Solaris可以将用户按照不同的关系分成不同的用户组，每个组都有一个惟一的组名和组标识GID。每个用户都和一个基本组相关联，同时还可以与一个或多个辅助组相关联。

7.2.1 用户组的概述
在Solaris系统中，有关组的信息都存储在组数据库中（/etc/group），但本地的组数据库也可以由NIS/NIS+或LDAP数据库加以补充。让我们来看一个典型的组的构成：

root::0:

other::1:

bin::2:root,daemon

sys::3:root,bin,adm

adm::4:root,daemon

uucp::5:root

mail::6:root

tty::7:root,adm

lp::8:root,adm

nuucp::9:root

staff::10:

daemon::12:root

smmsp::25:

sysadmin::14:

gdm::50:

webservd::80:

nobody::60001:

noaccess::60002:

nogroup::65534:

我们可以看到，排在前面的小的组号一般都与系统功能的账号有关。例如，bin组，它的组成员包括root和daemon；sys组，它的组成员包括root，bin和adm；Staff组，员工组。

我们可以利用groups命令来列出某个用户所属的所有组的清单。例如，如果我们希望查看root用户所属的全部组，可以使用命令：

#groups root

other root bin sys adm uucp mail tty lp daemon

相反，如果我们希望查看哪些用户属于特定的组，可以使用命令：

#getent group groupname

例如，得到root组的信息：

#getent group root

root:*:0:root

7.2.2 管理用户组
本节只是简单介绍了几组管理用户组的命令行方式，有关图形界面的管理方法，我们将在第**薪樯堋?

1．增加用户组
使用groupadd命令增加用户组，命令格式如下：

groupadd [-g gid] group

说明：

-g，设置组的ID号；

gid，组的ID号（不能与现有的组ID号重复）；

group，组名。

 例7-3 增加GIU为2001的用户组sun。

#groupadd -g 100 sun

为了确认新的组已经存在于数据库中，可以查看数据库：

#grep sun /etc/group

sun::2001:

2．管理用户组
如果希望在交互会话的过程中从基本组切换到辅助组，以确保所创建的文件能够与正确的GID建立联系，此时可以利用newgrp命令。例如，如果root用户具有如下基本组关系：

#id

uid=0(root) gid=0(root)

但此时我们希望root以另外一个组的组员身份（如sys组）进行操作，可以使用命令：

#newgrp sys

此时，root的GID就切换到sys组：

#id

uid=0(root) gid=3(sys)

此后，root用户再创建的文件和目录，组的属性就是sys组。

如果要删除一个用户组，使用命令groupdel。如删除sun组可用：

#groupdel sun

对于传统的安全性模型，超级用户拥有完全的超级用户特权，而其他的用户没有足够的权限解决他们自己的问题。有了基于角色的访问控制（RBAC），便可以取代传统的安全模型。

有了RBAC，可以将超级用户的能力分成不同的包，并将它们分别分配给分担管理任务的个体。当使用RBAC划分超级用户特权时，用户可以拥有不同程度的访问权限，可以控制对其他用户特权操作的授权。

RBAC包括了如下特性。

 角色：一种特殊类型的用户账号，可以用来执行一套管理任务。

 特征文件（profile）：一种打包机制，用特殊的属性将授权和命令分组。例如，使用用户和组的ID。

 授权：一种用来授予对受限功能的访问权限的权利。

下面我们来分别介绍它们。

7.3.1 角色管理概述
1．角色
实现RBAC功能的第一步就是对准备指派给每个用户的角色进行定义。另外，不同资源的访问权限也必须与具体的角色名联系在一起。对于管理者来说，角色的变化，以及用户与角色关系的调整都是不可避免的。因此，这种变化的角色和用户列表的实现方法应尽可能的简单。另外，单一的任务并不容易实现与单一角色的关联。

比如，一个被定义为“备份操作员”的角色会涉及到ufsdump命令的运行，而这又需要对磁带设备进行写访问操作。此时，备份操作员角色本身就决定了它对这种文件访问的必然性。因此，我们不需要单独为它定义一个新角色。

又如，一个“设备管理员”可能使用命令tapes来对磁带设备执行写访问操作。所以，这些写操作也不能定义为一个新的角色，它自然成为“设备管理员”角色的一部分。

如果一个用户承担某个角色，他的结果要么承担该角色的全部权限，要么就丧失该角色的全部权限。

在默认情况下，Solaris 支持3种不同的系统管理角色。

 主管理员（PA，Primary Administrator）：负责为其他用户分派权限，并负责系统的安全问题。

 系统管理员（SA，System Administrator）：负责与安全无关的日常管理工作。

 操作员（Operator）：执行备份和设备维护操作。

PA和SA之间的区别主要取决于本地的安全策略。例如，尽管默认的PA角色具备添加用户和修改口令的权限，而默认的SA角色并不具备修改口令的权限，但在很多地方，禁止SA的口令访问可能是不现实的。RBAC的一个最大的好处就是它可以按照本地的需求非常方便地分配权限。

2．权限配置文件（Profile）
特征文件是用于授权的一个或一组特定的命令。这些授权连接在一起形成某个角色，并随后与某个用户或某些不同的用户建立关联关系。它们之间的关系如图7-1所示。

