使用SMC实现Solaris10服务器角色管理(上)

网络整理 - 06-30

  下面笔者会介绍使用GUI工具SMC 进行角色和权限管理

  一SMC中角色管理控制台简介

  角色管理位于SMC控制台的系统配置栏目的用户工具栏目中用户工具是一组管理用户帐户用户群组和邮件清单的工具图是角色管理界面

  

  

  图 角色管理界面

  表 角色管理操作说明

  


字段名称
说明


角色名

  角色名称是管理员用来登录特殊角色的名称

  每个角色名称都必须

   在网域内是唯一的

   包含两个到 个字母数字下划线 (_)连字符 ()和句点 ()

   从字母开始

   至少有一个小写字母

   不包含空格


如果您以后在角色属性对话框中更改这个角色的话与这个角色相关的邮件清单名称也会自动改变


全名

  包括这个角色的完全描述性名称

  该名称

   应该是网域内唯一的(唯一的名称会减少寻找特定数据库所需的时间)


可以有效地包含无限数目的字母数字空格和特殊字符


描述

  包括这个角色的完全描述性名称

  该名称

   应该是网域内唯一的(唯一的名称会减少寻找特定数据库所需的时间)


可以有效地包含无限数目的字母数字空格和特殊字符(可选)


角色 ID 号

  这是指定给这个角色的标识码

  角色和用户名称使用同一组的标识码(虽然用户的标识码指的是 UID)这是下一个可供使用的号码


角色 ID 号码必须是 到 之间的完整号码它必须是网域内的唯一号码(不可以和任何其它角色 ID 或 UID 一样)


角色 shell
选择角色的登录 shell(管理员的 Bourne管理员的 C 或管理员的 Korn shell)这是用户登录终端或控制台窗口并在该窗口承用角色时会执行的 shell这些和更一般性的 BourneKorn 和 C shell 类似但是这些「管理员」的 shell 可以确定在用户承用角色后该用户就仅能执行那个角色允许的指令要在管理员的 shell 中以角色作业用户需要登录终端或控制台窗口并在 su 指令后输入他或她可以承用的角色名称su rolename


创建角色邮件列表
复选这个方块来用这个角色的名称创建邮件清单您在此步骤 中指定给这个角色的所有用户都会收到传送给这个角色电子邮件当您指定其它用户给这个角色时请用「邮件清单」工具来将那些用户增加到邮件清单中(并执行任何其它的邮件清单维护)注意如果已经存在的邮件清单和这个角色的名称一样您就不能在这里创建邮件清单因为两个清单不可以有相同的名称您可以重新命名这个角色或稍后再用「邮件清单」工具创建邮件清单然后将用户名称增加到该清单中


    
    角色是用来授予权限给管理员的特殊帐户包括在每个角色属性中的是可以担任该角色的用户清单以及授予该角色的权限清单当用户担任角色时他们就放弃他们自己的用户帐户属性而接受此角色的属性 包括权限主目录口令等等您可以将根用户当成是具有全部权限的角色;其它角色的权限限制比较多如果您在右边窗口选择「管理角色」请单击「动作」>「打开」来查看现有角色的清单(如果有的话)然后「动作」菜单就会更改以提供以下描述的选项

  要增加角色请按下「动作」>「增加管理角色」

  要指定用户给角色请选择角色然后单击「动作」>「指定管理角色」

  要指定权限给角色请选择角色然后单击「动作」>「指定权限给角色」

  要查看或更改现有角色的属性请双击 角色的名称

  二使用SMC增加管理角色的步骤

  l 启动 Solaris Management Console

  # /usr/sbin/smc &

  l 单击管理角色图标

  从操作菜单中选择添加管理角色

  l 填写一系列对话框中的字段以创建新角色如图

  

  

  图 填写一系列对话框中的字段以创建新角色

  添加角色时的字段说明

  l 填写角色口令如图

  

  图 输入角色口令

  角色口令要求口令必须由 到 个字母数字和特殊字符的组合构成(仅有前 个字符会被使用但是要使用较长的口令的用户也可以使用 个字符这样对他们来说可能比较容易记住)在前 个字符中至少有 个必须是字母一个必须是数字或特殊字符承用此角色时通知每个可以承用这个口令的角色和需要使用此角色的用户

  l 选择角色的权限如图

  

  

  图 选择角色的权限

  权限说明若「所有」出现在「权利范围」列中表示其授予用户或角色在管理器 Shell 作业时例如「管理器的 Korn」 或「管理器的 C shell」时可以使用所有的指令这些 Shell 的一般策略是通过所授权的权利只能执行明确指定用户(或角色)所能执行的指令由于只使用所授权的权利会受到相当大的限制因此一般都给予用户「所有」的权利而此一权利则有符合每一个指令的通配符号登录

  但因通配符号与特殊程序属性之间没有关连因此所有符合通配符号的指令会依照当前用户(或角色)的 uid 与 gid 去执行

  若您指定此一权利则该权利应位于权利列表的最末一项如果该权利位于列表第一项则在查找指令属性时就不会查询其它权利

  若「所有」以灰色显示那么您就不能「新增」或「删除」此一权利

  l 现在主目录如图

  

  图 选择主目录

  主目录说明输入角色的主目录(或接受缺省)依照惯例此目录写为/export/home/角色名称

  这个角色的名称会自动附加到显示的「路径」主目录是角色的私人文件保存在「主目录服务器」的地方

  l 指定用户给这个角色如图

  

  

  图 指定用户给这个角色

  在这个步骤中请增加被允许使用这个角色之用户的用户名称除了可以在现在增加用户外您也可以以后再从「角色属性」对话框或「用户属性」对话框增加角色的用户注意虽然角色和用户的属性一样但是您不可以将某个角色增加到另外一个角色

  l 确认角色增加界面如图

  

  图 确认角色增加界面

  这个检查屏幕会显示您在上一个屏幕输入或选择的所有信息如果信息正确的话请单击「完成」如果您要进行更改请单击「上一步」来返回您要更改的屏幕