第2 章
31
SolarisManagement Console 有三个主要的组件:
■ SolarisManagement Console 客户机
称作控制台,此组件是可视界面,其中包含用于执行管理任务的GUI 工具。
■ SolarisManagement Console 服务器
此组件位于与控制台相同的计算机上或位于远程计算机上。此组件提供所有后端功
能,允许通过控制台进行管理。
■ SolarisManagement Console 工具箱编辑器
此应用程序的外观与控制台相似,可用于添加或修改工具箱、向工具箱中添加工具
或扩展工具箱的作用范围。例如,可以添加用于管理名称服务域的工具箱。
启动控制台时,会看到缺省的工具箱。
Solaris Management Console 工具
下表介绍SolarisManagement Console 缺省工具箱中包含的工具,并提供了对每个工具
背景信息的交叉引用。
表2–1 SolarisManagementConsole 工具套件
类别工具说明更多信息
系统状态系统信息监视和管理系统信
息,如日期、时间
和时区
《系统管理指南:高级管理》中的第12 章“显
示和更改系统信息(任务)”
日志查看器监视和管理Solaris
Management Console
工具日志和系统日
志
《系统管理指南:高级管理》中的第21 章“软
件问题疑难解答(概述)”
进程监视和管理系统进
程
《系统管理指南:高级管理》中的“进程和系统
性能”
性能监视系统性能《系统管理指南:高级管理》中的第18 章“管
理系统性能(概述)”
系统配置用户管理用户、权限、
角色、组和邮件列
表
第70 页中的“什么是用户帐户和组?”
和《系统管理指南:安全性服务》中的“基于角
色的访问控制(概述)”
项目在/etc/project 数
据库中创建和管理
项
《系统管理指南:Solaris Containers-资源管理
和Solaris Zones》中的第2 章“项目和任务(概
述)”
Solaris Management Console(概述)
32 系统管理指南:基本管理• 2006 年7 月
表2–1 SolarisManagementConsole 工具套件(续)
类别工具说明更多信息
计算机和网络创建和监视计算机
和网络信息
SolarisManagement Console 联机帮助
修补程序管理修补程序第20 章
服务预定的作业创建和管理预定的
cron 作业
《系统管理指南:高级管理》中的“自动执行系
统任务的方法”
存储挂载和共享挂载和共享文件系
统
《系统管理指南:设备和文件系统》中的第19
章“挂载和取消挂载文件系统(任务)”
磁盘创建和管理磁盘分
区
《系统管理指南:设备和文件系统》中的第11
章“管理磁盘(概述)”
增强的存储创建和管理卷、热
备份池、状态数据
库副本和磁盘集
《Solaris VolumeManager 管理指南》
设备和硬件串行端口设置终端和调制解
调器
《系统管理指南:高级管理》中的第8 章“管
理终端和调制解调器(概述)”
在启动工具之后,可以使用关联说明。有关比关联说明提供的信息更详细更广泛的联
机信息,请参见展开的帮助主题。可以从控制台的“帮助”菜单中访问这些帮助主题。
为何要使用Solaris Management Console?
控制台为管理员提供一组具有许多优点的工具。控制台具有如下功能:
■ 为具有不同经验的用户提供支持
没有经验的管理员可以通过使用GUI(其中包括对话框、向导和关联说明)来完成
任务。有经验的管理员会发现,控制台可以方便而安全地替代vi 来管理分散在许多
系统中的数百个配置参数。
■ 控制用户对系统的访问
虽然缺省情况下任何用户都可以访问控制台,但是,只有超级用户才能更改初始配
置。如《系统管理指南:安全性服务》中的“基于角色的访问控制(概述)”中所
述,可以创建称为角色的特殊用户帐户,将所创建的角色指定给允许对系统进行特
定更改的用户(通常是管理员)。
RBAC 的主要优点是可以限制角色,以便用户只能访问执行其作业所必需的那些任
务。RBAC 不是使用Solaris 管理工具所必需的。无需进行任何更改,便能以超级用
户身份运行所有的工具。
■ 提供命令行界面
Solaris Management Console(概述)
第2 章• 使用Solaris Management Console(任务) 33
如有必要,管理员可以通过命令行界面(command-line interface, CLI) 对Solaris 管理
工具进行操作。某些命令是专门为了模仿GUI 工具的功能(如用来管理用户的命
令)而编写的。这些新命令列在表1–6 中,该表中包括每个命令的名称及简要说
明。还有针对每个命令的手册页。
对于没有特殊命令的Solaris 管理工具(如挂载和共享工具),使用标准的UNIX 命
令。
有关RBAC 的工作方式、优点以及如何将这些优点应用到站点的详细信息,请参
见《系统管理指南:安全性服务》中的“基于角色的访问控制(概述)”。
要了解有关使用RBAC 和Solaris 管理工具的详细信息,请参见第38 页中的“使用
RBAC 和Solaris 管理工具(任务图)”。
Solaris Management Console 的组织
在下图中所显示的控制台中,用户工具处于打开状态。
图2–1 SolarisManagementConsole-“用户”工具
控制台的主要部分由三个窗格组成:
■ 导航窗格(左侧)-用于访问多个(或多组)工具、文件夹或其他工具箱。导航窗
格中的图标称作节点,如果是文件夹或工具箱的话,则可以展开。
Solaris Management Console(概述)
34 系统管理指南:基本管理• 2006 年7 月
■ 查看窗格(右侧)-用来查看与在导航窗格中选择的节点有关的信息。查看窗格显
示选定文件夹的内容、从属工具或与选定工具相关的数据。
■ 信息窗格(底部)-用于显示关联说明或控制台事件。
更改Solaris Management Console 窗口
控制台窗口布局具有高度可配置性。可以使用以下功能更改控制台窗口的布局:
■ 查看菜单-使用“查看”菜单中的“显示”选项隐藏或显示可选栏和窗格。“查看”菜单中
的其他选项控制节点在查看窗格中的显示方式。
■ 控制台菜单-使用“首选项”选项可设置如下内容:初始工具箱、窗格的方向、对所
选内容的单击或双击、工具栏中的文本或图标、字体、缺省情况下加载的工具、验
证提示和高级登录。
■ 关联说明或控制台事件开关-使用信息窗格底部的图标,可以在显示关联说明和控
制台事件之间切换。
Solaris Management Console 文档
控制台及其工具使用方法文档的主要来源是联机帮助系统。联机帮助有两种形式:关
联说明和展开的帮助主题。
■ 关联说明介绍如何使用控制台工具。
在选项卡、输入字段、单选按钮等上面单击光标,可以在“信息”窗格中显示相应的
帮助。可单击对话框和向导中的问号按钮来关闭或重新打开“信息”窗格。
■ 展开的帮助主题可从帮助菜单或单击某个关联说明中的交叉引用链接来访问。
这些主题在单独的查看器中显示,其中包含的信息比关联说明中提供的信息更详
细。主题中包括每个工具的概述、对每个工具工作方式的介绍、特定工具使用的文
件以及疑难解答。
有关每个工具的简要概述,请参阅表2–1。
在多大程度上进行基于角色的访问控制?