我们可以为每个角色创建一个新的用户账号，这些账号拥有自己的主目录和口令。当执行特征文件中的命令时，用户必须使用su命令进入角色账户，因为这种角色用户是不允许直接登录的。


图7-1 授权和特征文件与给予不同用户的角色相关联
通过su命令访问角色账户与通过su命令访问普通账户的一个不同之处在于它们的审计功能，即在通过su命令访问某个角色时，它执行的所有操作，连同用户的原始UID都会被记入日志。这样，每个访问角色的用户操作都会被明确地记入日志并进行审计。

3．授权
所谓授权，就是赋予某个角色执行某项操作的特权，它是在/etc/security/auth_attr文件中定义的。授权的定义形式与Internet的域名非常相似，它的最左边为企业名称，随后是依次细化的软件包和功能内容。

例如，net.cassowary.*就是一个由厂商cassowary.net提供的任何功能授权。

在默认情况下，所有Solaris提供的软件包都是由前缀Solaris来加以识别的。比如，修改口令的授权就是Solaris.admin.usermgr.pswd，而不是com.sun.Solaris.admin.usermgr.pswd。

许多授权的划分都是十分细致的，它可能只允许读访问，而不允许写访问，反之也是如此。比如，主管理员（PA）可能拥有Solaris.admin.usermgr.read和Solaris.admin.usermgr.write的授权，因而可以对用户配置文件分别进行读访问和写访问操作。而系统管理员（SA）虽然可能拥有Solaris.admin.usermgr.read授权，但他并没有Solaris.admin.usermgr.write的授权，因此他可以读用户配置文件，但不能写。

下面是一些Solaris的基本授权：

Solaris.profmgr.read

Solaris.jobs.users, Solaris.mail.mailq

Solaris.admin.usermgr.read

Solaris.admin.logsvc.read

Solaris.admin.fsmgr.read

Solaris.admin.serialmgr.read

Solaris.admin.diskmgr.read

Solaris.admin.procmgr.user, Solaris.compsys.read

Solaris.admin.printer.read

Solaris.admin.prodreg.read

Solaris.admin.dcmgr.read, Solaris.snmp.read

Solaris.project.read, Solaris.admin.patchmg.read

Solaris.network.hosts.read, Solaris.compsys.read

Solaris.admin.volmgr.read

从这里我们看到，Solaris.admin已经定义了一些授权，它们包括文件系统管理（fsmgr）、日志系统管理（logsvc）、端口管理（serialmgr）和用户管理（usermgr）等。

我们还可以利用关键字grant将权限传递给其他用户。一旦关键字grant被附加在一个授权字符串的末尾，即表明该授权可以委托给其他用户。例如，如果Solaris.admin.usermgr. grant授权与Solaris.admin.usermgr.pswd授权配合在一起，则表示口令修改的操作可以由受委托的用户来执行。

4 角色、权限配置文件和授权的关联
如图7-2所示，授权和命令的定义关联起来构成了权限配置文件，该权限配置文件再分派给不同的角色用户来使用。

图7-2 角色、权限配置文件和授权的关联

7.3.2 RBAC数据库
Solaris共有四个RBAC数据库用于角色的管理。

 扩展的用户属性数据库（/etc/user_attr）：将用户、角

色、授权和权限配置文件相关联。

 授权属性数据库（/etc/security/auth_attr）：定义了授权及其授权的属性，标识了相关的帮助文件。

 权限配置文件数据库（/etc/security/prof_attr）：定义权限配置文件，列出权限配置文件分配的授权，标识了相关的帮助文件。

 权限执行属性数据库（/etc/security/exec_attr）：定义了分配给一个权限配置文件的特权操作。

另外，policy.conf文件提供将应用于所有用户的默认属性。

RBAC的几个数据库的相互关系如图7-3所示。

例如，如果“打印机管理”权限配置文件被指定给一个用户或角色，则该用户或角色的user_attr 项包含关键字/值对：

profiles=Printer Management.

prof_attr 文件使用下行定义该配置文件（该文件也指定了帮助文件和授权）：

Printer Management:::Manage printers, daemons,

/ spooling:help=RtPrntAdmin.html;auths=Solaris.admin.printer,

/ Solaris.admin.printer.modify,Solaris.admion.printer.delete

在exec_attr文件中，下行在“打印机管理”配置文件中给命令/usr/sbin/accept指定了一个有效的用户ID = lp：

Printer Management:suser:cmd:::/usr/sbin/accept:euid=lp


图7-3 RBAC的几个数据库关系

1．扩展的用户属性数据库（user_attr）
数据库user_attr是惟一需要的数据库，其他数据库的使用取决于实现哪种安全功能。

/etc/user_attr数据库补充了passwd和shadow数据库。它包含了扩展的用户属性，例如，授权和执行profile。它也帮助你将角色分配给一个用户。

一个角色是一种特殊类型的用户账号，允许一个用户执行一组管理任务。它与一个普通的用户账号类似，只是不通过登录窗口访问角色，只能用su命令来访问他们的角色。

举个user_attr数据库项的实例：

默认的user_attr数据库中的项在下面给出。

root：：：：type=normal；auths=Solaris.*，Solaris．grant；profiles=All

这一项为root分配了做任何事情的权限，使root可以使用系统中所有的命令。它还分配了两项授权。Solaris.*通配符授权为root分配了所有的Solaris授权。Solaris．grant授权使root可以给其他用户分配的任何Solaris授权的权利。

