用户

管理 GUI 的每个用户都必须使用用户名和密码进行登录。

每个用户还具有关联的角色,例如监视员或安全性管理员。 这些角色都是在系统级别定义的。 例如,某个用户可以是一个系统的管理员,同时又是另一个系统的安全性管理员。

安全性管理员可以创建基于角色的用户组,而添加到该组中的任何用户都将采用分配给该组的角色。 角色适用于系统上的本地用户和远程用户,并且基于用户所属的用户组。 本地用户只能属于一个组;因此,本地用户的角色只能通过该用户所属的单一组来定义。 角色是在系统级别定义的,这意味着,用户可以是一个系统的管理员,同时又是另一个系统的安全性管理员。 使用 LDAP 或单点登录的远程用户在系统上需要与远程认证服务器上定义的组匹配的用户组。 安全性管理员还可以选择对每个用户组启用多因子认证。 对于多因子认证,分配给用户组的任何用户都必须提供第二个因子才能访问系统。 多因子认证要求配置认证服务器以验证组中所有用户的身份。

您可以向用户组分配以下角色:
监视器
用户有权访问所有与查看系统上的对象和进程相关的操作。 ““监控者”角色”用户不能更改系统的状态,也不能更改系统所管理的资源。 具有“监控者”角色的用户可访问所有信息相关 GUI 功能和命令,备份配置数据,以及更改其自己的密码。
可以发出以下命令:
  • chcurrentuser
  • dumperrlog
  • finderr
  • ping
  • svcconfig backup
此外,您可以发出任何信息显示命令。
拷贝操作员
用户可以启动和停止所有现有的 FlashCopy®、高速镜像和全局镜像关系。 “拷贝操作员角色”用户可以运行“管理员角色”用户可运行的用于处理 FlashCopy、高速镜像和全局镜像关系的系统命令。
可以发出以下命令:
  • addsnapshot
  • backupvolume
  • backupvolumegroup
  • chfcconsistgrp
  • chfcmap
  • chpartnership
  • chrcconsistgrp
  • chrcrelationship
  • chsnapshot
  • chvolumegroup
  • chvolumegroupsnapshotpolicy
  • mkvolumegroup
  • prestartfcconsistgrp
  • prestartfcmap
  • restorevolume
  • rmsnapshot
  • rmvolumebackupgeneration
  • rmvolumegroup
  • startfcconsistgrp
  • startfcmap
  • startrcconsistgrp
  • startrcrelationship
  • stopfcconsistgrp
  • stopfcmap
  • stoprcconsistgrp
  • stoprcrelationship
  • switchrcconsistgrp
  • switchrcrelationship
此外,您还可以发出 Monitor 角色允许的所有命令。
FlashCopy 管理员