如第33 页中的“为何要使用SolarisManagement Console?”中所述,使用Solaris 管理
工具的一个主要优点就是能够使用基于角色的访问控制(Role-Based Access Control,
RBAC)。RBAC 只为管理员提供访问执行其作业所必需的工具和命令的权限。
根据安全要求,可以在不同程度上使用RBAC。
Solaris Management Console(概述)
第2 章• 使用Solaris Management Console(任务) 35
RBAC 方法说明更多信息
无RBAC 允许您以超级用户身
份执行所有任务。允
许您以自己的身份进
行登录。在选择Solaris
管理工具时,可以指
定root 用户和root 口
令。
第37 页中的“如何成为超级用户(root) 或承担角色”
root 作为角色消除匿名root 登录并
禁止用户以root 身份
登录。此方法要求用
户先以各自的身份登
录,然后再承担root
角色。
请注意,无论是否使
用其他角色,都可以
应用此方法。
《系统管理指南:安全性服务》中的“如何规划RBAC
实现”
仅单一角色使用主管理员角色,
该角色与仅具有root
访问权限的角色基本
相同。
第40 页中的“创建主管理员角色”
建议的角色使用三个易于配置的
角色:主管理员、系
统管理员和操作员。
这些角色适用于其管
理员具有不同级别职
责的组织,管理员的
作业功能与所建议的
角色大致相符。
《系统管理指南:安全性服务》中的“基于角色的访问
控制(概述)”
自定义角色您可以根据组织的安
全需要来添加自己的
角色。
《系统管理指南:安全性服务》中的“管理RBAC”和
《系统管理指南:安全性服务》中的“如何规划RBAC
实现”
成为超级用户(root) 或承担角色
多数管理任务(如添加用户、文件系统和打印机)要求您首先以root (UID=0) 身份登
录或者承担角色(如果使用RBAC)。root 帐户又称作超级用户帐户,可用来对系统进
行更改,还可以在紧急情况下覆盖用户的文件保护。
为防止随意更改系统,超级用户帐户和角色只应当用来执行管理任务。与超级用户帐
户相关的安全问题就是,即使用户执行很少的任务,也能够完全访问系统。
在非RBAC 环境中,可以超级用户的身份登录系统,也可以使用su 命令切换到超级用
户帐户。如果实现了RBAC,则可以通过控制台承担角色,或者使用su 指定角色。
成为超级用户(root) 或承担角色
36 系统管理指南:基本管理• 2006 年7 月
在使用控制台执行管理任务时,可以执行以下操作之一:
■ 以自己的身份登录控制台,然后提供root 用户名和口令
■ 以自己的身份登录控制台,然后承担角色
RBAC 的一个主要优点就是,可以创建对特定功能进行有限访问的角色。如果使用
RBAC,则可以通过承担角色(而不是成为超级用户)来运行受限制的应用程序。
有关创建主管理员角色的分步说明,请参见第41 页中的“如何创建第一个角色(主管
理员)”。有关使用RBAC 的概述,请参见《系统管理指南:安全性服务》中的第9
章“使用基于角色的访问控制(任务)”。
▼ 如何成为超级用户(root) 或承担角色
可通过使用以下方法之一成为超级用户或承担角色。每种方法都要求您知道超级用户
口令或角色口令。
成为超级用户。通过选择以下方法之一来成为超级用户:
■ 以用户身份登录,启动SolarisManagement Console,选择一个Solaris 管理工具,然
后以root 身份登录。
通过此方法可以从控制台执行任何管理任务。
有关启动SolarisManagement Console 的信息,请参见第49 页中的“如何在名称服
务环境中启动SolarisManagement Console”。
■ 以超级用户身份登录系统控制台。
hostname console: root
Password: root-password
#
井号(#) 是超级用户帐户的Bourne shell 提示符。
此方法提供对所有系统命令和工具的完全访问权限。
■ 以用户身份登录,然后通过在命令行上使用su 命令切换到超级用户帐户。
% su
Password: root-password
#
此方法提供对所有系统命令和工具的完全访问权限。
■ 以超级用户身份远程登录。
此方法在缺省情况下处于禁用状态。必须修改/etc/default/login 文件,允许以超
级用户身份远程登录系统控制台。有关修改此文件的信息,请参见《系统管理指南
:安全性服务》中的第3 章“控制对系统的访问(任务)”。
1
成为超级用户(root) 或承担角色
第2 章• 使用Solaris Management Console(任务) 37
此方法提供对所有系统命令和工具的完全访问权限。
承担角色。通过选择以下方法之一来承担角色:
■ 以用户身份登录,然后通过在命令行上使用su 命令切换到角色。
% su role
Password: role-password
$
此方法提供对角色能够访问的所有命令和工具的访问权限。
■ 以用户身份登录,启动SolarisManagement Console,选择一个Solaris 管理工具,然
后承担角色。
有关启动SolarisManagement Console 的信息,请参见第42 页中的“如何以超级用
户或角色身份启动控制台”。
此方法提供对角色能够访问的Solaris 管理工具的访问权限。
使用RBAC 和Solaris 管理工具(任务图)
此任务图介绍在希望使用RBAC 安全功能(而非超级用户帐户)执行管理任务时需要
执行的操作。
注– 本章中的信息介绍如何使用控制台和RBAC。本章包括的RBAC概述和任务信息演
示了最初如何用控制台设置RBAC。
有关RBAC 以及如何在其他应用程序中使用RBAC 的详细信息,请参见《系统管理指南
:安全性服务》中的“基于角色的访问控制(概述)”。
任务说明参考
1. 启动控制台。如果已经设置了用户帐
户,请以自己的身份启动
控制台。然后,以root
身份登录控制台。如果尚
未设置用户帐户,请首先
成为超级用户,然后启动
控制台。
第42 页中的“如何以超级用户或角色身份启动控制
台”
2. 为自己添加一个
用户帐户。
如果您还没有用户帐户,
请为自己添加一个帐户。
SolarisManagement Console 联机帮助
第39 页中的“如果是首次登录控制台”
2
使用RBAC 和Solaris 管理工具(任务图)
38 系统管理指南:基本管理• 2006 年7 月
任务说明参考
3. 创建主管理员角
色
创建主管理员角色。然
后,将自己添加到此角色
中。
第41 页中的“如何创建第一个角色(主管理员)”
4. 承担主管理员角
色。
在创建主管理员角色之后
承担此角色。
第41 页中的“如何承担主管理员角色”
5. (可选)使root
成为角色。
使root 成为角色并将自
己添加到root 角色中,以
便其他用户无法使用su
命令来成为root。
《系统管理指南:安全性服务》中的“如何规划
RBAC 实现”
6. (可选)创建其
他管理角色。
创建其他管理角色并向每
个角色授予相应的权限。
然后,向每个角色中添加
相应的用户。
《系统管理指南:安全性服务》中的第9 章“使用基
于角色的访问控制(任务)”
以下几节提供有关使用SolarisManagement Console 和RBAC 安全功能的概述信息和分
步说明。
如果是首次登录控制台
如果您是第一个登录控制台的管理员,请以用户(您自己)的身份启动控制台。然后
以超级用户身份登录。此方法提供对所有控制台工具的完全访问权限。
下面是一些常见步骤,具体情况取决于您是否使用RBAC:
■ 不使用RBAC-如果您选择不使用RBAC,可继续以超级用户身份工作。所有其他管
理员都还将需要root 访问权限以执行其作业。
■ 使用RBAC-您将需要执行以下操作:
■ 如果您还没有帐户,请设置一个帐户。
■ 创建名为主管理员的角色。
■ 向所创建的角色指定主管理员权限。
■ 向该角色指定用户帐户。
有关创建主管理员角色的分步说明,请参见第41 页中的“如何创建第一个角色
(主管理员)”。
有关使用RBAC 的概述,请参见《系统管理指南:安全性服务》中的第9 章“使
用基于角色的访问控制(任务)”。
使用RBAC 和Solaris 管理工具(任务图)
第2 章• 使用Solaris Management Console(任务) 39
创建主管理员角色
管理员角色是特殊的用户帐户。允许承担角色的用户执行一组预定义的管理任务。
允许主管理员角色像超级用户那样执行所有的管理功能。
如果您是超级用户或者是承担主管理员角色的用户,则可以定义允许其他管理员执行
的任务。使用“添加管理角色”向导,可以创建角色,授予角色权限,然后指定允许哪些
用户承担该角色。权限是一个已命名的命令或授权集合,这些命令或授权是使用某些
特定应用程序所需的。使用权限,可以在应用程序中执行特定的功能。管理员可以授
予或拒绝授予使用权限。
在创建主管理员角色时,会得到输入以下信息的提示。
表2–2 使用SolarisManagementConsole 添加角色时的字段说明
字段名说明
角色名选择管理员用来登录特定角色的名称。
全名提供此角色完整的说明名称。(可选)
说明提供此角色进一步的说明。
角色ID 号选择指定给此角色的标识号。此标识号与UID 的标识符集合相
同。
角色shell 选择在用户登录终端或控制台窗口并在该窗口中承担角色时运行的
shell。
创建角色邮件列表创建一个与角色同名的邮件列表(如果选中的话)。使用此列表,
可以向指定给该角色的每个人发送电子邮件。
角色口令和确认口令设置和确认角色口令。
“可用的权限”和“授予的权限” 向该角色指定权限,方法是从“可用的权限”列表中选择权限并将它
们添加到“授予的权限”列表中。
选择起始目录选择将作为该角色的专用文件存储位置的起始目录服务器。
