上節介紹了SMC 的基礎知識。本節筆者會結合具體案例使用SMC 進行用戶管理。
五、增加用戶
要增加用戶,請單擊「動作」->「增加用戶」,然后選擇用「使用精靈」或「從模板」,如圖:
 |
| 圖5 增加用戶 |
說明:利用用戶模板,您可以創建用戶共享的命名屬性集,將來創建新用戶時,您可以用那些屬性集為您的開始點。例如,您可以為生物課的新學生創建一個模板,或為新近的業務人員創建模板。(如果您在右邊窗口選擇「用戶模板」,請單擊「動作」->「打開」來查看現有模板的清單,如果有的話。「動作」菜單會更改以提供以下描述的選項。)要創建新用戶模板,請單擊「動作」->「增加用戶模板」。要查看或更改現有用戶模板的內容,請雙擊 模板的名稱。要從現有的模板創建新的模板,請選擇您已經創建的模板,然后單擊「動作」->「復制用戶模板」。
六、增加權限
權限是命名的集合,包含指令、使用特定應用程序(或在應用程序中執行特定功能)的授權和其它(以前創建)的權限;管理員可以授予或拒絕權限的使用。圖6是增加權限的引導圖。
 |
| 圖6 增加權限的引導圖 |
說明:如果您在右邊窗口選擇「權限」,請單擊「動作」->「打開」來查看現有權限的清單。然后,「動作」菜單就會更改以提供以下描述的選項。要增加清單,請單擊「動作」->「增加權限」。要查看或更改現有權限的內容,請雙擊 權限的名稱。注意:當您授予權限時,您便是授予用戶訪問特定指令,讓他們能夠執行管理功能、和允許他們對數據庫進行更改。提供的權限應該能夠涵蓋您大部分的需求。更改任何現有的權限之前,請確定您了解做任何更改可能造成的長遠和有效的含意。
在選擇“增加權限”命令后會出現四個引導欄目(圖7-圖10),通過指令和一些授權的組合可以生成一個新的權限。
 |
| 圖7 設置權限的名稱 |
 |
| 圖8 選擇指令對話框 |
 |
| 圖9 選擇授權對話框 |
|
| 圖10 輔助權限設置對話框 |
通過圖7-10的設置就完成一個權限的添加。#p#副標題#e#
七、添加角色
角色是用來授予權限給管理員的特殊帳戶。包括在每個角色屬性中的是可以擔任該角色的用戶清單以及授予該角色的權限清單。在創建主管理員角色時,會得到輸入以下信息的提示。表1是 使用 Solaris Management Console 添加角色時的字段說明。
表1 使用 Solaris Management Console 添加角色時的字段說明
| 字段名稱 | 功能說明 |
|
角色名 |
選擇管理員用來登錄特定角色的名稱。 |
|
全名 |
提供此角色完整的說明名稱。(可選) |
|
說明 |
提供此角色進一步的說明。 |
|
角色 ID 號 |
選擇指定給此角色的標識號。此標識號與 UID 的標識符集合相同。 |
|
角色 shell |
選擇在用戶登錄終端或控制臺窗口并在該窗口中承擔角色時運行的 shell。 |
|
創建角色郵件列表 |
創建一個與角色同名的郵件列表(如果選中的話)。使用此列表,可以向指定給該角色的每個人發送電子郵件。 |
|
角色口令和確認口令 |
設置和確認角色口令。 |
|
“可用的權限”和“授予的權限” |
向該角色指定權限,方法是從“可用的權限”列表中選擇權限并將它們添加到“授予的權限”列表中。 |
|
選擇起始目錄 |
選擇將作為該角色的專用文件存儲位置的起始目錄服務器。 |
|
向該角色指定用戶 |
將特定的用戶添加到該角色,以便他們能夠承擔該角色來執行特定任務。 |
使用“添加管理角色”向導,按照以下操作步驟來創建主管理員角色。
◆標識角色名、角色的全名、說明、角色ID 號、角色shell 以及是否希望創建角色郵件列表。單擊“下一步”。如圖11 。
 |
| 圖11 標識角色名稱 |
◆從“可用的權限”列中選擇“主管理員”權限并將其添加到“授予的權限”列中。單擊“下一步”。
◆為角色選擇起始目錄。單擊“下一步”。