用户可以创建,更改和删除所有现有 FlashCopy 映射和一致性组,以及创建和删除主机映射。

可以发出以下命令:
  • addsnapshot
  • backupvolumegroup
  • backupvolume
  • chcurrentuser
  • chfcconsistgrp
  • chfcmap
  • chsnapshot
  • chvolumegroup
  • chvolumegroupsnapshotpolicy
  • dumperrlog
  • dumpinternallog
  • finderr
  • logerror
  • lscurrentssh
  • mkfcconsistgrp
  • mkfcmap
  • mkvdiskhostmap
  • mkvolumegroup
  • prestartfcconsistgrp
  • prestartfcmap
  • restorevolume
  • rmfcconsistgrp
  • rmfcmap
  • rmsnapshot
  • rmvdiskhostmap
  • rmvolumebackupgeneration
  • rmvolumegroup
  • startfcconsistgrp
  • startfcmap
  • stopfcconsistgrp
  • stopfcmap
服务
用户可以设置系统上的时间和日期、删除转储文件、添加和删除节点、应用服务以及关闭系统。 用户还可以完成与“监视者”角色用户相同的任务。
可以发出以下命令:
  • applysoftware
  • setlocale
  • addnode
  • rmnode
  • rmnodecanister
  • cherrstate
  • writesernum
  • detectmdisk
  • includemdisk
  • clearerrlog
  • cleardumps
  • settimezone
  • stopsystem
  • startstats
  • stopstats
  • settimezone
  • cheventlog
  • chnodebattery
  • addcontrolenclosure
此外,您还可以发出 Monitor 角色允许的所有命令。
管理员
用户可管理系统的所有功能,但用于管理用户、用户组、认证和加密的功能除外。 具有管理员角色的用户可以运行具有“安全性管理员”角色的用户可从 CLI 中运行的系统命令,但用于处理用户、用户组、认证和加密的命令除外。 具有管理员特权的用户可以创建和配置“受保护复制”功能以及创建和管理“受保护”策略。 但是,它们不能除去或损坏现有的受保护备份,也不能更改用作受保护备份位置的子池。
可以发出除以下命令外的所有命令:
  • chauthservice
  • chauthmultifactorduo
  • chauthmultifactorverify
  • chauthsinglesignon
  • chencryption
  • chkeyserver
  • chkeyserverciphertrustmanager
  • chkeyserverisklm
  • chldap
  • chldapserver
  • chnodeserviceip
  • chownershipgroup
  • chsecurity
  • chsystemcert
  • chtruststore
  • chtwopersonintegrityrequest
  • chuser
  • chusergrp
  • mkkeyserver
  • mkldapserver
  • mkownershipgroup
  • mktruststore
  • mktwopersonintegrityrequest
  • mkuser
  • mkusergrp
  • rmkeyserver
  • rmldapserver
  • rmownershipgroup
  • rmtruststore
  • rmuser
  • rmusergrp
  • setpwdreset
  • setsystemtime
安全性管理员
用户可管理系统的所有功能,包括管理用户、用户组和用户认证以及配置加密。 具有安全性管理员角色的用户可以从命令行界面 (CLI) 运行任何系统命令。 但是,它们无法从 CLI 运行 satask 命令。 只有 superuser 标识才能运行 satask 命令。 与管理员角色一样,具有安全管理员特权的用户还可以创建和配置受保护的拷贝功能,以及创建和管理受保护的策略。 但是,他们也可以更改或移除现有受保护的备份拷贝和用作受保护的备份位置的子池。
受限制的管理员
用户可以执行相同的任务,并且可以管理员角色用户身份运行大多数相同的命令。 但是,具有受限管理员角色的用户无权运行 rmvdiskrmvolumermvdiskhostmaprmhostrmmdiskgrp 命令。 可以为支持人员分配该角色,以帮助解决错误和 纠正问题。
您可以发出管理员角色所允许的任何命令,但以下命令除外:
  • rmhost
  • rmmdiskgrp
  • rmvdisk
  • rmvdiskhostmap
  • rmvolume
受限安全性管理员
IBM® Storage Virtualize 上启用双人完整性 (TPI) 时,具有安全管理员角色的用户将更改为受限安全管理员。 TPI 需要两个安全管理员协同工作以完成关键或有风险的任务。 例如,具有已核准 TPI 请求的受限安全性管理员可以除去受保护快照。
您可以发出管理员角色允许的任何命令,此外还可以发出以下命令:
  • chtwopersonintegrityrequest
  • chuser
  • chusergrp
  • mktwopersonintegrityrequest
  • mkuser
  • mkusergrp
  • rmuser
  • rmusergrp
注:
  • "受限安全性管理员" 角色无法通过使用以下命令来创建,删除或更改引用 "安全性管理员" 角色的用户或用户组: chuserchusergrpmkusermkusergrprmuserrmusergrp。 此限制不适用于安全性管理员角色。
  • 对于 mkusergrpchusergrp 命令, "受限安全性管理员" 不是允许的角色选项。
  • 受限安全性管理员角色仅用于 两人完整性 功能。

有关更多信息,请参阅 二人完整性

VASA 提供者
具有该角色的用户可以管理 VMware vSphere 虚拟卷
系统使用该角色实现 VMware 虚拟卷功能。 它为组提供可供该软件使用的用户。 可以发出除以下命令外的所有命令:
  • chauthservice
  • chldap
  • chldapserver
  • chsecurity
  • chuser
  • chusergrp
  • mkldapserver
  • mkuser
  • mkusergrp
  • rmldapserver
  • rmuser
  • rmusergrp
  • setpwdreset
系统将此角色用于嵌入式 VASA 提供程序和 Spectrum Connect 需要使用的命令。 外部用户不能使用此角色。

用户组

具有“安全性管理员”角色的用户可通过用户组,按角色来组织系统的用户。

缺省情况下配置了以下用户组:
SecurityAdmin
用户可以访问系统上的所有功能,包括管理用户、用户组和用户认证。 此类用户还可以在系统上配置加密。
管理员
用户与具有 SecurityAdmin 角色的用户可完成的任务大多数都相同。 但是,这些用户无法访问用于处理用户、用户组和认证的功能。
RestrictedAdmin
用户可以完成相同的任务,并且可以管理员角色用户身份运行大多数相同的命令。 但是,具有受限管理员角色的用户无权运行 rmvdiskrmvdiskhostmaprmhostrmmdiskgrp 命令。 可以为支持人员分配该角色,以帮助解决错误和 纠正问题。
CopyOperator
用户管理 FlashCopy, Metro Mirror 和 Global Mirror 关系。
服务
用户可以设置系统上的时间和日期、删除转储文件、添加和删除节点、应用服务以及关闭系统。 用户还可以完成与“监视者”角色用户相同的任务。
监视器
用户可以查看对象和系统配置设置,但是无法配置、修改或管理系统或其资源。
VASA 提供者
具有该角色的用户可以管理 VMware vSphere 虚拟卷。