SDMC 介紹
SDMC 的起源
之前有三種管理 Power 服務(wù)器的產(chǎn)品�����,每一種都有各自的 Web UI��,并且在管理功能上存在重復(fù)(如下表所示)
表 1. 三種管理 Power 服務(wù)器的產(chǎn)品
產(chǎn)品名稱 | 產(chǎn)品形式 | 功能范圍 |
| HMC | 硬件和軟件混合解決方案(Hardware Appliance - 默認(rèn)集成硬件、操作系統(tǒng)和管理軟件��,采用 MCP Linux) | 全面的虛擬化和服務(wù)管理功能 |
| IVM | 輕量級應(yīng)用(集成在 VIOS 之中) | 基本的虛擬化和服務(wù)管理功能 |
| IBM Systems Director | 軟件(安裝在管理服務(wù)器上) | 復(fù)雜的跨平臺管理功能 |
而 IBM 系統(tǒng)管理的方向是將各種管理平臺與 IBM Systems Director 集成,一是需要有統(tǒng)一的系統(tǒng)管理界面風(fēng)格����,二是需要有統(tǒng)一的產(chǎn)品名稱�����;谏鲜鰞煞N需求和方向的考慮,SDMC 這樣一種集成式系統(tǒng)管理產(chǎn)品便應(yīng)運而生了。
SDMC 的功能
SDMC 是下一代的 HMC���,它包含:
- HMC 已有的全部功能
- Systems Director 的基本和高級管理功能
主要功能包括 :
- 硬件管理
- 服務(wù)管理
- 硬件問題分析與診斷
- Call Home
- 遠(yuǎn)程調(diào)試
- 向?qū)ЬS修
- 并發(fā)維護
- 虛擬化管理
- 全面虛擬化管理功能
- 邏輯分區(qū)、虛擬 I/O���、分區(qū)移動
- Huge Page Memory����、HCA(IB)config 等
- 自管理
- 網(wǎng)絡(luò)、防火墻���、用戶與角色����、安全、DHCP 服務(wù)器等
- 全面的 Director 管理功能
- 發(fā)現(xiàn)��、虛擬化�����、監(jiān)控、自動化計劃
- 高級管理功能
SDMC 用戶管理概述
SDMC 的用戶管理涉及以下四方面的內(nèi)容:
1.SDMC 中用戶和用戶組的管理
2.SDMC 中維護角色模型
3.基于 RBAC 的授權(quán)模型
4.驗證用戶對資源的訪問權(quán)限
本文將對這四方面的內(nèi)容進(jìn)行比較詳細(xì)的敘述和講解��,對用戶管理方法��、理論進(jìn)行了較為深入的剖析�����,并且對如何使用 SDMC 進(jìn)行用戶管理也有比較詳細(xì)的描述。
SDMC 中用戶和用戶組的管理
SDMC 的默認(rèn)用戶
在 SDMC 中����,提供了三個默認(rèn)的用戶:sysadmin����、root、pe�,其中 sysadmin 用戶是最為常用的,它基本可以滿足客戶維護 SDMC 時的所有需求����。這三個默認(rèn)用戶的詳細(xì)信息�,如下表所示:
表 2.SDMC 的默認(rèn)用戶
用戶名 | 密碼 | 功能 |
| sysadmin | Passw0rd | 用于系統(tǒng)管理員登錄 SDMC |
| root | Passw0rd | 用于提供商維護 SDMC |
| pe | Passw0rd | 用于產(chǎn)品工程師對 SDMC 進(jìn)行支持服務(wù) |
注:用戶可在安裝 SDMC 過程中��,根據(jù)安裝向?qū)バ薷倪@三個默認(rèn)用戶的密碼���,如下圖所示:
圖 1. 修改 sysadmin 用戶的密碼
![]()
圖 2. 修改 root 用戶的密碼
![]()
圖 3. 修改 pe 用戶的密碼
![]()
SDMC 的其它用戶
除了默認(rèn)用戶,SDMC 還提供兩種創(chuàng)建用戶的方式����,一種是在安裝向?qū)е袆?chuàng)建,另一種是安裝好 SDMC 之后���,使用 SDMC 的創(chuàng)建用戶功能來創(chuàng)建新用戶�����。這樣���,用戶就能根據(jù)自己的需求�,創(chuàng)建出自定義的用戶���。下面將分別介紹這兩種方式��。
1. 在安裝向?qū)е袆?chuàng)建用戶
在安裝向?qū)е�����,將頁面跳轉(zhuǎn)到 Additional User 界面����,如下圖所示:
圖 4.Additional User 界面
![]()
點擊 Create User 按鈕�����,添加新用戶的窗口將會彈出��,如下圖所示:
圖 5.Add New User 窗口
![]()
在 Add New User 窗口中輸入用戶名和密碼�����,把用戶加入其所屬的用戶組��,點擊 OK 按鈕,新用戶就創(chuàng)建成功了。
2.安裝好 SDMC 之后�,使用 SDMC 的創(chuàng)建用戶功能來創(chuàng)建新用戶
使用 sysadmin 用戶登錄 SDMC����,在 welcome 界面����,點擊 Setting ��,如下圖所示:
圖 6.Setting 頁面
![]()
在 Setting 頁面下��,找到 Security tasks ,如下圖所示:
圖 7. Security tasks 列表
![]()
點擊“Create user account ”選項����,將會彈出新建用戶的窗口:
圖 8.Create user account 頁面
![]()
![]()
在這個窗口中����,用戶名和密碼是必填選項�。這個建立用戶的界面非常簡潔明了�,見名知意,用戶能快速準(zhǔn)確地創(chuàng)建出自己需要的用戶�����。
修改用戶密碼
前文已經(jīng)講到如何在 Setup Wizard 中修改默認(rèn)用戶的密碼���,那么如果在 SDMC 啟動之后用戶想修改密碼,該如何操作呢����?事實上,在 Setting 頁面下����,提供專門用于修改密碼的功能���,下面就是如何具體操作來修改用戶密碼。
在 Setting 頁面中���,選擇 Change User Account 選項�,修改密碼的窗口將會彈出��,如下圖所示:
圖 9.Security tasks 列表
![]()
圖 10.Change User Account Password 頁面
![]()
選擇需要修改密碼的用戶�����,然后輸入新的密碼��,這樣就很方便地實現(xiàn)了密碼修改����。
SDMC 用戶的密碼校驗和授權(quán)
對于一個 SDMC 用戶��,密碼既可以保存在本地�,進(jìn)行本地驗證�,也可以保存在 LDAP 或者 Kerberos 服務(wù)器上���,在這兩個服務(wù)器上進(jìn)行校驗和授權(quán)。因此 SDMC 用戶的密碼校驗和授權(quán)類型分為以下三種:Local OS����,LDAP���,Kerberos
- LocalOS 用戶:本地用戶���,密碼在 SDMC 內(nèi)部進(jìn)行校驗
- LDAP 用戶:當(dāng) SDMC 與 LDAP 服務(wù)器建立連接���,則 LDAP 類型的用戶將使用 LDAP Server 來進(jìn)行所屬組校驗��,密碼校驗
- Kerberos 用戶:當(dāng) SDMC 與 Kerberos 服務(wù)器建立連接,則 Kerberos 類型的用戶將使用 Kerberos 來進(jìn)行密碼校驗
注:如果一個 SDMC 與 LDAP�����,Kerberos 同時建立連接�,則驗證密碼的順序為:Kerberos Server-> LDAP Server -> Local (本文不專門針對如何與 LDAP、Kerberos 等服務(wù)器建立連接����,如何校驗和授權(quán)進(jìn)行具體介紹���,如感興趣��,請參考相關(guān)參考資源�。)
SDMC 中的用戶組
可能有一些用戶都具有相同的權(quán)限����,單個管理和授權(quán)會比較麻煩��,如何進(jìn)行集中管理呢?在 SDMC 中�,引入了用戶組這個概念來進(jìn)行用戶的集中管理,對于同一類型的用戶�����,如果需要統(tǒng)一改變他們的一些權(quán)限�����,則只需要修改相應(yīng)的用戶組即可,這樣使得用戶管理更為便捷和安全��。在 SDMC 中�����,默認(rèn)的有 4 種類型的用戶組,它們分別是:
表 3.SDMC 的默認(rèn)用戶組
用戶組名 | 描述 |
| Smadmin | 高級管理員用戶組�,擁有對 SDMC 所有任務(wù)和命令的權(quán)限,包括安全管理��,產(chǎn)品安裝和配置等���。 |
| Smmgr | 管理員用戶組��,擁有高級管理員的子權(quán)限�,通常來講��,它主要包括系統(tǒng)管理、系統(tǒng)健康管理,配置任務(wù)�。 |
| Smmon | 監(jiān)聽用戶組�����,可以監(jiān)聽高級功能提供只讀權(quán)限的部分�,主要起到對監(jiān)視器���、通告和狀態(tài)任務(wù)的監(jiān)聽�����。 |
| smuser | 普通用戶組���,只具有一些基本的功能,例如查看資源和屬性。 |
SDMC 以授權(quán)許可的方式創(chuàng)建用戶組���,具體操作如下:
1.在 welcome 界面�,展開 Security 菜單�����,如下圖所示:
圖 11.Security 菜單列表
![]()
2.點擊 User 選項�,進(jìn)入 User 界面,如下圖所示:
圖 12.Users 界面
![]()
3.點擊 Authorize Groups 按鈕����,進(jìn)入 Authorize User Groups 向?qū)����,如下圖所示:
圖 13.Welcome 頁面
![]()
4.點擊 Next �,進(jìn)入 User Group 頁面��,如下圖所示:
圖 14.User Group 頁面
![]()
選擇列表中的一個用戶組�,或者手動輸入已存在的但是未在列表中列出的用戶組����,點擊 Next 按鈕進(jìn)入 Summary 頁面���,點擊 Finish按鈕���,一個新的用戶組的授權(quán)就完成了,但是這樣的用戶組是沒有權(quán)限的�����,需要用戶自己添加權(quán)限�,后面會專門講到如何進(jìn)行這樣的操作�。