向该角色指定用户将特定的用户添加到该角色,以便他们能够承担该角色来执行特定
任务。
有关基于角色的访问控制的详细信息,以及有关如何使用角色来创建更安全环境的说
明,请参见《系统管理指南:安全性服务》中的“基于角色的访问控制(概述)”。
使用RBAC 和Solaris 管理工具(任务图)
40 系统管理指南:基本管理• 2006 年7 月
▼ 如何创建第一个角色(主管理员)
此过程介绍如何创建主管理员角色并将其指定给用户帐户。此过程假设用户帐户已经
创建。
以自己的身份启动控制台。
% /usr/sadm/bin/smc &
有关启动控制台的其他信息,请参见第42 页中的“如何以超级用户或角色身份启动控
制台”。
控制台联机帮助提供有关为自己创建用户帐户的更多信息。
在“导航”窗格中单击“本计算机”图标。
单击“系统配置”->“用户”->“管理角色”。
单击“操作”->“添加管理角色”。
将打开“添加管理角色”向导。
使用“添加管理角色”向导,按照以下操作步骤来创建主管理员角色。
a. 标识角色名、角色的全名、说明、角色ID 号、角色shell 以及是否希望创建角色邮件
列表。单击“下一步”。
b. 设置和确认角色口令。单击“下一步”。
c. 从“可用的权限”列中选择“主管理员”权限并将其添加到“授予的权限”列中。单击“下
一步”。
d. 为角色选择起始目录。单击“下一步”。
e. 将自己指定给可以承担角色的用户列表。单击“下一步”。
如有必要,请参见表2–2 角色字段说明。
单击“完成”。
▼ 如何承担主管理员角色
在创建了主管理员角色之后,以自己的身份登录控制台,然后承担主管理员角色。
承担角色即会拥有角色的所有属性(包括权限)。同时,放弃自己所有的用户属性。
1
2
3
4
5
6
使用RBAC 和Solaris 管理工具(任务图)
第2 章• 使用Solaris Management Console(任务) 41
启动控制台。
% /usr/sadm/bin/smc &
有关启动控制台的信息,请参见第42 页中的“如何以超级用户或角色身份启动控制台
”。
用自己的用户名和口令登录。
将显示一个允许承担的角色的列表。
登录到主管理员角色并提供角色口令。
启动Solaris Management Console
下面的过程介绍如何启动控制台以及如何获取对Solaris 管理工具的访问。
有关作为第一个登录控制台的用户应执行操作的说明,请参见第39 页中的“如果是首
次登录控制台”。
▼ 如何以超级用户或角色身份启动控制台
如果用自己的用户帐户以用户身份启动控制台,则对于Solaris 管理工具的访问会受到
限制。如需更多的访问权限,可以自己的身份登录,然后以允许承担的某个角色身份
登录。如果系统允许您承担主管理员角色,则可以访问所有的Solaris 管理工具。此角
色与超级用户的角色等效。
确认是否在窗口环境(如CDE 环境)中。
通过以下方法之一启动控制台:
■ 在命令行上键入如下命令:
% /usr/sadm/bin/smc &
控制台首次启动可能需要一两分钟时间。
■ 从CDE 前面板的“工具”菜单中启动控制台。
■ 在CDE 的应用程序管理器或文件管理器中双击“SolarisManagement Console”图标。
将显示“SolarisManagement Console”窗口。
1
2
3
1
2
启动Solaris Management Console
42 系统管理指南:基本管理• 2006 年7 月
注– 在自己的窗口环境中打开控制台,此时将显示SolarisManagement Console 启动消
息。在启动SolarisManagement Console 之前,不要尝试手动启动SolarisManagement
Console 服务器。在启动SolarisManagement Console 时,SolarisManagement Console 服
务器会自动启动。有关对控制台问题进行疑难解答的信息,请参见第50 页中的“对
SolarisManagement Console 进行疑难解答”。
在“导航”窗格中,双击“管理工具”图标下面的“本计算机”图标。
将显示类别列表。
(可选)选择相应的工具箱。
如果要使用缺省工具箱以外的工具箱,请从“导航”窗格中选择相应的工具箱。或者从控
制台菜单中选择“打开工具箱”并加载所需的工具箱。
有关使用不同工具箱的信息,请参见第46 页中的“如何为特定环境创建工具箱”。
双击类别图标以访问特定的工具。
使用联机帮助来确定如何执行特定任务。
双击该工具的图标。
将显示“登录”弹出式窗口。
确定是以超级用户身份还是以角色身份使用该工具。如果要以超级用户身份登录,请
输入root 口令。
如果以自己的身份登录,请按Backspace 键删除root 用户名。然后提供自己的用户ID
和用户口令。
将显示允许承担的角色列表。
选择主管理员角色或与之等效的角色,然后提供角色口令。
有关创建主管理员角色的分步说明,请参见第41 页中的“如何创建第一个角色(主管
理员)”。
将显示主工具菜单。
在名称服务环境中使用Solaris 管理工具(任务图)
缺省情况下,Solaris 管理工具设置为在本地环境中运行。例如,使用“挂载和共享”工
具,可以在特定系统上挂载和共享目录,但是不能在NIS(网络信息服务)或NIS+ 环
境中挂载和共享。不过,在名称服务环境中,可以用“用户和计算机”和“网络”工具来管
理信息。
3
4
5
6
7
8
9
在名称服务环境中使用Solaris 管理工具(任务图)
第2 章• 使用Solaris Management Console(任务) 43
为了能够在名称服务环境中使用控制台工具,需要创建一个名称服务工具箱,然后向
该工具箱中添加工具。
任务说明参考
1. 确认前提条件。确认已完成前提条件,然后尝试
在名称服务环境中使用控制台。
第45 页中的“在名称服务环境
中使用SolarisManagement
Console 的前提条件”
2. 为名称服务创建工具箱。使用“新建工具箱”向导为名称服
务工具创建工具箱。
第46 页中的“如何为特定环境
创建工具箱”
3. 向名称服务工具箱中添加工
具。
向名称服务工具箱中添加“用
户”工具或任何其他名称服务工
具。
第48 页中的“如何向工具箱中
添加工具”
4. 选择刚创建的工具箱。选择刚创建的工具箱以管理名称
服务信息。
第49 页中的“如何在名称服务
环境中启动SolarisManagement
Console”
RBAC 安全文件
升级到或安装Solaris 9 或Solaris 10 发行版时,会创建与SolarisManagement Console 一
起使用的RBAC 安全文件。如果未安装SolarisManagement Console 软件包,则会安装
RBAC 安全文件,但是没有使用RBAC 所必需的数据。有关SolarisManagement Console
软件包的信息,请参见第50 页中的“对SolarisManagement Console 进行疑难解答”。
Solaris 9 或Solaris 10 发行版中的RBAC 安全文件包括在名称服务中,以便您可以在名称
服务环境中使用SolarisManagement Console 工具。
在标准升级过程中,本地服务器上的安全文件会通过ypmake、nispopulate 或等效的
LDAP 命令填充到名称服务环境中。支持以下名称服务:
■ NIS
■ NIS+
■ LDAP
■ 文件
注– NIS+ 环境不支持projects 数据库。
在升级到或安装Solaris 9 或Solaris 10 发行版时,会创建RBAC 安全文件。
下表简述了安装在Solaris 9 或Solaris 10 发行版中的预定义安全文件。
在名称服务环境中使用Solaris 管理工具(任务图)
44 系统管理指南:基本管理• 2006 年7 月
表2–3RBAC安全文件
本地文件名表名或映射名说明
/etc/user_attr user_attr 将用户和角色与授权和权限配置文
件关联
/etc/security/auth_attr auth_attr 定义授权及其属性并标识相关的帮
助文件
/etc/security/prof_attr prof_attr 定义权限配置文件、列出指定给授
权的权限配置文件并确定相关的帮
助文件
/etc/security/exec_attr exec_attr 定义指定给权限配置文件的特权操
作
对于特殊升级案例,在以下情况下可能必须使用smattrpop 命令来填充RBAC 安全文件
:
■ 在创建或修改权限配置文件时
■ 需要通过自定义usr_attr 文件包括用户和角色时
有关更多信息,请参见《系统管理指南:安全性服务》中的“基于角色的访问控制(概
述)”。
在名称服务环境中使用Solaris Management Console
的前提条件
下表确定了在名称服务环境中使用SolarisManagement Console 需要执行的操作。
前提条件更多信息
安装Solaris 9 或Solaris 10 发行版。《Solaris 10 安装指南:基本安装》
设置名称服务环境。《系统管理指南:名称和目录服务(DNS、NIS
和LDAP)》
选择管理范围。第46 页中的“管理范围”
确保将/etc/nsswitch.conf 文件配置为允许您访
问名称服务数据。
第46 页中的“/etc/nsswitch.conf 文件”
在名称服务环境中使用Solaris 管理工具(任务图)
第2 章• 使用Solaris Management Console(任务) 45
管理范围
SolarisManagement Console 使用管理范围一词来指代要在其中使用选定管理工具的名
称服务环境。“用户”工具和“计算机和网络”工具的管理范围选项包括LDAP、NIS、
NIS+ 或文件。
