC用户界面 |
图3说明:
用户账号:为本系统添加和删除用户账号。
用户模板:为本系统添加和删除用户模板。
权限:通过一些命令和现有的权限,组成新权限,可以调用一些命令。
管理角色:为本系统添加和删除某种角色。
群组:为本系统添加和删除用户组。
邮件清单:为用户添加和删除邮件清单。
小结:到此为止我们介绍了SMC 的基础知识。下面笔者会结合具体案例使用SMC 进行用户管理。
五、增加用户
要增加用户,请单击「动作」->「增加用户」,然后选择用「使用精灵」或「从模板」,如图:
| 图5 增加用户 |
说明:利用用户模板,您可以创建用户共享的命名属性集,将来创建新用户时,您可以用那些属性集为您的开始点。例如,您可以为生物课的新学生创建一个模板,或为新近的业务人员创建模板。(如果您在右边窗口选择「用户模板」,请单击「动作」->「打开」来查看现有模板的清单,如果有的话。「动作」菜单会更改以提供以下描述的选项。)要创建新用户模板,请单击「动作」->「增加用户模板」。要查看或更改现有用户模板的内容,请双击 模板的名称。要从现有的模板创建新的模板,请选择您已经创建的模板,然后单击「动作」->「复制用户模板」。
六、增加权限
权限是命名的集合,包含指令、使用特定应用程序(或在应用程序中执行特定功能)的授权和其它(以前创建)的权限;管理员可以授予或拒绝权限的使用。图6是增加权限的引导图。
| 图6 增加权限的引导图 |
说明:如果您在右边窗口选择「权限」,请单击「动作」->「打开」来查看现有权限的清单。然后,「动作」菜单就会更改以提供以下描述的选项。要增加清单,请单击「动作」->「增加权限」。要查看或更改现有权限的内容,请双击 权限的名称。注意:当您授予权限时,您便是授予用户访问特定指令,让他们能够执行管理功能、和允许他们对数据库进行更改。提供的权限应该能够涵盖您大部分的需求。更改任何现有的权限之前,请确定您了解做任何更改可能造成的长远和有效的含意。
在选择“增加权限”命令后会出现四个引导栏目(图7-图10),通过指令和一些授权的组合可以生成一个新的权限。
| 图7 设置权限的名称 |
| 图8 选择指令对话框 |
| 图9 选择授权对话框 |
| 图10 辅助权限设置对话框 |
通过图7-10的设置就完成一个权限的添加。
七、添加角色
角色是用来授予权限给管理员的特殊帐户。包括在每个角色属性中的是可以担任该角色的用户清单以及授予该角色的权限清单。在创建主管理员角色时,会得到输入以下信息的提示。表1是 使用 Solaris Management Console 添加角色时的字段说明。
表1 使用 Solaris Management Console 添加角色时的字段说明
| 字段名称 | 功能说明 |
|
角色名 |
选择管理员用来登录特定角色的名称。 |
|
全名 |
提供此角色完整的说明名称。(可选) |
|
说明 |
提供此角色进一步的说明。 |
|
角色 ID 号 |
选择指定给此角色的标识号。此标识号与 UID 的标识符集合相同。 |
|
角色 shell |
选择在用户登录终端或控制台窗口并在该窗口中承担角色时运行的 shell。 |
|
创建角色邮件列表 |
创建一个与角色同名的邮件列表(如果选中的话)。使用此列表,可以向指定给该角色的每个人发送电子邮件。 |
|
角色口令和确认口令 |
设置和确认角色口令。 |
|
“可用的权限”和“授予的权限” |
向该角色指定权限,方法是从“可用的权限”列表中选择权限并将它们添加到“授予的权限”列表中。 |
|
选择起始目录 |
选择将作为该角色的专用文件存储位置的起始目录服务器。 |
|
向该角色指定用户 |
将特定的用户添加到该角色,以便他们能够承担该角色来执行特定任务。 |
使用“添加管理角色”向导,按照以下操作步骤来创建主管理员角色。