2．授权属性数据库（auth_attr）
授权就是对一种受限的访问给予的权限。它的表现形式是个字符串，标识着授权者和被授权者。

特定的特权程序能够查看授权，并确定用户是否能够执行受限功能。例如，一个要编辑另一个用户的crontab文件的用户需要有Solaris．jobs．admin授权。

所有的授权都被存储在/etc/security/auth_attr数据库中。当直接将授权分配给用户或角色时，授权被输入user_attr数据库中。也可以为执行profile指定授权，这些授权接下来就被分配给用户。

下面的例子给出了默认的auth_attr数据库的一部分。

Solaris.admin.usermgr.:::Users，Groups ＆Mailing Lists::help=UserMgrHeader.html

当授权在auth-attr数据库中定义时，就可以将其分配给一个user-attr数据库中的用户。下面的例子为用户duanf分配了授权Solaris.admin.usermgr．。

duanf::::type=normal；auths=Solaris.admin.usermgr.；roles=sysadmin；profiles=All

3．权限配置文件数据库（prof_attr）
有了权限配置文件，就可以使用特殊的属性将授权和命令分组，并将其分配给用户或角色。特殊的属性包括真正有效的UID和GID。最常见的属性是将真正有效的UID设置为root。权限配置被存储在prof_attr数据库中。

下面的例子给出了默认的prof_attr数据库的设备管理部分。所有以Solaris.device字符串开头的授权都被分配给设备管理配置文件。

Device Management:::Control Access to Removable Media:auths=Solaris.device.*；help=DevMgmt.html

在prof_attr数据库中定义的设备管理配置文件被分配给user_attr数据库中的advanced角色，如下所示：

advanced::::type=role；profiles=Device Management，PrinterManagement

而授权在auth_attr数据库中定义的则如下面的摘要所示：

Solaris.device.::evice Allocation::help=DevAllocHeader.htm l

Solaris.device.allocate:::Allocate Device::help=DevAllocate.htm l

Solaris.device.config:::Configure Device Attributes::help=DevConfig.htm l

Solaris.device.grant::elegate Device Adm inistration::help=DevGrant.htm l

4．权限执行属性数据库（exec_attr）
与权限配置文件相联系的执行属性就是命令。命令能够使被赋予了配置文件的用户或角色运行特殊的安全属性。Exec_attr文件包括了与权限配置文件相关联的一个基本命令列表。

下面的例子给出了在prof＿attr 数据库中定义的打印机管理配置文件。

Printer Management:::ControlAccess to Printer:help＝PrinterMgmt.html

打印机管理配置文件有13 项执行属性，在exec_attr 数据库中为它指定了合适的安全属性，如下所示：

Printer Management:suser:cm d:::/etc/init．d/lp:euid=0

Printer Managem ent:suser:cm d:::/usr/bin/cancel:egid=0

Printer Managem ent:suser:cm d:::/usr/bin/lpset:euid=14

Printer Managem ent:suser:cm d:::/usr/bin/enable:euid=lp

Printer Managem ent:suser:cm d:::/usr/bin/disable:euid=lp

Printer Managem ent:suser:cm d:::/usr/sbin/accept:euid=lp

Printer Managem ent:suser:cm d:::/usr/sbin/reject:euid=lp

Printer Managem ent:suser:cm d:::/usr/sbin/lpadm in:egid=14

Printer Managem ent:suser:cm d:::/usr/sbin/lpfilter:euid=lp

Printer Managem ent:suser:cm d:::/usr/sbin/lpform s:euid=lp

Printer Managem ent:suser:cm d:::/usr/sbin/lpm ove:euid=lp

Printer Managem ent:suser:cm d:::/usr/sbin/lpshut:euid=lp

Printer Managem ent:suser:cm d:::/usr/sbin/lpusers:euid=lp

以下这些RBAC命令可以用来对各种不同的RBAC数据库进行操作。

1．smexec
smexec命令可以用来创建、更新，以及删除exec_attr命令数据库的行。该命令在执行时必须提供如下三个选项之一：

 add，添加一个数据库行；

 delete，删除一个数据库行；

 modify，更改一个数据库行。

为了执行smexec命令，用户必须具备Solaris.profmgr.execattr.write授权。根据不同的命令选项，smexec可以有两组参数：授权参数和指定参数。