在控制台会话期间选择的管理范围应当与在/etc/nsswitch.conf 文件中确定的主名称
服务相对应。
/etc/nsswitch.conf 文件
每个系统上的/etc/nsswitch.conf 文件都为该系统上的名称服务查找功能(在何处读
取数据)指定策略。
注– 必须确保从控制台访问的名称服务(通过控制台工具箱编辑器指定)出现在
/etc/nsswitch.conf 文件的搜索路径中。如果指定的名称服务未出现在搜索路径中,
工具可能会以非预期方式工作,从而生成错误或警告。
在名称服务环境中使用Solaris 管理工具时,单个操作可能会影响许多用户。例如,如
果您在NIS 名称服务中删除一个用户,该用户将从使用NIS 的所有系统中删除。
如果网络中的不同系统具有不同的/etc/nsswitch.conf 配置,则可能会出现意外的结
果。因此,使用Solaris 管理工具管理的所有系统都应当具有一致的名称服务配置。
▼ 如何为特定环境创建工具箱
用来管理Solaris 操作系统的应用程序称作工具。这些工具存储在名为工具箱的集合
中。工具箱可以位于控制台所在的本地服务器上,也可以位于远程机器上。
使用工具箱编辑器,可以添加新工具箱、向现有的工具箱中添加工具或更改工具箱的
作用范围。例如,使用此工具可以将域从本地文件更改为名称服务。
注– 可以普通用户身份启动工具箱编辑器。但是,如果您打算进行更改并将它们保存到
缺省的控制台工具箱/var/sadm/smc/toolboxes 中,则必须以root 身份启动工具箱编辑
器。
启动工具箱编辑器。
# /usr/sadm/bin/smc edit &
从“工具箱”菜单中选择“打开”。
在“工具箱:”窗口中选择“本计算机”图标。
1
2
3
在名称服务环境中使用Solaris 管理工具(任务图)
46 系统管理指南:基本管理• 2006 年7 月
单击“打开”。
“本计算机”工具箱将在窗口中打开。
在“导航”窗格中再次选择“本计算机”图标。
从“操作”菜单中选择“添加文件夹”。
使用“文件夹”向导为名称服务环境添加新工具箱。
a. 名称和说明-提供“全名”窗口中的名称。单击“下一步”。
例如,为NIS 环境提供“NIS 工具”。
b. 提供“说明”窗口中的说明。单击“下一步”。
例如,“NIS 环境的工具”就是这样的示例。
c. 图标-使用“图标”的缺省值。单击“下一步”。
d. 管理范围-选择“覆盖”。
e. 在“管理范围”下拉菜单中选择名称服务。
f. 如有必要,在“服务器”字段中添加名称服务的主名称。
g. 在“域”字段中添加由服务器管理的域。
h. 单击“完成”。
新工具箱将出现在左侧的“导航”窗格中。
选择新工具箱图标,并从“工具箱”菜单中选择“另存为”。
在“本地工具箱文件名”对话框中输入工具箱的路径名。使用.tbx 后缀。
/var/sadm/smc/toolboxes/this_computer/toolbox-name.tbx
单击“保存”。
新工具箱将出现在控制台窗口中的“导航”窗格中。
在创建了名称服务工具箱之后,可以在其中放置名称服务工具。有关更多信息,请参
见第48 页中的“如何向工具箱中添加工具”。
4
5
6
7
8
9
10
另请参见
在名称服务环境中使用Solaris 管理工具(任务图)
第2 章• 使用Solaris Management Console(任务) 47
▼ 如何向工具箱中添加工具
除了控制台附带的缺省工具,还可以开发其他可从控制台启动的工具。当这些工具变
得可用时,可以向现有的工具箱中添加一个或多个工具。
还可以新建用来进行本地管理或网络管理的工具箱。然后,向新工具箱中添加工具。
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南
:安全性服务》中的“配置RBAC(任务列表)”。
如有必要,启动工具箱编辑器。
# /usr/sadm/bin/smc edit &
选择工具箱。
如果要在名称服务中工作,请选择刚在工具箱编辑器中创建的工具箱。有关更多信
息,请参见第46 页中的“如何为特定环境创建工具箱”。
从“操作”菜单中选择“添加工具”。
使用“添加工具”向导添加新工具。
a. 服务器选择-在“服务器”窗口中添加名称服务的主名称。单击“下一步”。
b. 工具选择-从“工具”窗口中选择要添加的工具。单击“下一步”。
如果此工具箱是名称服务工具箱,请选择要在名称服务环境中使用的工具。例如,
选择“用户”工具。
c. 名称和说明-接受缺省值。单击“下一步”。
d. 图标-接受缺省值,除非已经创建自定义图标。单击“下一步”。
e. 管理范围-接受缺省值“从父继承”。单击“下一步”。
f. 工具加载-接受缺省值“在选择时加载工具”。单击“完成”。
从“工具箱”菜单中选择“保存”,保存更新的工具箱。
将显示“本地工具箱”窗口。
1
2
3
4
5
6
在名称服务环境中使用Solaris 管理工具(任务图)
48 系统管理指南:基本管理• 2006 年7 月
▼ 如何在名称服务环境中启动Solaris Management
Console
在创建了名称服务工具箱并向其中添加工具之后,可以启动SolarisManagement
Console 并打开所创建的工具箱以管理名称服务环境。
确认满足以下前提条件:
■ 确保所登录的系统配置为能够在名称服务环境中工作。
■ 确认/etc/nsswitch.conf 文件配置为与名称服务环境相匹配。
启动Solaris Management Console。
有关更多信息,请参见第42 页中的“如何以超级用户或角色身份启动控制台”。
选择为名称服务创建的工具箱,该工具箱出现在“导航”窗格中。
有关为名称服务创建工具箱的信息,请参见第46 页中的“如何为特定环境创建工具箱
”。
向Solaris Management Console 中添加工具
本节介绍如何向控制台中添加传统工具或非绑定工具。如果要向这些工具中添加验
证,请参见《系统管理指南:安全性服务》中的“管理RBAC”。
▼ 如何向工具箱中添加传统工具
传统工具是指不是专门作为Solaris 管理工具而设计的应用程序。可以向控制台工具箱
中添加以下三种类型的传统工具应用程序:X 应用程序、命令行界面和HTML。添加
到工具箱中的每个工具以后都可以从SolarisManagement Console 启动。
成为超级用户或承担等效角色。
如有必要,启动Solaris Management Console 工具箱编辑器。
# /usr/sadm/bin/smc edit &
打开要向其中添加传统应用程序的工具箱。
所选工具箱将在工具箱编辑器中打开。
在工具箱中选择要向其中添加传统应用程序的节点。
传统应用程序可以添加到工具箱的顶部节点中,也可以添加到其他文件夹中。
开始之前
1
2
1
2
3
4
向Solaris Management Console 中添加工具
第2 章• 使用Solaris Management Console(任务) 49
单击“操作”->“添加传统应用程序”。
将显示“传统应用程序向导: 常规”的第一个面板。
按照向导中的说明操作。
在工具箱编辑器中保存该工具箱。
▼ 如何安装非随附的工具
如果想添加可从SolarisManagement Console 启动的新工具软件包,请按照如下过程操
作。
成为超级用户或承担等效角色。
安装新工具软件包。
# pkgadd ABCDtool
重新启动控制台,以便它识别新工具。
a. 停止控制台服务器。
# /etc/init.d/init.wbem stop
b. 启动控制台服务器。
# /etc/init.d/init.wbem start
启动控制台,验证是否显示新工具。
有关更多信息,请参见第42 页中的“如何以超级用户或角色身份启动控制台”。
对Solaris Management Console 进行疑难解答
在使用此疑难解答过程之前,请确保安装了以下软件包:
■ SUNWmc-SolarisManagement Console 2.1(服务器组件)
■ SUNWmcc-SolarisManagement Console 2.1(客户机组件)
■ SUNWmccom-SolarisManagement Console 2.1(常见组件)
■ SUNWmcdev-SolarisManagement Console 2.1(开发工具包)
■ SUNWmcex-SolarisManagement Console 2.1(示例)
■ SUNWwbmc-SolarisManagement Console 2.1(WBEM组件)
这些软件包提供基本的SolarisManagement Console 启动器。必须安装SUNWCprog 群集才
能使用SolarisManagement Console 及其所有的工具。
5
6
7
1
2
3
4
对Solaris Management Console 进行疑难解答
50 系统管理指南:基本管理• 2006 年7 月
▼ 如何对Solaris Management Console 进行疑难解答
在启动SolarisManagement Console 时,客户机和服务器会自动启动。
如果控制台可见,但是在运行工具时遇到问题,则可能是服务器未在运行。或者,服
务器的状态可能有问题,此问题可通过停止并重新启动服务器来解决。
成为超级用户或承担等效角色。
确定控制台服务器是否正在运行。
# /etc/init.d/init.wbem status
如果控制台服务器正在运行,应当会看到类似如下的消息:
SMC server version 2.1.0 running on port 898.
如果控制台服务器未在运行,请启动它。
# /etc/init.d/init.wbem start
在一段短暂的时间之后,应当会看到类似如下的消息:
SMC server is ready.
