本文介绍了通过 LDAP 来定制 IBM System Director 中的角色以实现安全的平台管理。IBM System Director 也可以通过系统或 Active Directory 来定制角色,在本文中不做介绍。
IBM systems Director
IBM Systems Director 是 IBM 的平台管理框架,利用 ISD 可以实现对在复杂和异构的企业 IT 环境的中物理和虚拟化系统的单点管理。ISD 不仅支持 IBM 和非 IBM 的对操作系统和虚拟化解决方案,同时提供了完善和丰富的">管理功能帮助客户整合 IT 资源,降低管理复杂度,满足了客户的业务需求。
角色
ISD 通过分配角色给用户来控制用户对资源的访问和任务执行的限制。角色所拥有的权限决定了角色下的用户对 ISD 的访问级别,访问 ISD 的所有的用户或者用户组必须要被分配到一个角色下。系统管理员利用 ISD 的 RBAC 服务为角色创建可定制的资源访问权限,一个授权角色是通过应用于一个或者多个资源的一系列任务,CLI 以及应用访问来定义的。每一个角色可以应用于多个用户,而每个用户也可以拥有多个角色。使用可调整的用户角色可以控制系统的安全性和细化对管理任务和 CLI 命令的访问控制。
ISD 中预置的角色
ISD 中有五个系统预定义的角色,
SMAdministrator (Administrator 角色 ): 此角色拥有对系统完全的操作权限,可以执行任何系统任务,访问任何资源,对程序进行任意的配置。 SMManager (Manager 角色 ): 此角色能够执行系统管理的操作,当然,这些操作仅是 SMAdministrator 所能执行的操作的一个子集。比如:此角色无法执行和系统安全管理及配置有关的操作。
但是,此角色可以运行系统中所有的基本管理器的功能。 SM
Monitor (Monitor 角色 ): 此角色可以以只读的方式访问一些系统管理的功能模块。比如,能够监视进程运行的情况、查看系统库存、检视系统硬件状态,但是却不能创建虚拟机及重新配置 Blade Center。 SMUser (User 角色 ): 此角色是指所有通过验证能够登录 IBM Systems Director 的用户,他们仅仅能够查看系统的资源和属性。 GroupRead (Group 角色 ): 此角色可以访问预定义的对其可见的组。
IBM LDAP Server
使用 LDAP 服务存储和管理 IBM Systems Director 的用户认证信息。利用 LDAP 可以为 ISD 实现一般角色的定义和对多实例之间用户的访问。本文中我们将使用 IBM Tivoli Directory Server 6.1 作为缺省的 LDAP 服务器,IBM Tivoli Directory Server 提供了一个功能强大的轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)身份基础设施。利用 ITDS 可以对 ISD 的用户和用户组提供更加灵活和高效的身份认证解决方案。
实现
在 LDAP 中定义 custom user group
首先,我们需要在 LDAP 服务器中添加一条新条目。
1. 登陆到 Tivoli Directory Server Web 管理工具
2. 在管理工具页面中,展开左侧的目录管理树
3. 点击添加条目
图 1. Tivoli Directory Server Web 管理工具页面
4. 在选择对象类页面,选择 inetOrgPersron 作为结构化对象类
图 2. 结构化选择对象类页