비루트 보안 설정의 제한사항
다음 목록은 비 루트 보안 설정의 제한사항을 요약합니다.
- 일반 사용자는 RMC 자원 관리자 추적 파일(예:
IBM.RecoveryRMd디먼의 추적)의 컨텐츠를 볼 수 없습니다.모든 RMC 자원 관리자 디먼은 RMC 프레임워크 라이브러리 유틸리티를 사용하여
/var/ct/<cluster>디렉토리에 추적 파일과 코어 이미지를 작성합니다. 이러한 자원 관리자는 /usr/bin/startsrc 명령을 통해 수퍼유저 (사용자 IDroot) 만 시작할 수 있으므로 작성된 파일은 사용자 IDroot에 속합니다.모든 root가 아닌 사용자는 /usr/sbin/rsct/bin/ctsnap 명령을 사용하여 디버그 및 추적 정보를 수집할 수 없습니다.
root가 아닌 사용자가 추적 또는
ctsnap디버그 데이터 또는 둘 다를 수집할 수 있도록 하려면 이러한 사용자 및 명령에 대해sudo
와 같은 메커니즘을 구현해야 합니다. - Tivoli 로깅을 사용하므로 다음 명령은
root권한으로만 시작될 수 있으며, 로그 파일이root권한으로 유지보수되는 경우에만 적절하게 작동합니다.- sampolicy 명령.
- 엔드-투-엔드 자동화 어댑터를 시작하기 위한 samadapter 명령
- 라이센스를 설치 또는 업그레이드하기 위한 samlicm 명령
- ACL 오브젝트의 단위는 자원이 아닌 자원 클래스를 기반으로 합니다. 정규 사용자는 자원 클래스의 자원을 수정하도록 허용되거나 허용하지 않을 수 있지만, 자원을 기준으로 권한을 부여하거나 거부할 수는 없습니다. 예를 들어, 데이터베이스 관리자가 데이터베이스 자원에 대해서만 권한을 부여받을 수는 없습니다.
sa_operator
역할은 해당 자원의 속성 값 변경하여 자원을 수정할 수 있습니다. 이는 System Automation for Multiplatforms 요청을 발행하는 데 필요한s
권한의 결과입니다.s
권한이 없으면 이 역할이 있는 사용자는 유용한 태스크를 수행할 수 없습니다.s
권한으로 속성을 설정하고 변경할 수 있습니다.
다음 표에서는 일반적인 System Automation for Multiplatforms 태스크를 수행하는 데 필요한 역할 또는 권한을 표시합니다.
| 태스크 | 권한 | 역할 | 허용 |
|---|---|---|---|
| 제품 및 제품 라이센스 설치 | 루트 | 시스템 관리자 | System Automation for Multiplatforms 및 제품 라이센스 설치 및 업그레이드. |
| 클러스터 관리 | root/sa_admin | 시스템 관리자/ System Automation for Multiplatforms 관리자 | 클러스터 및 개별 RMC 자원 관리자 정의, 시작, 중지 및 모니터링 |
| 자원 정의 및 System Automation for Multiplatforms 정책 정의 | root/sa_admin | 시스템 관리자/ System Automation for Multiplatforms 관리자 | 자원 정의, 제거, 변경 및 자동화 정책 설정 |
| 자동화 조작 | root/sa_admin/sa_operator | 시스템 관리자/ System Automation for Multiplatforms 관리자 및 운영자 | 온라인 및 오프라인 요청 발행, 자원 그룹 및 개별 자원 재설정 및 모니터링 |
| 문제점 판별을 위한 추적 및 디버그 데이터 수집 | 루트 | 시스템 관리자 | 모든 시스템 및 어플리케이션 추적(로그) 파일에 대한 액세스. (제한사항 목록 참조) |
| 보안 설정 | 루트 | 시스템 관리자 | 이 절에 설명된 보안 설정 정의, 변경 및 제거. |
| 어댑터 설정 | root/sa_admin | 시스템 관리자/ System Automation for Multiplatforms 관리자 | 엔드-투-엔드 자동화 구성 정의, 변경 및 제거 |