如果服务器正在运行,但是仍存在问题,请停止控制台服务器。然后重新启动。
a. 停止控制台服务器。
# /etc/init.d/init.wbem stop
应当会看到类似如下的消息:
Shutting down SMC server on port 898.
b. 启动控制台服务器。
# /etc/init.d/init.wbem start
31
SolarisManagement Console 有三个主要的组件:
■ SolarisManagement Console 客户机
称作控制台,此组件是可视界面,其中包含用于执行管理任务的GUI 工具。
■ SolarisManagement Console 服务器
此组件位于与控制台相同的计算机上或位于远程计算机上。此组件提供所有后端功
能,允许通过控制台进行管理。
■ SolarisManagement Console 工具箱编辑器
此应用程序的外观与控制台相似,可用于添加或修改工具箱、向工具箱中添加工具
或扩展工具箱的作用范围。例如,可以添加用于管理名称服务域的工具箱。
启动控制台时,会看到缺省的工具箱。
Solaris Management Console 工具
下表介绍SolarisManagement Console 缺省工具箱中包含的工具,并提供了对每个工具
背景信息的交叉引用。
表2–1 SolarisManagementConsole 工具套件
类别工具说明更多信息
系统状态系统信息监视和管理系统信
息,如日期、时间
和时区
《系统管理指南:高级管理》中的第12 章“显
示和更改系统信息(任务)”
日志查看器监视和管理Solaris
Management Console
工具日志和系统日
志
《系统管理指南:高级管理》中的第21 章“软
件问题疑难解答(概述)”
进程监视和管理系统进
程
《系统管理指南:高级管理》中的“进程和系统
性能”
性能监视系统性能《系统管理指南:高级管理》中的第18 章“管
理系统性能(概述)”
系统配置用户管理用户、权限、
角色、组和邮件列
表
第70 页中的“什么是用户帐户和组?”
和《系统管理指南:安全性服务》中的“基于角
色的访问控制(概述)”
项目在/etc/project 数
据库中创建和管理
项
《系统管理指南:Solaris Containers-资源管理
和Solaris Zones》中的第2 章“项目和任务(概
述)”
Solaris Management Console(概述)
32 系统管理指南:基本管理• 2006 年7 月
表2–1 SolarisManagementConsole 工具套件(续)
类别工具说明更多信息
计算机和网络创建和监视计算机
和网络信息
SolarisManagement Console 联机帮助
修补程序管理修补程序第20 章
服务预定的作业创建和管理预定的
cron 作业
《系统管理指南:高级管理》中的“自动执行系
统任务的方法”
存储挂载和共享挂载和共享文件系
统
《系统管理指南:设备和文件系统》中的第19
章“挂载和取消挂载文件系统(任务)”
磁盘创建和管理磁盘分
区
《系统管理指南:设备和文件系统》中的第11
章“管理磁盘(概述)”
增强的存储创建和管理卷、热
备份池、状态数据
库副本和磁盘集
《Solaris VolumeManager 管理指南》
设备和硬件串行端口设置终端和调制解
调器
《系统管理指南:高级管理》中的第8 章“管
理终端和调制解调器(概述)”
在启动工具之后,可以使用关联说明。有关比关联说明提供的信息更详细更广泛的联
机信息,请参见展开的帮助主题。可以从控制台的“帮助”菜单中访问这些帮助主题。
为何要使用Solaris Management Console?
控制台为管理员提供一组具有许多优点的工具。控制台具有如下功能:
■ 为具有不同经验的用户提供支持
没有经验的管理员可以通过使用GUI(其中包括对话框、向导和关联说明)来完成
任务。有经验的管理员会发现,控制台可以方便而安全地替代vi 来管理分散在许多
系统中的数百个配置参数。
■ 控制用户对系统的访问
虽然缺省情况下任何用户都可以访问控制台,但是,只有超级用户才能更改初始配
置。如《系统管理指南:安全性服务》中的“基于角色的访问控制(概述)”中所
述,可以创建称为角色的特殊用户帐户,将所创建的角色指定给允许对系统进行特
定更改的用户(通常是管理员)。
RBAC 的主要优点是可以限制角色,以便用户只能访问执行其作业所必需的那些任
务。RBAC 不是使用Solaris 管理工具所必需的。无需进行任何更改,便能以超级用
户身份运行所有的工具。
■ 提供命令行界面
Solaris Management Console(概述)
第2 章• 使用Solaris Management Console(任务) 33
如有必要,管理员可以通过命令行界面(command-line interface, CLI) 对Solaris 管理
工具进行操作。某些命令是专门为了模仿GUI 工具的功能(如用来管理用户的命
令)而编写的。这些新命令列在表1–6 中,该表中包括每个命令的名称及简要说
明。还有针对每个命令的手册页。
对于没有特殊命令的Solaris 管理工具(如挂载和共享工具),使用标准的UNIX 命
令。
有关RBAC 的工作方式、优点以及如何将这些优点应用到站点的详细信息,请参
见《系统管理指南:安全性服务》中的“基于角色的访问控制(概述)”。
要了解有关使用RBAC 和Solaris 管理工具的详细信息,请参见第38 页中的“使用
RBAC 和Solaris 管理工具(任务图)”。
Solaris Management Console 的组织
在下图中所显示的控制台中,用户工具处于打开状态。
图2–1 SolarisManagementConsole-“用户”工具
控制台的主要部分由三个窗格组成:
■ 导航窗格(左侧)-用于访问多个(或多组)工具、文件夹或其他工具箱。导航窗
格中的图标称作节点,如果是文件夹或工具箱的话,则可以展开。
Solaris Management Console(概述)
34 系统管理指南:基本管理• 2006 年7 月
■ 查看窗格(右侧)-用来查看与在导航窗格中选择的节点有关的信息。查看窗格显
示选定文件夹的内容、从属工具或与选定工具相关的数据。
■ 信息窗格(底部)-用于显示关联说明或控制台事件。
更改Solaris Management Console 窗口
控制台窗口布局具有高度可配置性。可以使用以下功能更改控制台窗口的布局:
■ 查看菜单-使用“查看”菜单中的“显示”选项隐藏或显示可选栏和窗格。“查看”菜单中
的其他选项控制节点在查看窗格中的显示方式。
■ 控制台菜单-使用“首选项”选项可设置如下内容:初始工具箱、窗格的方向、对所
选内容的单击或双击、工具栏中的文本或图标、字体、缺省情况下加载的工具、验
证提示和高级登录。
■ 关联说明或控制台事件开关-使用信息窗格底部的图标,可以在显示关联说明和控
制台事件之间切换。
Solaris Management Console 文档
控制台及其工具使用方法文档的主要来源是联机帮助系统。联机帮助有两种形式:关
联说明和展开的帮助主题。
■ 关联说明介绍如何使用控制台工具。
在选项卡、输入字段、单选按钮等上面单击光标,可以在“信息”窗格中显示相应的
帮助。可单击对话框和向导中的问号按钮来关闭或重新打开“信息”窗格。
■ 展开的帮助主题可从帮助菜单或单击某个关联说明中的交叉引用链接来访问。
这些主题在单独的查看器中显示,其中包含的信息比关联说明中提供的信息更详
细。主题中包括每个工具的概述、对每个工具工作方式的介绍、特定工具使用的文
件以及疑难解答。
有关每个工具的简要概述,请参阅表2–1。
在多大程度上进行基于角色的访问控制?