授权参数对于每个选项都是通用的，它们用于指定如下特性：

-domain 管理的域

-hostname:port 执行操作的主机名和端口（默认端口是898）

-rolepassword 角色的认证口令

-password 用户口令（不是角色口令）

-rolename 角色名

-username 用户名

我们可以利用smexec add命令在exec_attr数据库添加行。在命令行中，可以指定如下参数：

-c 指定要添加的新命令名的完整路径

-g  指定执行该新命令的有效GID

-G 指定执行该新命令的实际GID

-n 指定与该命令相关联的特征文件名称

-t cmd 指定该操作为一个命令

-u  指定执行该新命令的有效UID

-U 指定执行该新命令的实际UID

下面是smexec add命令操作的一个例子：

# smexec add -hostname localhost -password xyz123 -username root -- -n

“Print Manager” -t cmd -c /usr/sbin/lpsched -u 0 -g 0

该命令为Printer Manager特征文件添加了一个启动打印服务的能力，它的有效UID和GID都是0（即root）。

我们可以利用smexec delete命令在exec_attr数据库删除行。在命令行中，可以指定如下参数：

-c 指定要删除的命令名的完整路径

-n  指定当前与该命令相关联的特征文件名称

-t cmd 指定该操作为一个命令

如果需要删除exec_attr数据库中lpsched的相应行，可以使用如下命令：

# smexec delete -hostname localhost -password xyz123 username root -- -n

“Print Manager” -t cmd -c /usr/sbin/lpsched

我们可以利用smexec modify命令修改exec_attr数据库中的行。在命令行中，可以指定如下参数：

-c 指定要修改的命令名的完整路径

-g 指定执行修改后命令的有效GID

-G 指定执行修改后命令的实际GID

-n  指定与该命令相关联的修改特征文件的名称

-t cmd 指定该操作是一个命令

-u 指定执行修改后命令的有效UID

-U 指定执行修改后命令的实际UID

以下是smexec modify命令的一个操作例子：

# smexec modify -hostname localhost -password xyz123 username root -- -n

“Print Manager” -t cmd -c /usr/some/new/path/lpsched -u 0 -g 0

该命令将Print Manager特征文件的启动打印服务的命令路径从/usr/sbin/lpsched修改为/usr/some/new/path/lpsched。

2．smmultiuser
smmultiuser命令用来执行批处理操作，诸如添加或删除大量的用户。当需要指定的所有用户数据已经存在于文件中时，该命令会非常有用。例如，一个备份系统可能需要建立一个类似于当前生产系统的设置（setup），此时，我们不仅可以直接复制文件系统，而且可以执行所有涉及新账户创建的操作，诸如主目录的创建等。另外，指定用户数据的文件也可以根据路径名的改变进行更新。例如，如果原始系统的主目录利用NFS被导出，并被挂接到新系统的lexport挂接点下，则相应的用户说明文件的数据也会在处理前执行相应的更新。或者，如果挂接点后来有所改变，系统的用户数据也同样可以利用smmultiuser命令进行修改。

与smexec命令一样，smmultiuser命令在执行时也必须选择如下三个选项：（1）add，添加多个输入项；（2）delete，删除一个或多个输入项；（3）modify，修改一组现有的输入项。为了利用Smmultiuser命令来修改口令，用户必须具备Solaris.profmgr.execattr.write授权。按照Solaris.profmgr.execattr.write授权命令的不同选项，它存在两组参数：授权参数和操作参数。

授权参数对于每个选项都是通用的，它们用于指定如下特性：

-domain 要被管理的域，它可以是本地数据库（file）、NIS（nis）、NIS+(nisplus)、DNS（dns）或LDAP（ldap）。例如，为了利用LDAP对主机foxtrot. cassowary.net进行管理，我们需要将该域指定为ldap://foxtrot/ cassowary.net

-hostname:port 执行操作的主机名和端口（默认端口是898）

-password 用户口令（不是角色口令）

-rolename 角色名

-rolepassword 角色的认证口令

-trust 在批模式下操作时需要用到

-username 用户名

在利用smmultiuser命令进行添加、删除和修改操作时，可以在命令中传递如下的参数：

-i 指定需要读取的输入文件。该文件包含要添加、修改和删除的所有数据项

-L 指定用于记录批作业中每个操作成败的日志文件名称

在下面的例子中，我们从/home/paul/newaccounts.txt中读取一组记录并添加到系统中：

# smmultiuser add –hostname localhost –p xyz123 username root -- -I

/home/paul/newaccounts.txt

3．smuser
smuser命令可以用来执行对用户账户的操作，无论是从本地用户数据库还是从NIS/NIS＋检索数据，它和smmultiuser类似。但是该命令通常只用来添加单个用户，而不是在批模式下添加一组用户。除了添加、删除，以及修改用户条目，也可以检索并列出现存的用户数据。执行该命令时必须提供四个选项中的一个；add用于添加一个条目；delete用于删除一个条目；list用于列出所有现存的条目；modify用于更新一个条目。要使用Smuser的选项add，delete或modify，用户必须有Solaris.profmgr.execattr.write授权。但是，只需要Solaris.admin.usermgr.write授权就可以列出条目。

有两套参数可以传递给Smuser（取决于选择了哪个选项）：授权参数和每个选项的具体参数。授权参数对每个选项都是通用的，它们确定了如下特征：

-domain 要被管理的域，它可以是本地数据库（file），NIS（nis），NIS+(nisplus)，DNS（dns）或LDAP（ldap）。为了利用LDAP对主机foxtrot.cassowary. net进行管理，我们需要将该域指定为ldap://foxtrot/cassowary.net

-hostname:port 执行操作的主机名和端口（默认端口是898）

-password 用户口令（不是角色口令）

-rolename 角色名

-rolepassword 角色的认证口令

-username 用户名

在利用smuser add命令添加项时，它的参数与我们讨论的利用useradd命令添加用户的参数类似，以下是我们可以在命令行中传递的参数：

-c 指定账户的说明，例如：“Joe Bloggs”