在 SDMC 中維護角色模型
SDMC 中�����,默認(rèn)的有 6 種角色����,如下圖所示:
圖 15.SDMC 的默認(rèn) 6 種角色
![]()
當(dāng)然,SDMC 提供用戶自己創(chuàng)建特有角色的功能�����,具體操作如下:
1. 展開 Security 菜單��,點擊 Roles 按鈕���,管理 Role 的頁面將出現(xiàn)���,如下圖所示:
圖 16.Roles 頁面
![]()
2. 點擊 Create 按鈕��,創(chuàng)建新的 role ����,如下圖所示:
圖 17.Welcome 頁面
![]()
3. 在 Welcome 頁面���,點擊 Next 進(jìn)入 Name 頁面����,如下圖所示:
圖 18. Name 頁面
![]()
在此處輸入新建 role 的名稱和具體描述
4. 在 Name 頁面點擊 Next 進(jìn)入 Permission 頁面,如下圖所示:
圖 19.Permission 頁面
![]()
此頁面即給新建的角色賦予權(quán)限����,分兩種方式:一種是選中 All permission ����,即給新建角色所有權(quán)限����;另一種方式是選中 Selected permission ���,用戶可以自己選擇適當(dāng)?shù)臋?quán)限賦予新建角色�,這種方式是比較常用的�����,因為一般情況下,所創(chuàng)建的角色都是只能擁有一部分功能的權(quán)限的。選擇權(quán)限之后��,點擊 Next 按鈕�,進(jìn)入 Summary 頁面�����,確認(rèn)所有信息正確之后��,點擊 Finish 按鈕����,這樣一個新的角色就創(chuàng)建完成了。
基于 RBAC 的授權(quán)模型
上文講了 SDMC 的用戶��,用戶組�,還有角色�����,事實上 SDMC 是基于 RBAC 的授權(quán)模型來組織管理用戶���,用戶組和角色的關(guān)系���,下圖可以給出一個比較直觀的映像:
圖 20. 用戶,用戶組和角色關(guān)系圖
![]()
將權(quán)限授予角色在上一節(jié)已經(jīng)講過����,下面具體說說如何把角色賦給用戶,用戶組����,操作如下:
1. 展開 Security 菜單,點擊 Users 按鈕
圖 21.Security 菜單列表
![]()
2. 在用戶管理頁面�����,選擇一個用戶組,這時 Assign Role 按鈕會處于高亮狀態(tài)�,點擊 Assign Role 按鈕,Assign Role 的配置頁面將會打開��,首先是 Welcome 頁面��,點擊 Next 按鈕�����,進(jìn)入 Roles 頁面
3. 在 Roles 頁面��,選擇你需要的角色��,單擊其前方的復(fù)選框(可以選擇一個或者多個角色)�,然后點擊 Next 按鈕,進(jìn)入 Groups 頁面���,這里的 Group 是可選項��,表明當(dāng)前用戶或者用戶組的操作范圍�,選擇一個或者多個 Group�,或者不選,然后點擊 Next 按鈕進(jìn)入Summary 頁面���,在 Summary 頁面確認(rèn)所有的信息都正確之后��,點擊 Finish 按鈕�,這樣就完成了將角色賦予用戶或者用戶組的任務(wù)。
驗證用戶對資源的訪問權(quán)限
上文講述了用戶�、用戶組��、角色以及他們之間的關(guān)系����,在實際操作中,用戶如果自定義了一個角色��,并且將這個角色賦予了一個自定義的用戶�����,要知道自定義的用戶的權(quán)限是否正確�,唯一的方法也是最行之有效的方法就是:
- 查看自定義用戶的權(quán)限
1.展開 Security 菜單,單擊 Users 選項
2.在 Users 頁面選中一個用戶��,直接點擊這個用戶名�����,進(jìn)入用戶屬性頁面
3.在用戶屬性頁面,選擇此用戶所擁有的角色�����,逐一查看這些角色的權(quán)限
圖 22. 查看角色權(quán)限頁面
![]()
- 檢驗新建用戶權(quán)限
當(dāng)我們知道了新建用戶都有什么權(quán)限之后����,用此新建用戶登錄 SDMC,逐一驗證即可����。
總結(jié)
以上即是 SDMC 中用戶管理的原理、方法和實現(xiàn)����,SDMC 給用戶提供了簡易方便且功能強大的用戶管理方法,此方法可以同理擴展到其它產(chǎn)品�����,讓所有擁有用戶管理的軟件都能受益���。
作者簡介
趙祎�,目前任職于 IBM�,主要方向為系統(tǒng)管理軟件的研發(fā)��,其它技術(shù)興趣還包括分布式與并行計算�����、網(wǎng)絡(luò)與通信軟件等����。
陳磊�,軟件工程師�,目前在 IBM CSTL 從事 CSDA 功能測試方面的工作。
范曉靜��,目前任職于 IBM�,現(xiàn)為 CSDA 組的 PM。
http://www.ibm.com/developerworks/cn/aix/library/1108_zhaoyi_sdmc6/index.html
免費注冊
發(fā)表于 2012-01-18 15:13