如第33 页中的“为何要使用SolarisManagement Console?”中所述,使用Solaris 管理
工具的一个主要优点就是能够使用基于角色的访问控制(Role-Based Access Control,
RBAC)。RBAC 只为管理员提供访问执行其作业所必需的工具和命令的权限。
根据安全要求,可以在不同程度上使用RBAC。
Solaris Management Console(概述)
第2 章• 使用Solaris Management Console(任务) 35
RBAC 方法说明更多信息
无RBAC 允许您以超级用户身
份执行所有任务。允
许您以自己的身份进
行登录。在选择Solaris
管理工具时,可以指
定root 用户和root 口
令。
第37 页中的“如何成为超级用户(root) 或承担角色”
root 作为角色消除匿名root 登录并
禁止用户以root 身份
登录。此方法要求用
户先以各自的身份登
录,然后再承担root
角色。
请注意,无论是否使
用其他角色,都可以
应用此方法。
《系统管理指南:安全性服务》中的“如何规划RBAC
实现”
仅单一角色使用主管理员角色,
该角色与仅具有root
访问权限的角色基本
相同。
第40 页中的“创建主管理员角色”
建议的角色使用三个易于配置的
角色:主管理员、系
统管理员和操作员。
这些角色适用于其管
理员具有不同级别职
责的组织,管理员的
作业功能与所建议的
角色大致相符。
《系统管理指南:安全性服务》中的“基于角色的访问
控制(概述)”
自定义角色您可以根据组织的安
全需要来添加自己的
角色。
《系统管理指南:安全性服务》中的“管理RBAC”和
《系统管理指南:安全性服务》中的“如何规划RBAC
实现”
成为超级用户(root) 或承担角色
多数管理任务(如添加用户、文件系统和打印机)要求您首先以root (UID=0) 身份登
录或者承担角色(如果使用RBAC)。root 帐户又称作超级用户帐户,可用来对系统进
行更改,还可以在紧急情况下覆盖用户的文件保护。
为防止随意更改系统,超级用户帐户和角色只应当用来执行管理任务。与超级用户帐
户相关的安全问题就是,即使用户执行很少的任务,也能够完全访问系统。
在非RBAC 环境中,可以超级用户的身份登录系统,也可以使用su 命令切换到超级用
户帐户。如果实现了RBAC,则可以通过控制台承担角色,或者使用su 指定角色。
成为超级用户(root) 或承担角色
36 系统管理指南:基本管理• 2006 年7 月
在使用控制台执行管理任务时,可以执行以下操作之一:
■ 以自己的身份登录控制台,然后提供root 用户名和口令
■ 以自己的身份登录控制台,然后承担角色
RBAC 的一个主要优点就是,可以创建对特定功能进行有限访问的角色。如果使用
RBAC,则可以通过承担角色(而不是成为超级用户)来运行受限制的应用程序。
有关创建主管理员角色的分步说明,请参见第41 页中的“如何创建第一个角色(主管
理员)”。有关使用RBAC 的概述,请参见《系统管理指南:安全性服务》中的第9
章“使用基于角色的访问控制(任务)”。
▼ 如何成为超级用户(root) 或承担角色
可通过使用以下方法之一成为超级用户或承担角色。每种方法都要求您知道超级用户
口令或角色口令。
成为超级用户。通过选择以下方法之一来成为超级用户:
■ 以用户身份登录,启动SolarisManagement Console,选择一个Solaris 管理工具,然
后以root 身份登录。
通过此方法可以从控制台执行任何管理任务。
有关启动SolarisManagement Console 的信息,请参见第49 页中的“如何在名称服
务环境中启动SolarisManagement Console”。
■ 以超级用户身份登录系统控制台。
hostname console: root
Password: root-password
#
井号(#) 是超级用户帐户的Bourne shell 提示符。
此方法提供对所有系统命令和工具的完全访问权限。
■ 以用户身份登录,然后通过在命令行上使用su 命令切换到超级用户帐户。
% su
Password: root-password
#
此方法提供对所有系统命令和工具的完全访问权限。
■ 以超级用户身份远程登录。
此方法在缺省情况下处于禁用状态。必须修改/etc/default/login 文件,允许以超
级用户身份远程登录系统控制台。有关修改此文件的信息,请参见《系统管理指南
:安全性服务》中的第3 章“控制对系统的访问(任务)”。
1
成为超级用户(root) 或承担角色
第2 章• 使用Solaris Management Console(任务) 37
此方法提供对所有系统命令和工具的完全访问权限。
承担角色。通过选择以下方法之一来承担角色:
■ 以用户身份登录,然后通过在命令行上使用su 命令切换到角色。
% su role
Password: role-password
$
此方法提供对角色能够访问的所有命令和工具的访问权限。
■ 以用户身份登录,启动SolarisManagement Console,选择一个Solaris 管理工具,然
后承担角色。
有关启动SolarisManagement Console 的信息,请参见第42 页中的“如何以超级用
户或角色身份启动控制台”。
此方法提供对角色能够访问的Solaris 管理工具的访问权限。
使用RBAC 和Solaris 管理工具(任务图)
此任务图介绍在希望使用RBAC 安全功能(而非超级用户帐户)执行管理任务时需要
执行的操作。
注– 本章中的信息介绍如何使用控制台和RBAC。本章包括的RBAC概述和任务信息演
示了最初如何用控制台设置RBAC。
有关RBAC 以及如何在其他应用程序中使用RBAC 的详细信息,请参见《系统管理指南
:安全性服务》中的“基于角色的访问控制(概述)”。
任务说明参考
1. 启动控制台。如果已经设置了用户帐
户,请以自己的身份启动
控制台。然后,以root
身份登录控制台。如果尚
未设置用户帐户,请首先
成为超级用户,然后启动
控制台。
第42 页中的“如何以超级用户或角色身份启动控制
台”
2. 为自己添加一个
用户帐户。
如果您还没有用户帐户,
请为自己添加一个帐户。
SolarisManagement Console 联机帮助
第39 页中的“如果是首次登录控制台”
2
使用RBAC 和Solaris 管理工具(任务图)
38 系统管理指南:基本管理• 2006 年7 月
任务说明参考
3. 创建主管理员角
色
创建主管理员角色。然
后,将自己添加到此角色
中。
第41 页中的“如何创建第一个角色(主管理员)”
4. 承担主管理员角
色。
在创建主管理员角色之后
承担此角色。
第41 页中的“如何承担主管理员角色”
5. (可选)使root
成为角色。
使root 成为角色并将自
己添加到root 角色中,以
便其他用户无法使用su
命令来成为root。
《系统管理指南:安全性服务》中的“如何规划
RBAC 实现”
6. (可选)创建其
他管理角色。
创建其他管理角色并向每
个角色授予相应的权限。
然后,向每个角色中添加
相应的用户。
《系统管理指南:安全性服务》中的第9 章“使用基
于角色的访问控制(任务)”
以下几节提供有关使用SolarisManagement Console 和RBAC 安全功能的概述信息和分
步说明。
如果是首次登录控制台
如果您是第一个登录控制台的管理员,请以用户(您自己)的身份启动控制台。然后
以超级用户身份登录。此方法提供对所有控制台工具的完全访问权限。
下面是一些常见步骤,具体情况取决于您是否使用RBAC:
■ 不使用RBAC-如果您选择不使用RBAC,可继续以超级用户身份工作。所有其他管
理员都还将需要root 访问权限以执行其作业。
■ 使用RBAC-您将需要执行以下操作:
■ 如果您还没有帐户,请设置一个帐户。
■ 创建名为主管理员的角色。
■ 向所创建的角色指定主管理员权限。
■ 向该角色指定用户帐户。
有关创建主管理员角色的分步说明,请参见第41 页中的“如何创建第一个角色
(主管理员)”。
有关使用RBAC 的概述,请参见《系统管理指南:安全性服务》中的第9 章“使
用基于角色的访问控制(任务)”。
使用RBAC 和Solaris 管理工具(任务图)
第2 章• 使用Solaris Management Console(任务) 39
创建主管理员角色
管理员角色是特殊的用户帐户。允许承担角色的用户执行一组预定义的管理任务。
允许主管理员角色像超级用户那样执行所有的管理功能。
如果您是超级用户或者是承担主管理员角色的用户,则可以定义允许其他管理员执行
的任务。使用“添加管理角色”向导,可以创建角色,授予角色权限,然后指定允许哪些
用户承担该角色。权限是一个已命名的命令或授权集合,这些命令或授权是使用某些
特定应用程序所需的。使用权限,可以在应用程序中执行特定的功能。管理员可以授
予或拒绝授予使用权限。
在创建主管理员角色时,会得到输入以下信息的提示。
表2–2 使用SolarisManagementConsole 添加角色时的字段说明
字段名说明
角色名选择管理员用来登录特定角色的名称。
全名提供此角色完整的说明名称。(可选)
说明提供此角色进一步的说明。
角色ID 号选择指定给此角色的标识号。此标识号与UID 的标识符集合相
同。
角色shell 选择在用户登录终端或控制台窗口并在该窗口中承担角色时运行的
shell。
创建角色邮件列表创建一个与角色同名的邮件列表(如果选中的话)。使用此列表,
可以向指定给该角色的每个人发送电子邮件。
角色口令和确认口令设置和确认角色口令。
“可用的权限”和“授予的权限” 向该角色指定权限,方法是从“可用的权限”列表中选择权限并将它
们添加到“授予的权限”列表中。
选择起始目录选择将作为该角色的专用文件存储位置的起始目录服务器。
向该角色指定用户将特定的用户添加到该角色,以便他们能够承担该角色来执行特定
任务。