-d 指定用户的主目录

-e 指定账户的有效日期

-f 指定账户过期前的非活动天数限制

-F 指定账户全名，该名称不允许与域中其他账户相同

-g 指定账户的GID

-n 指定账户的名称

-P 指定账户的口令

-s 指定默认Shell

-u 指定账户的UID

下面是smuser add命令的一个例子：

# smuser add –H localhost –p xyz123 –u root -- -F “Paul Watters” –n walrus –c “Paul A Watters Director” –p jimmy123 –g 10 –u 1025

该命令在系统中为Paul Watters添加了一个账户walrus，该账户的口令为jimmy123，账户UID为1025，GID为10。

当利用smuser delete命令删除账户时，我们只需要在命令行中通过-n参数来指定要删除的账户名称。例如，在下面的命令中，我们将从localhost中删除账户warus：

# smuser delete -H localhost -p xyz123 -u root -- -n walrus

smuser list命令可以用来显示一个不带任何参数的用户列表，该命令形式如下：

# smuser list -H localhost -p xyz123 -u root -

当利用smuser modify命令修改用户账户时，命令行的参数与smuser add命令的参数相同，命令中的任何新参数值都会导致相应字段的更新。例如，如果需要将某个用户的默认Shell修改为Korn shell，可以使用如下命令：

# smuser update -H localhost -p xyz123 -u root -- -n walrus -s /bin/ksh

4．smprofile
smprofile命令可以用来创建、列出、更新及删除prof_attr数据库中的特征文件，它们所对应的命令分别为smprofile add，smprofie list，smprofile modify和smprofile delete。命令所使用的授权参数和smuser及smexec命令的参数类似。在利用smprofile add来添加特征文件时，可以在命令行上传递如下参数：

-a 添加单一授权或一组授权

-d 为新的特征文件添加说明

-m 指明与该特征文件相关联的HTML帮助文件的路径

-n 指定该特征文件的名称

以下是smprofile add命令的一个例子：

# smprofile add -H localhost -p xyz123 -u root -- -n “Password Manager” \

-d “Change user passwords” -a Solaris.admin.usermgr.pswd \

-m PasswordManager.html

该命令为Password Manager添加了一个特征文件，使它拥有Solaris.admin.usermgr.pswd授权，可以执行口令修改的操作。

当我们希望利用smprofile list列出特征文件的列表时，只要不在命令行中指定-n参数就可以了。如果指定-n参数，则意味着指定列出的特征文件名字。下面是smprofile list命令的一个例子：

# smprofile list -H localhost -p xyz123 -u root -

当利用smprofile modify命令来修改特征文件时，命令行的参数与smprofile add命令的参数相同，命令中的任何新参数值都会导致相应字段的更新。下面是smprofile modify命令的一个例子：

# smprofile modify -H localhost -p xyz123 -u root -- \

-n “Password Manager” -d “Modify user passwords”

该例子通过-d参数修改了Password Manager特征文件的说明文字内容。

为了利用smprofile delete命令来删除某个特征文件，我们可以在命令行利用-n参数来指定要删除的特征文件名称。下面是smprofile delete命令的一个例子：

# smprofile add -H localhost -p xyz123 -u root -- \

-n “Password Manager”

5．smrole
smrole命令可以执行有关角色账户的操作，它通常只是用来添加单个角色，而不是以批模式的方式来添加一组角色。Smrole命令除了执行添加、删除和修改角色账户的操作外，还可以对现有角色数据执行提取和列出操作。为此，该命令在执行时必须指定如下四个选项之一：（1）add，添加一个角色账户；（2）delete，删除一个角色账户；（3）list，列出现有的所有角色账户；（4）modify，修改某个现有角色账户。为了执行smrole add，delete或modify操作，用户必须拥有Solaris.role.write授权。但是，如果只是执行smrole list操作，则用户只需要Solaris.admin.usermgr.read授权。根据不同的命令选项，Smrole命令共有两种参数：授权参数和指定参数。Smrole命令的授权参数与smuser命令的授权参数相同。

在利用smrole add命令添加角色时，可以在命令行中传递如下参数：

-c 指定角色账户的说明，例如“System Manager”

-d 指定角色账户的主目录

-G 指明该角色账户的辅助GID，因为这里的基本GID总是sysadmin

-n 指定角色的名称

-P 指定账户的口令

-s 指定默认Shell

-u 指定账户的UID

下面是一个使用smrole add命令的例子：

＃ smrole add -H localhost -p xyz123 -u root -- -F ”System Manager” \

-n bofh -P abc123 -G 10 -u 666

这个命令在系统中为System Manager添加了一个名为bofh的账户，该账户的口令为abc123，账户UID为666，辅助GID为10。

当利用smrole delete命令删除角色账户时，我们只需要在命令行中通过-n参数指定要删除的角色账户名称即可。例如，在下面的命令中，我们将从localhost中删除角色账户bofh：

＃ smrole delete -H localhost -p xyz123 -u root -- -n bofh

smrole list命令可以用来显示一个不带任何参数的角色列表，该命令如下：

＃ smrole list -H localhost -p xyz123 -u root --

当我们利用smrole modify命令修改角色账户时，命令行的参数与smrole add命令的参数相同，命令中的任何新参数值都会导致相应字段的更新。例如，如果需要将某个角色的默认Shell修改为Bourne Shell，则可以使用如下命令：

