Die Administration und das Betreiben des SE Servers umfasst je nach Sichtweise auf das System unterschiedliche Aufgaben, die in mehrere Aufgabenbereiche zusammengefasst werden. Die Aufgabenbereiche korrespondieren mit den folgenden Rollen.
Die Rollen sind an eine Kennung gebunden. D.h. der Anwender übernimmt eine Rolle, wenn er sich am SE Manager mit einer Kennung anmeldet, die dieser Rolle zugeordnet ist. Ein Anwender, der einen Aufgabenbereich (also eine Rolle) übernimmt, muss berechtigt sein, alle Funktionen auszuführen, die zur Wahrnehmung dieser Aufgaben notwendig sind.
Bei Auslieferung gibt es vordefinierte Kennungen für die Rollen Administrator und Service, siehe „Vordefinierte Kennungen".
Alle Rollen außer der Rolle Service können an weitere Kennungen vergeben werden, siehe „Weitere Kennungen mit Rollenzuordnung".
Die Aufgabenbereiche der verschiedenen Rollen werden nachfolgend im Detail beschrieben. Weitere Informationen siehe Online-Hilfe.
Administrator
Der Aufgabenbereich umfasst die Verwaltung aller Units am SE Server sowie die Verwaltung und Bedienung der Systeme, die auf Server Units und Application Units des SE Servers ablaufen:
BS2000-Systeme:
Für BS2000 auf einer Server Unit umfasst der Aufgabenbereich die Bedienung des BS2000-Systems bzw. unter VM2000 die Bedienung und Teilverwaltung der BS2000-Gastsysteme.XenVM-Systeme:
Für eine Server Unit x86 mit XenVM-Lizenz umfasst der Aufgabenbereich ebenfalls die Verwaltung der virtuellen Maschinen (XenVMs) und ihrer Geräte für Linux- und Windows-Gastsysteme.Application Units:
Für die optionalen Application Units umfasst der Aufgabenbereich die Konfiguration und Verwaltung der Application Units und der darauf ablaufenden Systeme.
In der SE-Server-Konfiguration nimmt der Administrator unter anderem folgende Aufgaben wahr:
Verwaltung aller Benutzerkennungen
Verwaltung der Individuellen Berechtigungen
LDAP-Konfiguration
Verwaltung der Netzwerke
Überwachung von Audit und Event Logging
Der Administrator kann die automatische Benachrichtigung per SNMP Trap oder per Mail für Ereignisse mit bestimmter Gewichtung konfigurieren.
Weitere allgemeine Konfiguration wie z.B. Add-on Packs installieren, usw.
Zusätzlich kann der Administrator an der Management Unit eine Linux-Shell öffnen, mit der er CLI-Kommandos aufrufen kann. Die verfügbaren M2000-spezifischen Kommandos listet das Kommando cli_info
auf. Eine detaillierte Beschreibung der Kommandos können Sie über die Online-Hilfe aufrufen. Alle Administrator-Kennungen sind gleichwertig.
BS2000-Administrator
Umfasst (im Wesentlichen) die Teilmenge des Aufgabenbereichs Administrator, die sich auf BS2000-Systeme bezieht.
Alle BS2000-Administrator-Kennungen sind gleichwertig.
Ein allgemeiner Zugang zur Linux-Shell ist nicht möglich. Ein BS2000-Administrator kann jedoch außerhalb des SE Managers mittels ssh-Client PuTTY auf die BS2000-Konsole, den BS2000-Dialog und die SVP-Konsole zugreifen. Hierzu kann er die Kommandos bs2Console, bs2Dialog und svpConsole als „Remote command“ mittels PuTTY ausführen.
XenVM-Administrator
Umfasst (im Wesentlichen) die Teilmenge des Aufgabenbereichs Administrator, die sich auf XenVM-Systeme bezieht.
Alle XenVM-Administrator-Kennungen sind gleichwertig.
Ein Zugang zur Linux-Shell ist nicht möglich.
AU-Administrator
Umfasst (im Wesentlichen) die Teilmenge des Aufgabenbereichs Administrator, die sich auf Application Units bezieht.
Alle AU-Administrator-Kennungen sind gleichwertig.
Ein Zugang zur Linux-Shell ist nicht möglich.
Operator
Der Aufgabenbereich ist eine Teilmenge der Administrator-Aufgaben und umfasst im Wesentlichen die Bedienung der BS2000-Systeme für den laufenden Betrieb bzw. unter VM2000 die Bedienung und Teilverwaltung der BS2000-Gastsysteme.