有关基于角色的访问控制的详细信息,以及有关如何使用角色来创建更安全环境的说
明,请参见《系统管理指南:安全性服务》中的“基于角色的访问控制(概述)”。
使用RBAC 和Solaris 管理工具(任务图)
40 系统管理指南:基本管理• 2006 年7 月
▼ 如何创建第一个角色(主管理员)
此过程介绍如何创建主管理员角色并将其指定给用户帐户。此过程假设用户帐户已经
创建。
以自己的身份启动控制台。
% /usr/sadm/bin/smc &
有关启动控制台的其他信息,请参见第42 页中的“如何以超级用户或角色身份启动控
制台”。
控制台联机帮助提供有关为自己创建用户帐户的更多信息。
在“导航”窗格中单击“本计算机”图标。
单击“系统配置”->“用户”->“管理角色”。
单击“操作”->“添加管理角色”。
将打开“添加管理角色”向导。
使用“添加管理角色”向导,按照以下操作步骤来创建主管理员角色。
a. 标识角色名、角色的全名、说明、角色ID 号、角色shell 以及是否希望创建角色邮件
列表。单击“下一步”。
b. 设置和确认角色口令。单击“下一步”。
c. 从“可用的权限”列中选择“主管理员”权限并将其添加到“授予的权限”列中。单击“下
一步”。
d. 为角色选择起始目录。单击“下一步”。
e. 将自己指定给可以承担角色的用户列表。单击“下一步”。
如有必要,请参见表2–2 角色字段说明。
单击“完成”。
▼ 如何承担主管理员角色
在创建了主管理员角色之后,以自己的身份登录控制台,然后承担主管理员角色。
承担角色即会拥有角色的所有属性(包括权限)。同时,放弃自己所有的用户属性。
1
2
3
4
5
6
使用RBAC 和Solaris 管理工具(任务图)
第2 章• 使用Solaris Management Console(任务) 41
启动控制台。
% /usr/sadm/bin/smc &
有关启动控制台的信息,请参见第42 页中的“如何以超级用户或角色身份启动控制台
”。
用自己的用户名和口令登录。
将显示一个允许承担的角色的列表。
登录到主管理员角色并提供角色口令。
启动Solaris Management Console
下面的过程介绍如何启动控制台以及如何获取对Solaris 管理工具的访问。
有关作为第一个登录控制台的用户应执行操作的说明,请参见第39 页中的“如果是首
次登录控制台”。
▼ 如何以超级用户或角色身份启动控制台
如果用自己的用户帐户以用户身份启动控制台,则对于Solaris 管理工具的访问会受到
限制。如需更多的访问权限,可以自己的身份登录,然后以允许承担的某个角色身份
登录。如果系统允许您承担主管理员角色,则可以访问所有的Solaris 管理工具。此角
色与超级用户的角色等效。
确认是否在窗口环境(如CDE 环境)中。
通过以下方法之一启动控制台:
■ 在命令行上键入如下命令:
% /usr/sadm/bin/smc &
控制台首次启动可能需要一两分钟时间。
■ 从CDE 前面板的“工具”菜单中启动控制台。
■ 在CDE 的应用程序管理器或文件管理器中双击“SolarisManagement Console”图标。
将显示“SolarisManagement Console”窗口。
1
2
3
1
2
启动Solaris Management Console
42 系统管理指南:基本管理• 2006 年7 月
注– 在自己的窗口环境中打开控制台,此时将显示SolarisManagement Console 启动消
息。在启动SolarisManagement Console 之前,不要尝试手动启动SolarisManagement
Console 服务器。在启动SolarisManagement Console 时,SolarisManagement Console 服
务器会自动启动。有关对控制台问题进行疑难解答的信息,请参见第50 页中的“对
SolarisManagement Console 进行疑难解答”。
在“导航”窗格中,双击“管理工具”图标下面的“本计算机”图标。
将显示类别列表。
(可选)选择相应的工具箱。
如果要使用缺省工具箱以外的工具箱,请从“导航”窗格中选择相应的工具箱。或者从控
制台菜单中选择“打开工具箱”并加载所需的工具箱。
有关使用不同工具箱的信息,请参见第46 页中的“如何为特定环境创建工具箱”。
双击类别图标以访问特定的工具。
使用联机帮助来确定如何执行特定任务。
双击该工具的图标。
将显示“登录”弹出式窗口。
确定是以超级用户身份还是以角色身份使用该工具。如果要以超级用户身份登录,请
输入root 口令。
如果以自己的身份登录,请按Backspace 键删除root 用户名。然后提供自己的用户ID
和用户口令。
将显示允许承担的角色列表。
选择主管理员角色或与之等效的角色,然后提供角色口令。
有关创建主管理员角色的分步说明,请参见第41 页中的“如何创建第一个角色(主管
理员)”。
将显示主工具菜单。
在名称服务环境中使用Solaris 管理工具(任务图)
缺省情况下,Solaris 管理工具设置为在本地环境中运行。例如,使用“挂载和共享”工
具,可以在特定系统上挂载和共享目录,但是不能在NIS(网络信息服务)或NIS+ 环
境中挂载和共享。不过,在名称服务环境中,可以用“用户和计算机”和“网络”工具来管
理信息。
3
4
5
6
7
8
9
在名称服务环境中使用Solaris 管理工具(任务图)
第2 章• 使用Solaris Management Console(任务) 43
为了能够在名称服务环境中使用控制台工具,需要创建一个名称服务工具箱,然后向
该工具箱中添加工具。
任务说明参考
1. 确认前提条件。确认已完成前提条件,然后尝试
在名称服务环境中使用控制台。
第45 页中的“在名称服务环境
中使用SolarisManagement
Console 的前提条件”
2. 为名称服务创建工具箱。使用“新建工具箱”向导为名称服
务工具创建工具箱。
第46 页中的“如何为特定环境
创建工具箱”
3. 向名称服务工具箱中添加工
具。
向名称服务工具箱中添加“用
户”工具或任何其他名称服务工
具。
第48 页中的“如何向工具箱中
添加工具”
4. 选择刚创建的工具箱。选择刚创建的工具箱以管理名称
服务信息。
第49 页中的“如何在名称服务
环境中启动SolarisManagement
Console”
RBAC 安全文件
升级到或安装Solaris 9 或Solaris 10 发行版时,会创建与SolarisManagement Console 一
起使用的RBAC 安全文件。如果未安装SolarisManagement Console 软件包,则会安装
RBAC 安全文件,但是没有使用RBAC 所必需的数据。有关SolarisManagement Console
软件包的信息,请参见第50 页中的“对SolarisManagement Console 进行疑难解答”。
Solaris 9 或Solaris 10 发行版中的RBAC 安全文件包括在名称服务中,以便您可以在名称
服务环境中使用SolarisManagement Console 工具。
在标准升级过程中,本地服务器上的安全文件会通过ypmake、nispopulate 或等效的
LDAP 命令填充到名称服务环境中。支持以下名称服务:
■ NIS
■ NIS+
■ LDAP
■ 文件
注– NIS+ 环境不支持projects 数据库。
在升级到或安装Solaris 9 或Solaris 10 发行版时,会创建RBAC 安全文件。
下表简述了安装在Solaris 9 或Solaris 10 发行版中的预定义安全文件。
在名称服务环境中使用Solaris 管理工具(任务图)
44 系统管理指南:基本管理• 2006 年7 月
表2–3RBAC安全文件
本地文件名表名或映射名说明
/etc/user_attr user_attr 将用户和角色与授权和权限配置文
件关联
/etc/security/auth_attr auth_attr 定义授权及其属性并标识相关的帮
助文件
/etc/security/prof_attr prof_attr 定义权限配置文件、列出指定给授
权的权限配置文件并确定相关的帮
助文件
/etc/security/exec_attr exec_attr 定义指定给权限配置文件的特权操
作
对于特殊升级案例,在以下情况下可能必须使用smattrpop 命令来填充RBAC 安全文件
:
■ 在创建或修改权限配置文件时
■ 需要通过自定义usr_attr 文件包括用户和角色时
有关更多信息,请参见《系统管理指南:安全性服务》中的“基于角色的访问控制(概
述)”。
在名称服务环境中使用Solaris Management Console
的前提条件
下表确定了在名称服务环境中使用SolarisManagement Console 需要执行的操作。
前提条件更多信息
安装Solaris 9 或Solaris 10 发行版。《Solaris 10 安装指南:基本安装》
设置名称服务环境。《系统管理指南:名称和目录服务(DNS、NIS
和LDAP)》
选择管理范围。第46 页中的“管理范围”
确保将/etc/nsswitch.conf 文件配置为允许您访
问名称服务数据。
第46 页中的“/etc/nsswitch.conf 文件”
在名称服务环境中使用Solaris 管理工具(任务图)
第2 章• 使用Solaris Management Console(任务) 45
管理范围
SolarisManagement Console 使用管理范围一词来指代要在其中使用选定管理工具的名
称服务环境。“用户”工具和“计算机和网络”工具的管理范围选项包括LDAP、NIS、
NIS+ 或文件。
在控制台会话期间选择的管理范围应当与在/etc/nsswitch.conf 文件中确定的主名称
服务相对应。
/etc/nsswitch.conf 文件
每个系统上的/etc/nsswitch.conf 文件都为该系统上的名称服务查找功能(在何处读