＃ smrole update -H localhost -p xyz123 -u root -- -n walrus -s /bin/sh

第8章 Solaris管理控制台   
过去，Sun曾多次尝试开发一种易用和可扩展的GUI界面，以便用于Solaris单机或多机系统的管理。以前，作为Solaris主要GUI管理工具的admintool是由Solaris的分销商提供的。但是自从Solaris 8 Admin Pack发布以后，Solaris又增添了一种新的可用工具，这就是Solaris管理控制台（SMC）。在Solaris 10中，SMC已经是2.1版本了。?**校?我们将介绍SMC在单服务器和多服务器环境下的各种可用的管理功能。

Solaris管理控制台（SMC，Solaris Management Console）是专门用来替代Admintool的，因为作为GUI系统管理工具，Admintool只提供了一组有限的工具，并且缺乏扩展性。对于那些经验丰富的老手来说，他们对于GUI工具的需求可能并不那么急迫，但是SMC确实提供了一种在单一界面下实现大量服务器的管理方法，并可以容易地实现它的核心接口功能的扩展。这意味着，我们可以将定制应用添加到管理工具箱中，或者通过适当的命令来实现特定系统管理应用的汇集。这里需要注意的是，SMC并不会给执行单机系统管理的系统管理员带来太多的好处，作为一种高级系统管理工具，它更适合那些涉及大量系统管理的站点使用。

8.1.1 Solaris管理控制台工具箱的概述
Solaris管理控制台使用工具箱的观念。SMC有三个主要的组件：

 SMC用户机，也称为“SMC”或“控制台”；

 SMC服务器；

 SMC工具箱编辑器。

若须引导每一个SMC组件的指示，请参阅引导SMC。关于“控制台”窗口及其组件的描述，请参阅控制台描述。

SMC工具箱是已经以smcconf(1MB)注册的工具箱。它是文件夹、工具、传统应用程序及链接至其他工具箱的层次集合。请参阅打开服务器工具箱或打开本机工具箱以取得指示。

关于创建或编辑工具箱的信息，请参阅SMC工具箱编辑器概述。

根工具箱或容器称为“管理工具”。它的默认行为是寻找主机（本计算机）上的工具箱，并在SMC引导时将它链接起来。你可以将工具箱增加（链接）到“管理工具”。关于将工具箱新增至主要服务器工具箱的指示，请参阅将工具箱新增至管理工具。

工具箱允许你将工具群组成一致性、用户导向的层次。此工具箱称为“本计算机”，是SMC服务器的默认工具箱，依照默认选项，工具箱包含下列种类（文件夹）及工具。

 系统状态：系统信息、日志查看器、处理、性能；

 系统配置：用户、项目、计算机和网络、补丁；

 服务：排定的工作；

 存储设备：安装及共同、磁盘、增强存储器；

 设备及硬件：串口。

使用SMC工具箱编辑器，你可以修改现存的工具箱或者创建其他不同目的的工具箱，包含从一个工具箱管理多个服务器，以及将工具箱中相似的工具群组起来。工具箱可包含文件夹、工具，以及其他工具箱的链接。

文件夹是在工具箱内群组工具的容器。

工具是一种与SMC兼容的应用程序／小组件，其紧密地结合至“控制台”。SMC工具是使用SMC SDK创建的。关于在“控制台”中查看执行中工具的指示，请参阅在控制台中装入工具。

工具箱URL或链接是指向另外一个可能在当前的SMC服务器或任何其他SMC服务器上工具箱的指标。

传统应用程序是一种不是SMC工具的应用程序；传统应用程序可以是script，X应用程序或URL。

8.1.2 控制台描述
依照系统的默认设置，控制台桌面共有三个窗口：

 导航窗口；

 查看窗口；

 信息窗口。

下面是控制台桌面的窗口，如图8-1所示。

导航窗口

左方或“导航”窗口的功能就像网页中的框架一样，只要单击“导航”窗口中某个项目，则该项目便会出现在“查看”窗口中。“转动器”图标会显示在代表项目群组的项目旁边。单击该图标或连续双击图标旁边的文字可以展开或隐藏该群组。

“导航”窗口显示与否，取决于“查看”菜单中的“显示”设置，详细信息请参阅查看菜单。

查看窗口

右方或“查看”窗口会显示在“导航”窗口中选择的节点内容。内容可以是文件夹或工具。


图8-1 SMC控制台桌面窗口

如果在“导航”窗口中所选择的节点是文件夹，该文件夹的内容就会显示在“查看”窗口中。

如果选择的节点是简单的工具，就像“日期／时间”工具，时钟就可能会显示出来。如果选择的节点是复杂的工具，就像“用户管理员”，内容可能会是用户账户和电子邮件账户的子工具。选择用户账户节点和可能会显示出来的用户清单，并更改“动作”菜单使其允许编辑清单。

信息窗口

在控制台下方的“信息”窗口会视选择的“内容说明”或控制台事件标记来决定显示“导航”窗口中选择的对象的内容说明或警报类型清单。

“信息”窗口显示与否，取决于“查看”菜单中的“显示”设置，详细信息请参阅查看菜单。

在“查看”→“显示”菜单中，我们可以控制SMC控制台的显示选择，共3列：

 工具列；

 位置列；

 状态列。

工具列

“工具列”和一般的软件的工具列一样，位于主控菜单的下方。

位置列

“位置列”位于控制台的工具列下方，包含一个“主工具箱”图标、“工具箱”字段（指示当前的工具箱以及在工具箱中所选择的项目），以及下拉菜单（包含最近所造访过的工具箱）。单击“主工具箱”图标，以打开主工具箱。从下拉菜单中选择工具箱，以便打开该工具箱。


