Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Rollenkonzept und Rollenrechte

Ein wesentlicher Bestandteil des Sicherheitskonzepts ist das Rollenkonzept mit folgenden Eigenschaften:

  • Die Rollen sind abgestuft:
    Jeder Rolle stehen nur die notwendigen Oberflächen und Funktionen zur Verfügung.

  • Jede Benutzerkennung ist einer Rolle fest zugeordnet.

  • Eine Rechteeskalation ist nicht möglich, d.h. der Zugang (oder Übergang) zu anderen Oberflächen und Funktionen als den vorgesehenen ist nicht möglich. Insbesondere ist der Zugang zur Kennung root des Basisbetriebssystems nicht möglich.

  • Rollen
    Für Anwender sind folgende Rollen definiert:

    • Administrator

    • BS2000-Administrator

    • Operator

    • XenVM-Administrator

    • AU-Administrator

    • Service

    Die Rolle Administrator ist den Rollen BS2000-Administrator, Operator, XenVM-Administrator und AU-Administrator übergeordnet und ist berechtigt alle Funktionen des SE Manager und des empfohlenen CLI auszuführen.

    Die Rolle Service ist ausschließlich dem Service vorbehalten.

    Die Rollen BS2000-Administrator, Operator, XenVM-Administrator und AU-Administrator besitzen eingeschränkte Rechte, die auf ihre getrennten Aufgabenbereiche zugeschnitten sind:

    • Ein BS2000-Administrator besitzt die Berechtigung für Funktionen des SE Manager, die für Betrieb und Operating von BS2000-Systemen notwendig sind. Zusätzlich besitzt er noch einige Administrator-Berechtigungen: Ein-/Ausschalten der Units SU, MU und HNC, Durchführung von CSR-Sicherung, Erstellung von Diagnosedaten, Zugang zum Schattenterminal, Lesezugriff zum Hardware Inventory und Konfiguration für zeitgesteuertes Ein-/Ausschalten der Units SU, MU und HNC.

    • Ein Operator besitzt nur die Berechtigung für Funktionen des SE Manager, die für Betrieb und Operating von BS2000-Systemen notwendig sind. Zusätzlich kann der Administrator bestimmte Berechtigungen individuell für eine Operatorkennung konfigurieren.

    • Ein XenVM-Administrator besitzt nur die Berechtigung für Funktionen des SE Manager, die für Betrieb und Operating von XenVM-Systemen notwendig sind.

    • Ein AU-Administrator besitzt die Berechtigung für Funktionen des SE Manager, die für Betrieb und Operating der Systeme auf AUs notwendig sind. Zusätzlich besitzt er noch einige Administrator-Berechtigungen: Ein-/Ausschalten der AUs, Lesezugriff zum Hardware-Inventory und Konfiguration für zeitgesteuertes Ein-/Ausschalten der AUs.

    Übersichten zu den rollenspezifischen Aufgaben und Funktionen finden Sie im Handbuch „Bedienen und Verwalten“ [2] bzw. in der Online-Hilfe.

  • Individuelle Berechtigungen

    Der Administrator kann einer Operatorkennung für bestimmte Funktionen des SE Manager Berechtigungen erteilen oder entziehen. Unterschieden werden dabei serverbezogene und systembezogene Berechtigungen.

    Die nachfolgenden Berechtigungen sind serverbezogene Berechtigungen:

    • Ein/Aus
      Zeigt an, ob der Operator die Berechtigung zum Ein-/Ausschalten von Units besitzt (Erlaubt oder Blockiert).
      Wenn die Berechtigung besteht, kann der Operator alle Units, die in der Unit-Übersicht angezeigt werden, im Notfall ein- oder ausschalten.

    • Schatten
      Zeigt an, ob der Operator Zugang zum Schatten-Terminal besitzt (Erlaubt oder Blockiert dem Service-Techniker den Zugang).

    • SVP
      Nur an SE Servern mit SU /390:
      Zeigt an, ob der Operator die SVP-Berechtigung besitzt (Erlaubt oder Blockiert z.B. IPL und Shutdown).


    Die nachfolgenden Berechtigungen sind systembezogene Berechtigungen:

    • Unit
      Unit, für die systembezogene Rechte, genauer Konsol-Berechtigungen, vergeben sind. Die Zugangsrechte zu BS2000-Systemen einer SU /390 werden für die Management Unit eingetragen, wobei der BCAM-Name der SU /390 in Klammern dahinter angezeigt wird. Die Zugangsrechte zu BS2000-Systemen einer SU x86 werden für die jeweilige SU x86 eingetragen.

    • Konsol-Berechtigungen
      Zeigt an, zu welchen Systemen der Operator die Berechtigung zum Konsolzugang besitzt. Die erlaubten Systeme sind explizit mit KVP und Konsol-MN eingetragen.

    • Dialog
      Zeigt an, ob der Operator die Berechtigung zum BS2000-Dialogzugang besitzt (Erlaubt oder Blockiert den Zugang). Diese Berechtigung kann nur vergeben werden, wenn mindestens eine Konsol-Berechtigung eingetragen ist.

Sicherheitsrelevante Aktionen
Folgende Funktionen des SE Manager kann ein Administrator für das Operating freigeben oder sperren (siehe Hauptmenü Berechtigungen -> Benutzer -> Individuelle Berechtigungen):

  • Ein-/Ausschalten von Units

  • Zugang zu einem Schattenterminal

  • Zugang zum SVP (nur SE Server mit SU /390)

  • Zugang zu einer BS2000-Konsole an einem bestimmten BS2000-System

  • Zugang zum BS2000-Dialog an einem bestimmten BS2000-System

Wenn zwei SUs einen SU Cluster bilden, ist die Funktion Live Migration (LM) für BS2000-Systeme von einer SU auf die andere SU möglich. Die individuellen Berechtigungen für den Zugang zum BS2000-Dialog und zur BS2000-Konsole sollten für die BS2000-Systeme an jeder SU des SU Clusters gleich eingestellt sein. Anderenfalls ändern sich durch die Migration eines BS2000-Systems die dafür ursprünglich beabsichtigten Zugangsberechtigungen!

Powered by Atlassian Confluence and Scroll Viewport.