更改用户组

您可以使用命令行界面 (CLI) 来更改用户组。 用户组按角色组织系统用户。

关于此任务

角色适用于系统上的本地用户和远程用户,并且基于用户所属的用户组。 本地用户只能属于单个组;因此,本地用户的角色由该用户所属的单个组定义。 远程用户可属于一个或多个组;因此,远程用户的角色根据该用户所属的组来分配。

除了向用户组分配角色外,您还可以使用用户组来控制用户如何访问系统上支持的不同管理界面和功能。 您可以创建具有特定角色的用户组,并通过允许或限制该用户组的功能或接口,进一步控制该组中的用户如何与系统上的对象进行交互。 利用此功能,您还可以控制脚本或自动服务的访问,例如自动访问系统的 IBM Storage Insights。 可以使用用户组来启用或禁用以下接口和功能:
表 1. 使用用户组的管理接口和功能的受支持访问控制
管理界面或功能 受支持的配置接口
管理 GUI 访问权 命令行界面
命令行界面访问 命令行界面
REST API 访问 命令行界面
多因素认证 管理 GUI 和命令行界面
需要密码和密钥才能访问 命令行界面
注意:如果系统上的任何远程用户组都配置了多因素身份验证,那么在使用 SSH 登录系统上的任何远程用户时,就无法使用 BatchMode=yes 设置。
您可以使用此功能启用或禁用自动脚本或服务对接口的访问,例如 IBM Storage Insights 或其他自动流程的数据收集。 您可以通过为自动化服务创建仅具有访问应用程序或服务所必需的信息所需的角色的标识来进一步保护系统。 通常,要为自动化服务配置用户组和访问控制,需要完成以下步骤:
  1. 为自动化标识创建单独的用户组。
  2. 创建具有相应角色的自动化用户。 例如,对于 IBM Storage Insights 的数据收集,监控器角色允许服务查看对象和系统配置设置。 其他自动化服务或脚本可能需要不同的基于角色的访问权,具体取决于服务在系统上完成的操作
  3. 禁用这些自动化标识的接口。 根据自动化服务,您可以控制自动化服务可用于在系统上完成任务的接口。 例如,通过 IBM Storage Insights 数据收集,您可以将这些自动化 ID 限制为只能进行命令行访问,因为不需要其他接口和功能。
  4. 在使用 SSH 密钥在系统与自动化服务之间建立连接的情况下,请确保密钥本身是安全的,并仅将这些 SSH 密钥与自动化服务配合使用。

要在 管理 GUI中更改用户组,请选择 访问 > 用户。 选择用户组,然后从 操作 菜单中选择 属性

要使用 CLI 更改用户组,请使用 chusergrp CLI 命令。

过程

  1. 使用 chusergrp CLI 命令可更改现有用户组的属性。
    例如,输入以下命令:
    chusergrp -role role_name -remote yes | no group_id_or_name
    其中 role_name 可指定与属于该组的任何用户关联的角色,group_id_or_name 可指定要更改的组。 remote 参数可指定该组是否对认证服务器可视。
  2. 发出 lsusergrp CLI 命令以显示在系统上创建的用户组。
    例如,输入以下命令:
    lsusergrp usergrp_id_or_name
    其中 group_id_or_name 可指定要查看的用户组。 如果您不指定用户组标识或名称,那么会显示系统上所有用户组。

示例

如果计划禁用或启用接口访问或功能,那么可以使用 mkusergrpchusergrp 命令。 这两个命令都提供了以下参数来禁用和启用访问权和功能:
-disablegui
指定用户组是否已禁用管理 GUI 访问权。 值可以是 yes 或 no。
-disablecli
指定用户组是否已禁用命令行界面访问权。 值可以是 yes 或 no。
-disablerest
指定用户组是否已禁用 REST-API 访问权。 值可以是 yes 或 no。
-passwordkeyrequired
指定用户组是否需要密码和 SSH 密钥。 值可以是 yes 或 no。
-multifactor
指定用户组是否已启用多因子认证。 值可以是 yes 或 no。
以下示例显示了这些参数的一些常见用例的命令操作:
限制对自动化服务的访问
创建或更改具有相应角色和限制的用户组:
mkusergrp -name automatedservice -role Monitor -passwordkeyrequired yes -disablecli no -disablerest yes
Modifying the authentication setting for this user group will affect logins for all users in the group. 
Are you sure you want to continue? (y/yes to confirm)  yes
要更改现有用户组,请运行以下命令:
chusergrp -name automatedservice -role Monitor -disablegui yes -disablecli no -disablerest yes
Modifying the authentication setting for this user group will affect logins for all users in the group. 
Are you sure you want to continue? (y/yes to confirm)  yes
在这两个示例中,都有一个用户组专门用于自动化服务,例如 IBM Storage Insights 的数据收集器,它禁止访问管理 GUI 和 REST API,但允许通过命令行界面进行访问。 此组中的用户只能执行 "监视者" 角色所允许的功能,例如查看和收集与系统上的操作相关的数据。
为用户组启用密码和 SSH 密钥
chusergrp -name serviceusergroup -role Service -passwordkeyrequired yes 
Modifying the authentication setting for this user group will affect logins for all users in the group. 
Are you sure you want to continue? (y/yes to confirm)  yes
为用户组启用多因子认证
chusergrp -name mfagroup -role Administrator --multifactor yes 
Modifying the authentication setting for this user group will affect logins for all users in the group. 
Are you sure you want to continue? (y/yes to confirm)  yes
注:
  • 必须先确保完成所有先决条件以及在系统上配置多因子认证服务,然后才能在用户组上启用多因子认证。
  • 公共信息模型 (CIM) 不支持多因子认证。 因此,将对公共信息模型 (CIM) 接口禁用配置了多因子认证或密码和 SSH 密钥认证的用户组。