图8-2 SMC的列显示

状态列

“状态列”位于控制台位置列的下方。“状态列”的左边窗口会显示“导航”窗口中选择的节点下的项目（节点）数目。“状态列”的中间窗口指示“控制台”的活动。“状态列”的右边窗口则会提供一些“控制台”工作期间的进度信息，包括打开工具箱文件。

8.1.3 Solaris管理控制台的功能概述
SMC除了对用户和用户组的管理之外，还可以对系统和应用软件包进行管理。它的基于Java程序的用户界面，让我们可以通过单一系统来实现多系统的管理。SMC的管理功能包括被管理系统的重新引导或关机、root口令的设置、PPP支持的启动，以及类似DNS这样的命名服务的管理等。另外，它还可以实时查看进程，以及诸如虚拟内存和物理内存等系统资源。以下是SMC内部工具箱软件所能完成的各种管理任务的汇总：

 为用户分派权限和角色；

 执行系统新磁盘的配置和格式化，包括磁盘分区规划和准备RAID的配置盘拷贝等；

 创建单一用户账户，或按照统一的规范生成多个账户；

 创建新的用户组或修改现有用户组；

 创建并实施用户策略；

 实时执行作业或定时、周期性地高度作业；

 为串行口、调制解调器，以及相关物理层技术（如PPP）提供安装支持；

 监视进程运行，查找各种恢复、删除或挂起的进程；

 查看系统日志，查找异常或可疑的日志记录；

 建立邮件列表；

 查看挂接的文件系统。

这些管理操作和应用并不是由SMC直接提供的，SMC提供的只是访问这些操作和应用的界面。

SMC的运行主要是收集系统数据，提供查看数据的界面，并在这些数据的基础上执行相应的管理任务。对于不同的服务器，它可以存储本地化的工具箱。

启动Solaris管理控制台的方法有两种。

“控制台”的引导方式如下：从CDE前方面板上的“工具”菜单，或者在“应用管理程序”或“文件管理程序”中连续双击SMC图标。

如果没有高分辨率的图形卡或监视器，SMC还可以采用命令行的方式启动。键入smc （依照系统默认设置，位于/usr/sadm/bin中），然后单击“Return”按钮就可以启动。

SMC还提供了另外一种编辑运行模式，主要用于工具箱的修改或更新。键入smc edit （依照默认，位于/usr/sadm/bin中），然后单击“Return”按钮。

SMC命令包括如下启动选项：

-auth-data，允许从文件中读取身份认证数据。

-toolbox，约定工具箱名称从文件读入。另一种方式是指定一个指向工具箱所在的位置的URL地址。

-domain，指定被管理系统的域名，它支持LDAP，DNS，NIS和NIS+域。DNS域cassowary.net的主机midnight的URL形式为dns:/midnight/cassowary.net。

 -hostname:port，指定被管理服务器的主机名和端口号，默认端口号为898。

 -J，将任意命令行选项传递给Java虚拟机，如heap的初始大小和最大值等。

 -rolepassword，指定角色名的口令。

 -password，指定用户名的口令。

 -rolename，指定执行SMC的角色。

 -t，在终端模?**葱蠸MC。

 -trust，允许所有下载代码都是可信的。

 -tool，指定执行的工具。

 -username，指定执行SMC的用户名。

 -yes，在默认情况下，对所有交互问题均以yes应答。

注意：你可以用最终用户的身份引导SMC，但是某些工具或应用程序可能不能装入，除非以root登录，或者你在SMC服务器登录期间担任一个角色。

“控制台”“快闪屏幕”会显示出来，并有消息指出程序正在装入。快闪屏幕会由“控制台”窗口取代。依据工具装入首选设置的设置值，“控制台”会打开工具箱，或者“登录”对话框会显示在“控制台”上方。

 如果你不能执行SMC，这可能是因为SMC服务器不在执行中或是处于有问题的状态。判断SMC服务器是否正在执行：

以root登录，请键入/etc/init.d/init.wbem status。

 如果SMC服务器正在执行，你应该得到如下的响应：“SMC server version 2.1.0 running on port 898”。

引导SMC服务器：

以root登录，请键入/etc/init.d/init.wbem start。

在短暂时间之后，应该返回消息：“SMC server started”。

停止SMC服务器：

以root登录，请键入/etc/init.d/init.wbem stop。

应该返回消息：“SMC stopped”。

当启动SMC后，如果要进入相应的栏目，就需要再次认证。我们双击它的图标，就会出现该屏幕的认证（如图8-3所示），输入管理员的密码后，就能连接到命令行或文本框指定的服务器上。一般来说，这里的管理员应为root，但也可以是分派为管理角色的非特权用户。


图8-3 管理员认证窗口

8.3.1 系统状态栏目介绍
系统状态栏目是描述系统状态信息的。它包括日志查看器、系统信息、进程和性能几个子栏目。图8-4所示的就是显示系统日志的查看器。从图中我们可以看出，某个用户在某个时间都做了什么样的操作。看起来和微软的视窗有点类似。


