两人诚信

采用双人完整性 (TPI)机制,禁止系统中的关键和高风险任务由单一安全管理员执行,并要求必须由两名安全管理员共同参与操作。

TPI 需要两个安全管理员协同工作才能完成某些任务。 保护数据是 IBM® Storage Virtualize 的重要组成部分,而 TPI 有助于降低数据丢失的几率、防止操作中的疏忽错误并增强安全性。

启用 TPI 的要求:
  • 确保有两个具有安全性管理员角色的用户。
  • 这两个用户可以是本地用户,远程用户或两者的组合。
  • 如果使用远程用户,那么必须在系统上定义安全管理员角色的远程用户组,并且必须启用远程认证服务。
禁用 TPI 的要求:
启用 TPI 后,具有已核准 TPI 请求的用户可以禁用 TPI。
当您启用 TPI 时,将改为向属于安全管理员角色的用户组的用户分配受限安全管理员角色。 但是,其用户组将保留其安全管理员角色。
一旦启用 TPI ,就需要角色提升请求和核准流程来执行某些敏感任务:
  • 受限安全管理员可以自行发出角色提升请求,以完成系统中的某些任务。
  • 另一个受限安全性管理员或安全性管理员必须核准角色提升请求。
  • 例如,要除去受保护快照,需要此角色提升请求和核准过程。
  • 受限安全性管理员或安全性管理员可以核准或拒绝角色提升请求,取消角色提升请求或撤销已核准的角色提升请求。
具有已核准角色提升请求的受限安全性管理员的可用操作。
  • 创建,更改或除去安全管理员用户组。
  • 创建、更改或删除本地定义的远程用户。
  • 将现有本地用户的非安全性管理员用户组属性更改为安全性管理员用户组。
  • 修改属于安全性管理员用户组的现有本地用户的属性。
  • 将现有非安全性管理员用户组的角色更改为安全性管理员角色。
  • 将现有用户组的安全性管理员角色更改为非安全性管理员角色。
  • 除去并更改受保护备份和受保护备份位置。
  • 删除受保护快照。
  • 使用供应策略来定义在存储池或子池中创建卷时应用的一组规则。
  • 更改用于系统的单点登录凭证。
  • 从卷组中除去受保护快照策略关联。

配置两个人员完整性 (TPI)

如果要禁止系统中的关键任务和风险任务由单个安全性管理员执行,并且需要两个安全性管理员参与,请启用 TPI。

启用 TPI 后,将为属于安全管理员角色用户组的用户分配受限安全管理员角色。 但是,他们的用户组会保留其安全管理员角色。

受限安全性管理员可以代表自己提交 TPI 请求以完成系统中的某些任务。 另一个受限安全性管理员或安全性管理员必须核准 TPI 请求。 例如,要除去受保护的快照,需要此请求和核准过程。

先决条件

在启用 TPI 之前,请确保系统中至少有两个具有安全性管理员角色的用户。 用户可以是本地用户,远程用户或两者的组合。

使用管理 GUI
要启用 TPI ,请完成以下步骤:
  1. 在管理 GUI 中,选择 设置>安全>用户访问>双人完整性
  2. 选择 已启用
  3. 单击保存
  4. 要应用 TPI 更改,请单击 注销
  5. 登录后,页面将显示当前角色已更新为受限安全性管理员,并且 管理角色提升请求请求提升角色 将显示在用户菜单列表中
单击 延后 5 分钟 以在页面上停留 5 更多分钟以查看设置。
注: 仅当用户角色从安全性管理员更改为受限安全性管理员时, 延后 5 分钟 才可用。
要禁用 TPI ,请完成以下步骤:
  1. 在管理 GUI 中,选择 设置>安全>用户访问>双人完整性
  2. 已启用 开关切换到关闭位置。
  3. 单击保存
使用命令行界面
要启用 TPI ,请输入以下命令。 任何安全性管理员都可以启用 TPI。
chsecurity -twopersonintegrity yes
要禁用 TPI ,请输入以下命令。 启用 TPI 后,具有已核准 TPI 请求的用户可以禁用 TPI。
chsecurity -twopersonintegrity no

管理两个人员完整性 (TPI)

使用两个人员完整性 (TPI) 来禁止系统中的关键任务和有风险的任务由单个安全管理员执行,并要求两个安全管理员参与。

TPI 需要两个安全管理员协同工作才能完成某些任务。 保护数据是 IBM Storage Virtualize 的重要组成部分,而 TPI 可帮助降低数据丢失的几率、防止操作中的疏忽错误并增强安全性。

当您启用 TPI 时,将改为向属于安全管理员角色的用户组的用户分配受限安全管理员角色。 但是,其用户组将保留其安全管理员角色。
一旦启用 TPI ,就需要角色提升请求和核准流程来执行某些敏感任务:
  • 受限安全管理员可以自行发出角色提升请求,以完成系统中的某些任务。
  • 另一个受限安全性管理员或安全性管理员必须核准角色提升请求。
  • 例如,要除去受保护快照,需要此角色提升请求和核准过程。
  • 受限安全性管理员或安全性管理员可以核准或拒绝角色提升请求,取消角色提升请求或撤销已核准的角色提升请求。

查看提升请求

要访问管理角色提升请求页面,请选择 访问 > 管理角色提升请求
  • 您必须具有安全性管理员角色或受限安全性管理员角色才能访问该页面。
  • 核准请求后,必须从管理 GUI 注销。 然后,再次登录以使设置生效。
  • 最大活动角色提升请求数为 4。
  • 您无法核准自己的请求。
  • 将显示已核准的请求,直到其持续时间到期为止。
  • 将自动从页面中除去已拒绝,已撤销和已取消的请求。
  • 如果没有暂挂的请求,那么将显示有关如何请求提升的角色的信息。

查看审计日志

要查看已完成操作的列表,请选择 “访问 ”> “审计日志 ”。 如果启用了 TPI ,那么将显示 "提升的角色" 列; 如果禁用了 TPI ,那么将隐藏 "提升的角色" 列。