◆标识角色名、角色的全名、说明、角色ID 号、角色shell 以及是否希望创建角色邮件列表。单击“下一步”。如图11 。
| 图11 标识角色名称 |
◆从“可用的权限”列中选择“主管理员”权限并将其添加到“授予的权限”列中。单击“下一步”。
◆为角色选择起始目录。单击“下一步”。
◆将自己指定给可以承担角色的用户列表。单击“下一步”。最后单击“完成”按钮。如图12 。
| 图12 角色添加完成 |
说明:要指定用户给角色,请选择角色,然后单击「动作」->「指定管理角色」。要指定权限给角色,请选择角色,然后单击「动作」->「指定权限给角色」。要查看或更改现有角色的属性,请双击 角色的名称。
八、增加群组
这是管理群组的工具。如果您在右边窗口选择「群组」,请单击「动作」->「打开」来查看现有群组的清单。「动作」菜单会更改以提供以下描述的选项。
要增加群组,请单击「动作」->「增加群组」。如图13 。
| 图13 添加群组 |
要查看或更改现有群组的内容,请双击 群组名称。
要将用户复制到群组,请在「用户帐户」工具中选择用户,复制它们(用「动作」菜单)。然后,返回「群组」工具选择群组,再单击「动作」->「将用户贴到群组」。
九、用户、权限以及授权的关系
用户管理是solaris系统的核心,系统所有的进程和文件都是由特定用户拥有。并且分配给特定的用户组。系统如果没有有效的用户和用户组,也就没有任何的数据活动,solaris系统管理员的首要任务就是管理用户。
RBAC是“基于角色的访问控制能力”英文的缩写(Role Based Access Control),是Solaris操作系统所提供的一种先进的管理权限代理机制。传统的基于超级用户的系统给任何可以成为超级用户的人授予超级用户权限。从Solaris 8开始,Sun公司提供了RBAC这种基于角色的访问控制能力:管理员可以给一般用户分配有限的管理能力,实现更细粒度的用户权限控制。概括而言,Solaris RBAC能够有选择性的将超级用户的权限打包,并分配给对应的用户。这样,原来的一些必须由root用户来操作的管理工作就可以由取得相关权限的用户来完成了。Solaris 基于角色的访问控制 (Role Based Access Control, RBAC) 增强功能软件在 Solaris 10 OS 中称为 Solaris 用户权利管理软件,该软件使管理员能够为各个用户分配对程序和命令的特定访问权限。这将减少管理错误或意外/恶意使用 IT 资源的可能性。用户权利管理是集中式管理,能够降低成本,提高灵活性。 理解Solaris RBAC中的几个重要概念对于掌握本文的操作是非常重要的:
◆Authorization - 取得授权后,才有权限进行相关的操作。
◆Profile - 通过profile能够将authorization及相关的操作编组,定义了允许以什么样的权限执行何种命令。使用profile便于今后将具备这些授权的所有操作一次性的分配给用户。
◆Profile Shell - 一种特殊的shell(例如pfksh,而不是ksh)。这种shell能够在执行相关的命令前先查询RBAC的数据库看是否具备相关的执行权限。
图14 是用户、权限以及授权的关系的图解。
| 图14 用户、权限以及授权的关系 |
◆注释:一个用户帐号有以下几不部分组成:
用户名:用户登陆系统的唯一的名字。用户名也叫做登陆名。
口令:当用户访问系统登陆需要输入的结合了最大256个字母,数字,或者特殊字符的一种组合。
UID:用户在系统中独一无二的系统标示。
GID:独一无二的系统组标示,标示用户属于那个组。
注释:标示用户信息。也可以理解为用户情况的一个简单描述信息
用户的家目录:用户登陆系统以后用户所在的目录。这个目录存储了用户的配置文件。
用户登陆shell:通过用户shell定义的用户初始化文件设置用户的工作环境。