图8-4 SMC日志查看器

单击选定的日志就可以查看到该日志的详细信息。

在SMC中选定图标或文字栏目后，可以通过工具栏上的“动作”按钮来查看我们可以进行的下一步动作，如图8-5所示。


图8-5 在日志查看子栏目中的可选择的动作

“系统信息”子栏目中显示了系统的所有概要信息。由于“导航窗口”下面的“管理工具”中列出的是“本计算机”，所以图8-6中显示的是本计算机的概要信息。

图8-6 本计算机中的概要信息

这些基本信息非常直观。图8-7就是这些基本信息的列表，相信读者能非常容易理解。

图8-7 详细信息列表

对系统进程的管理在“进程”子栏目，单击它就会显示当前系统中正在运行的所有进程，如图8-8所示。


图8-8 系统进程列表

此时，如果我们双击init进程，就可查看该进程的详细信息，如图8-9所示。

图8-9 init进程的详细信息

在“系统性能”子栏目中，我们能查看有关系统的性能情况。这里有系统性能摘要信息、系统项目的性能管理和系统的用户性能管理，如图8-10所示。


图8-10 系统性能

系统配置就是配置被管理的计算机网络、用户和资源等方面的内容。该栏目中有四个子栏目，分别是“计算机和网络”、“修补程序”、“项目”和“用户”，如图8-11所示。


图8-11 系统配置栏目

“计算机和网络”就是配置计算机网络方面的配置。

“修补程序”就是系统补丁方面的管理配置。

“项目”就是系统的项目管理方面的配置。

“用户”就是用户方面管理的配置。

限于本书篇幅，我们主要介绍系统用户管理方面的配置。这也是第6章用户管理中内容的继续。

用户管理界面如图8-12所示。


图8-12 用户管理界面

通过这个界面，我们可以对计算机用户进行管理。它包括用户的账号、用户模板、权限、管理角色、群组和邮件清单等内容。

用户账号：为本系统添加和删除用户的账号。

用户模板：创建或删除用户的模板，用户模板是为了成批的创建大量用户而使用的。

权限：通过一些命令和现成的权限，组成新的权限，可以调用一些命令。

管理角色：创建或删除某种角色。

群组：创建或删除用户组。

邮件清单：为用户建立或删除邮件清单。

1．增添用户
增添用户，使用“动作”栏目中的“增添用户”选项，如图8-13所示。

以下的步骤非常简单，和Windows有点类似，这里就不再详细描述了。


图8-13 增添用户

2．增加权限
权限就是一些命令的集合。使用SMC我们可以方便地设定一些权限。图8-14是增加权限的引导图。


图8-14 增加权限的引导图

在选择“增加权限”命令后，就会出现下面的引导，引导共有四个栏目，通过指令和一些授权就可以生成新的权限。如图8-15～图8-18所示。

图8-15 设定权限的名字


图8-16 选择指令对话框

图8-17 选择授权对话框


图8-18 选择增添辅助权限的对话框

通过上面的步骤，就完成了一个权限的添加。

3．增加角色
角色的定义我们在第**幸丫?讲过，这里我们主要介绍如何利用SMC的图形界面来添加角色。

增加角色的步骤如下：

先选择“动作”→“增加管理角色”，如图8-19所示。

图8-19 增加角色

紧接着就进入增加管理角色的步骤，第一步是设定新增角色的名字，如图8-20所示。

第二步，设定新增角色的口令，如图8-21所示。

第三步，设定新增角色的权限，如图8-22所示。

图8-20 设定新增角色的名字

图8-21 设定新增角色的口令

图8-22 设定新增角色的权限

还有一些步骤，限于篇幅，这里不再列出。

最后，出现如图8-23所示的界面，单击“完成”按钮即可完成角色的添加。

图8-23 角色添加完成

4．增加群组
在SMC中，“群组”就是我们在第7章所描述的“用户组”。使用SMC图形来管理群组是很方便的。下面我们就来介绍添加群组的步骤。

首先，启动“群组添加”，如图8-24所示。

图8-24 添加群组

添加群组的引导图比较简单，这里不再多说。

8.3.3 服务栏目介绍
SMC的服务栏目中目前的内容并不多，只有一项，就是“调度的工作”。其实就是命令行中的crontab和at命令。它们具有定时启动某个应用程序或系统命令的功能。

在这个栏目中，我们可以查看系统具有哪些定时的工作，然后设置或修改这些定时的工作内容。系统定时服务的内容如图8-25所示。


图8-25 系统的定时服务

8.3.4 保存栏目介绍
在“保存”栏目中，共有三个子栏目。它们分别是“磁盘”、“安装和共享”及“增强存储器”。

其中，“磁盘”栏目就是显示磁盘的类型、容量和已经使用量等。图8-26显示了磁盘的信息。

“安装和共享”栏目的内容就是进行磁盘的安装、使用和共享的管理，如图8-27所示。我们使用这些工具的好处就是非常直观、方便。

系统安装点的管理如图8-28所示。

在“增强存储器”栏目中可以进行磁盘卷的管理，如磁盘卷的创建和删除。如图8-29所示。


图8-26 磁盘信息



图8-27 磁盘的安装、使用和共享的管理


图8-28 系统安装点的管理

图8-29 增强存储器