取数据)指定策略。
注– 必须确保从控制台访问的名称服务(通过控制台工具箱编辑器指定)出现在
/etc/nsswitch.conf 文件的搜索路径中。如果指定的名称服务未出现在搜索路径中,
工具可能会以非预期方式工作,从而生成错误或警告。
在名称服务环境中使用Solaris 管理工具时,单个操作可能会影响许多用户。例如,如
果您在NIS 名称服务中删除一个用户,该用户将从使用NIS 的所有系统中删除。
如果网络中的不同系统具有不同的/etc/nsswitch.conf 配置,则可能会出现意外的结
果。因此,使用Solaris 管理工具管理的所有系统都应当具有一致的名称服务配置。
▼ 如何为特定环境创建工具箱
用来管理Solaris 操作系统的应用程序称作工具。这些工具存储在名为工具箱的集合
中。工具箱可以位于控制台所在的本地服务器上,也可以位于远程机器上。
使用工具箱编辑器,可以添加新工具箱、向现有的工具箱中添加工具或更改工具箱的
作用范围。例如,使用此工具可以将域从本地文件更改为名称服务。
注– 可以普通用户身份启动工具箱编辑器。但是,如果您打算进行更改并将它们保存到
缺省的控制台工具箱/var/sadm/smc/toolboxes 中,则必须以root 身份启动工具箱编辑
器。
启动工具箱编辑器。
# /usr/sadm/bin/smc edit &
从“工具箱”菜单中选择“打开”。
在“工具箱:”窗口中选择“本计算机”图标。
1
2
3
在名称服务环境中使用Solaris 管理工具(任务图)
46 系统管理指南:基本管理• 2006 年7 月
单击“打开”。
“本计算机”工具箱将在窗口中打开。
在“导航”窗格中再次选择“本计算机”图标。
从“操作”菜单中选择“添加文件夹”。
使用“文件夹”向导为名称服务环境添加新工具箱。
a. 名称和说明-提供“全名”窗口中的名称。单击“下一步”。
例如,为NIS 环境提供“NIS 工具”。
b. 提供“说明”窗口中的说明。单击“下一步”。
例如,“NIS 环境的工具”就是这样的示例。
c. 图标-使用“图标”的缺省值。单击“下一步”。
d. 管理范围-选择“覆盖”。
e. 在“管理范围”下拉菜单中选择名称服务。
f. 如有必要,在“服务器”字段中添加名称服务的主名称。
g. 在“域”字段中添加由服务器管理的域。
h. 单击“完成”。
新工具箱将出现在左侧的“导航”窗格中。
选择新工具箱图标,并从“工具箱”菜单中选择“另存为”。
在“本地工具箱文件名”对话框中输入工具箱的路径名。使用.tbx 后缀。
/var/sadm/smc/toolboxes/this_computer/toolbox-name.tbx
单击“保存”。
新工具箱将出现在控制台窗口中的“导航”窗格中。
在创建了名称服务工具箱之后,可以在其中放置名称服务工具。有关更多信息,请参
见第48 页中的“如何向工具箱中添加工具”。
4
5
6
7
8
9
10
另请参见
在名称服务环境中使用Solaris 管理工具(任务图)
第2 章• 使用Solaris Management Console(任务) 47
▼ 如何向工具箱中添加工具
除了控制台附带的缺省工具,还可以开发其他可从控制台启动的工具。当这些工具变
得可用时,可以向现有的工具箱中添加一个或多个工具。
还可以新建用来进行本地管理或网络管理的工具箱。然后,向新工具箱中添加工具。
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南
:安全性服务》中的“配置RBAC(任务列表)”。
如有必要,启动工具箱编辑器。
# /usr/sadm/bin/smc edit &
选择工具箱。
如果要在名称服务中工作,请选择刚在工具箱编辑器中创建的工具箱。有关更多信
息,请参见第46 页中的“如何为特定环境创建工具箱”。
从“操作”菜单中选择“添加工具”。
使用“添加工具”向导添加新工具。
a. 服务器选择-在“服务器”窗口中添加名称服务的主名称。单击“下一步”。
b. 工具选择-从“工具”窗口中选择要添加的工具。单击“下一步”。
如果此工具箱是名称服务工具箱,请选择要在名称服务环境中使用的工具。例如,
选择“用户”工具。
c. 名称和说明-接受缺省值。单击“下一步”。
d. 图标-接受缺省值,除非已经创建自定义图标。单击“下一步”。
e. 管理范围-接受缺省值“从父继承”。单击“下一步”。
f. 工具加载-接受缺省值“在选择时加载工具”。单击“完成”。
从“工具箱”菜单中选择“保存”,保存更新的工具箱。
将显示“本地工具箱”窗口。
1
2
3
4
5
6
在名称服务环境中使用Solaris 管理工具(任务图)
48 系统管理指南:基本管理• 2006 年7 月
▼ 如何在名称服务环境中启动Solaris Management
Console
在创建了名称服务工具箱并向其中添加工具之后,可以启动SolarisManagement
Console 并打开所创建的工具箱以管理名称服务环境。
确认满足以下前提条件:
■ 确保所登录的系统配置为能够在名称服务环境中工作。
■ 确认/etc/nsswitch.conf 文件配置为与名称服务环境相匹配。
启动Solaris Management Console。
有关更多信息,请参见第42 页中的“如何以超级用户或角色身份启动控制台”。
选择为名称服务创建的工具箱,该工具箱出现在“导航”窗格中。
有关为名称服务创建工具箱的信息,请参见第46 页中的“如何为特定环境创建工具箱
”。
向Solaris Management Console 中添加工具
本节介绍如何向控制台中添加传统工具或非绑定工具。如果要向这些工具中添加验
证,请参见《系统管理指南:安全性服务》中的“管理RBAC”。
▼ 如何向工具箱中添加传统工具
传统工具是指不是专门作为Solaris 管理工具而设计的应用程序。可以向控制台工具箱
中添加以下三种类型的传统工具应用程序:X 应用程序、命令行界面和HTML。添加
到工具箱中的每个工具以后都可以从SolarisManagement Console 启动。
成为超级用户或承担等效角色。
如有必要,启动Solaris Management Console 工具箱编辑器。
# /usr/sadm/bin/smc edit &
打开要向其中添加传统应用程序的工具箱。
所选工具箱将在工具箱编辑器中打开。
在工具箱中选择要向其中添加传统应用程序的节点。
传统应用程序可以添加到工具箱的顶部节点中,也可以添加到其他文件夹中。
开始之前
1
2
1
2
3
4
向Solaris Management Console 中添加工具
第2 章• 使用Solaris Management Console(任务) 49
单击“操作”->“添加传统应用程序”。
将显示“传统应用程序向导: 常规”的第一个面板。
按照向导中的说明操作。
在工具箱编辑器中保存该工具箱。
▼ 如何安装非随附的工具
如果想添加可从SolarisManagement Console 启动的新工具软件包,请按照如下过程操
作。
成为超级用户或承担等效角色。
安装新工具软件包。
# pkgadd ABCDtool
重新启动控制台,以便它识别新工具。
a. 停止控制台服务器。
# /etc/init.d/init.wbem stop
b. 启动控制台服务器。
# /etc/init.d/init.wbem start
启动控制台,验证是否显示新工具。
有关更多信息,请参见第42 页中的“如何以超级用户或角色身份启动控制台”。
对Solaris Management Console 进行疑难解答
在使用此疑难解答过程之前,请确保安装了以下软件包:
■ SUNWmc-SolarisManagement Console 2.1(服务器组件)
■ SUNWmcc-SolarisManagement Console 2.1(客户机组件)
■ SUNWmccom-SolarisManagement Console 2.1(常见组件)
■ SUNWmcdev-SolarisManagement Console 2.1(开发工具包)
■ SUNWmcex-SolarisManagement Console 2.1(示例)
■ SUNWwbmc-SolarisManagement Console 2.1(WBEM组件)
这些软件包提供基本的SolarisManagement Console 启动器。必须安装SUNWCprog 群集才
能使用SolarisManagement Console 及其所有的工具。
5
6
7
1
2
3
4
对Solaris Management Console 进行疑难解答
50 系统管理指南:基本管理• 2006 年7 月
▼ 如何对Solaris Management Console 进行疑难解答
在启动SolarisManagement Console 时,客户机和服务器会自动启动。
如果控制台可见,但是在运行工具时遇到问题,则可能是服务器未在运行。或者,服
务器的状态可能有问题,此问题可通过停止并重新启动服务器来解决。
成为超级用户或承担等效角色。
确定控制台服务器是否正在运行。
# /etc/init.d/init.wbem status
如果控制台服务器正在运行,应当会看到类似如下的消息:
SMC server version 2.1.0 running on port 898.
如果控制台服务器未在运行,请启动它。
# /etc/init.d/init.wbem start
在一段短暂的时间之后,应当会看到类似如下的消息:
SMC server is ready.
如果服务器正在运行,但是仍存在问题,请停止控制台服务器。然后重新启动。
a. 停止控制台服务器。
# /etc/init.d/init.wbem stop
应当会看到类似如下的消息:
Shutting down SMC server on port 898.
b. 启动控制台服务器。
# /etc/init.d/init.wbem start