◆將自己指定給可以承擔角色的用戶列表。單擊“下一步”。最后單擊“完成”按鈕。如圖12 。
 |
| 圖12 角色添加完成 |
說明:要指定用戶給角色,請選擇角色,然后單擊「動作」->「指定管理角色」。要指定權限給角色,請選擇角色,然后單擊「動作」->「指定權限給角色」。要查看或更改現有角色的屬性,請雙擊 角色的名稱。
八、增加群組
這是管理群組的工具。如果您在右邊窗口選擇「群組」,請單擊「動作」->「打開」來查看現有群組的清單。「動作」菜單會更改以提供以下描述的選項。
要增加群組,請單擊「動作」->「增加群組」。如圖13 。
 |
| 圖13 添加群組 |
要查看或更改現有群組的內容,請雙擊 群組名稱。
要將用戶復制到群組,請在「用戶帳戶」工具中選擇用戶,復制它們(用「動作」菜單)。然后,返回「群組」工具選擇群組,再單擊「動作」->「將用戶貼到群組」。
九、用戶、權限以及授權的關系
用戶管理是solaris系統的核心,系統所有的進程和文件都是由特定用戶擁有。并且分配給特定的用戶組。系統如果沒有有效的用戶和用戶組,也就沒有任何的數據活動,solaris系統管理員的首要任務就是管理用戶。
RBAC是“基于角色的訪問控制能力”英文的縮寫(Role Based Access Control),是Solaris操作系統所提供的一種先進的管理權限代理機制。傳統的基于超級用戶的系統給任何可以成為超級用戶的人授予超級用戶權限。從Solaris 8開始,Sun公司提供了RBAC這種基于角色的訪問控制能力:管理員可以給一般用戶分配有限的管理能力,實現更細粒度的用戶權限控制。概括而言,Solaris RBAC能夠有選擇性的將超級用戶的權限打包,并分配給對應的用戶。這樣,原來的一些必須由root用戶來操作的管理工作就可以由取得相關權限的用戶來完成了。Solaris 基于角色的訪問控制 (Role Based Access Control, RBAC) 增強功能軟件在 Solaris 10 OS 中稱為 Solaris 用戶權利管理軟件,該軟件使管理員能夠為各個用戶分配對程序和命令的特定訪問權限。這將減少管理錯誤或意外/惡意使用 IT 資源的可能性。用戶權利管理是集中式管理,能夠降低成本,提高靈活性。 理解Solaris RBAC中的幾個重要概念對于掌握本文的操作是非常重要的:
◆Authorization - 取得授權后,才有權限進行相關的操作。
◆Profile - 通過profile能夠將authorization及相關的操作編組,定義了允許以什么樣的權限執行何種命令。使用profile便于今后將具備這些授權的所有操作一次性的分配給用戶。
◆Profile Shell - 一種特殊的shell(例如pfksh,而不是ksh)。這種shell能夠在執行相關的命令前先查詢RBAC的數據庫看是否具備相關的執行權限。
圖14 是用戶、權限以及授權的關系的圖解。
 |
| 圖14 用戶、權限以及授權的關系 |
圖14 說明:授權和命令的定義關聯起來構成了權限配置文件,該權限配置文件再分派給不同的角色用戶來說使用。系統管理的一個重要的任務就是為訪問系統的任何一個用戶設置合適的系統帳戶。任何一個用戶需要有一個獨一無二的用戶名和用戶ID(UID),家目錄和登陸shell,你也能夠決定用戶需要訪問的組。
◆注釋:一個用戶帳號有以下幾不部分組成:
用戶名:用戶登陸系統的唯一的名字。用戶名也叫做登陸名。
口令:當用戶訪問系統登陸需要輸入的結合了最大256個字母,數字,或者特殊字符的一種組合。
UID:用戶在系統中獨一無二的系統標示。
GID:獨一無二的系統組標示,標示用戶屬于那個組。
注釋:標示用戶信息。也可以理解為用戶情況的一個簡單描述信息
用戶的家目錄:用戶登陸系統以后用戶所在的目錄。這個目錄存儲了用戶的配置文件。
用戶登陸shell:通過用戶shell定義的用戶初始化文件設置用戶的工作環境。