Alle Operator-Kennungen sind zunächst gleichwertig. Der Administrator kann sie mit individuellen Berechtigungen für den Zugang zum BS2000 bzw. zu den einzelnen BS2000-VMs ausstatten.
Ein allgemeiner Zugang zur Linux-Shell ist nicht möglich. Ein Operator kann jedoch außerhalb des SE Managers mittels ssh-Client PuTTY auf die BS2000-Konsole, den BS2000-Dialog und die SVP-Konsole zugreifen. Hierzu kann er - abhängig von den individuellen Berechtigungen - die Kommandos bs2Console, bs2Dialog und svpConsole als „Remote command“ mittels PuTTY ausführen.
Service
Diese Rolle umfasst alle Aufgaben des Service wie Wartung und Konfiguration des SE Servers sowie Registrierung von Application Units.
Vordefinierte Kennungen
Im Auslieferungszustand sind am SE Server folgende lokale Kennungen für die existierenden Rollen vordefiniert:
admin (Administrator-Rolle)
service (Service-Rolle)
Die vordefinierte Kennung admin ist mit einem Initial-Passwort geschützt. Der Administrator kann weitere Kennungen einrichten.
Weitere Details lesen Sie im Abschnitt „Kennungen verwalten" und im Sicherheitshandbuch [6].
Die vordefinierte Kennung service steht ausschließlich dem Service zur Verfügung. Die Administration einer Service-Kennung ist im SE Manager nicht möglich.
Kennungen der Add-ons entsprechen keiner Rolle im SE Manager und werden deshalb im SE Manager auch nicht angezeigt.
Weitere Kennungen mit Rollenzuordnung
Der Administrator kann weitere Kennungen für Administrator, BS2000-Administrator, Operator, XenVM-Administrator oder AU-Administrator einrichten. Die entsprechende Rolle Administrator, BS2000-Administrator, Operator, XenVM-Administrator oder AU-Administrator weist er beim Einrichten zu. Somit ist auch der Einsatz von personenbezogenen Kennungen möglich.
Die Kennungen sind MU-global, d.h. in SE-Server-Konfigurationen mit mehreren MUs werden alle Kennungen, die der Administrator hinzufügt, ändert oder entfernt, implizit an allen vorhandenen MUs hinzugefügt, geändert oder entfernt.
Eine Kennung (lokal oder zentral verwaltet) muss immer eindeutig sein. Wenn eine Kennung hinzugefügt werden soll, die einer vordefinierten Kennung (z.B. admin, service oder Kennung eines Add-ons) entspricht, weist der SE Manager die Aktion mit einer entsprechenden Meldung ab.
Zentral verwaltete Kennungen
Neben lokalen Kennungen kann der Administrator auch LDAP-Kennungen für die verschiedenen Rollen zulassen. Diese Kennungen werden zentral auf einem LDAP-Server verwaltet (insbesondere auch das Passwort).
Um LDAP-Kennungen zu nutzen, muss der Zugang zu einem LDAP-Server konfiguriert sein. Im Management Cluster kann der Zugang zum LDAP-Server SE-Server-spezifisch konfiguriert sein. Siehe Abschnitt „Zugang zu einem LDAP-Server". Unter dieser Voraussetzung kann der Administrator beim Einrichten einer Kennung eine LDAP-Kennung über den Kennungstyp für die gewünschte Rolle freigeben. Wenn die zentrale Kennung mit einer existierenden lokalen Kennung übereinstimmt, ist eine Freigabe nicht möglich. Beim Entfernen einer LDAP-Kennung wird die LDAP-Kennung wieder gesperrt.
Zugänge zu BS2000
Alle Administrator- und BS2000-Administrator-Kennungen haben die Zugangsberechtigung zur BS2000-Konsole und zum BS2000-Dialog aller BS2000-Systeme. Ein Administrator kann einer Operator-Kennung diese Berechtigungen individuell erteilen, im VM2000-Modus gezielt für bestimmte Gastsysteme.
Zu den Zugängen zum BS2000 für Operator-Kennungen siehe Abschnitt „Individuelle Berechtigungen verwalten".
Zugänge zum Betriebssystem auf XenVMs und Application Units
Das Einrichten von Kennungen in den Betriebssystemen auf XenVMs und auf Application Units, eventuell verknüpft mit einem Konzept für bestimmte Rollen oder Berechtigungen, liegt in der Verantwortung des Kunden. Es hängt von den Möglichkeiten des jeweiligen Betriebssystems ab.