Die Administration und das Betreiben des SE Servers umfasst je nach Sichtweise auf das System unterschiedliche Aufgaben, die in mehrere Aufgabenbereiche zusammengefasst werden. Die Aufgabenbereiche korrespondieren mit vordefinierten Basis-Rollen. Außerdem können Basis-Rollen (mit Ausnahme von Administrator und Service) zu benutzerdefinierten Rollen kombiniert werden. Siehe dazu auch das Kapitel Rollen.
Über die unten beschriebene SEM-Funktionalität hinaus hat jede Basis-Rolle außerdem Zugang zu einigen weiteren SEM-Fenstern, wie etwa den Hauptfenstern Dashboard oder Zertifikate, kann im Hauptfenster Passwortverwaltung ihr Passwort ändern, das CA-Zertifikat der MU herunterladen und auf das Event Logging zugreifen.
Die Rollen sind an eine Kennung gebunden. Das heißt der Anwender übernimmt eine Rolle, wenn er sich am SE Manager mit einer Kennung anmeldet, die dieser Rolle zugeordnet ist. Ein Anwender, der einen Aufgabenbereich (also eine Rolle) übernimmt, muss berechtigt sein, alle Funktionen auszuführen, die zur Wahrnehmung dieser Aufgaben notwendig sind.
Bei Auslieferung gibt es vordefinierte Kennungen für die Rollen Administrator und Service, siehe „Vordefinierte Kennungen".
Alle Rollen außer der Rolle Service können an weitere Kennungen vergeben werden, siehe „Weitere Kennungen mit Rollenzuordnung".
Alle Kennungen, denen dieselbe Rolle zugeordnet ist, sind gleichwertig. Eine Ausnahme gilt diesbezüglich nur für Kennungen mit der Rolle BS2000-Operator. Diese sind zunächst ebenfalls gleichwertig. Ein Administrator oder Security-Administrator kann sie allerdings zusätzlich mit individuellen Berechtigungen für den Zugang zum BS2000 bzw. zu den einzelnen BS2000-VMs ausstatten.
Die Aufgabenbereiche der verschiedenen Rollen werden nachfolgend im Detail beschrieben. Weitere Informationen enthält die Online-Hilfe des SE Managers.
Administrator
Der Aufgabenbereich umfasst die Verwaltung aller Units am SE Server sowie die Verwaltung und Bedienung der Systeme, die auf Server Units und Application Units des SE Servers ablaufen:
BS2000-Systeme:
Für BS2000 auf einer Server Unit umfasst der Aufgabenbereich die Bedienung des BS2000-Systems bzw. unter VM2000 die Bedienung und Teilverwaltung der BS2000-Gastsysteme.Application Units:
Für die optionalen Application Units umfasst der Aufgabenbereich die Konfiguration und Verwaltung der Application Units und der darauf ablaufenden Systeme.
In der SE-Server-Konfiguration nimmt der Administrator unter anderem folgende Aufgaben wahr:
Verwaltung aller Benutzerkennungen
Verwaltung der Individuellen Berechtigungen
LDAP-Konfiguration
Verwaltung der Netzwerke
Überwachung von Audit und Event Logging
Der Administrator kann die automatische Benachrichtigung per SNMP-Trap oder per Mail für Ereignisse mit bestimmter Gewichtung konfigurieren.
Weitere allgemeine Konfiguration wie z.B. Add-on Packs installieren, usw.
Zusätzlich kann der Administrator an der Management Unit eine Linux-Shell öffnen, mit der er CLI-Kommandos aufrufen kann. Die verfügbaren M2000-spezifischen Kommandos listet das Kommando cli_info
auf. Eine detaillierte Beschreibung der Kommandos können Sie über die Online-Hilfe aufrufen.
BS2000-Administrator
Umfasst (im Wesentlichen) die Teilmenge des Aufgabenbereichs Administrator, die sich auf BS2000-Systeme bezieht (BS2000-Systeme, BS2000-Geräte, Backup Monitor, Net-Storage, Cluster, …).
Ein allgemeiner Zugang zur Linux-Shell ist nicht möglich. Ein BS2000-Administrator kann jedoch außerhalb des SE Managers mittels ssh-Client PuTTY auf die BS2000-Konsole, den BS2000-Dialog und die SVP-Konsole zugreifen. Hierzu kann er die Kommandos bs2Console, bs2Dialog und svpConsole als „Remote command“ mittels PuTTY ausführen.
BS2000-Operator
Der Aufgabenbereich ist eine Teilmenge der Administrator-Aufgaben und umfasst im Wesentlichen die Bedienung der BS2000-Systeme für den laufenden Betrieb bzw. unter VM2000 die Bedienung und Teilverwaltung der BS2000-Gastsysteme.
Ein allgemeiner Zugang zur Linux-Shell ist nicht möglich. Ein BS2000-Operator kann jedoch außerhalb des SE Managers mittels ssh-Client PuTTY auf die BS2000-Konsole, den BS2000-Dialog und die SVP-Konsole zugreifen. Hierzu kann er - abhängig von den individuellen Berechtigungen - die Kommandos bs2Console, bs2Dialog und svpConsole als „Remote command“ mittels PuTTY ausführen.
AU-Administrator
Ein AU-Administrator besitzt die Berechtigung für Funktionen des SE Managers, die für Betrieb und Operating der Systeme auf AUs notwendig sind. Zusätzlich besitzt er noch einige Administrator-Berechtigungen: Ein-/Ausschalten der AUs, Lesezugriff zum Hardware-Inventory und Konfiguration für zeitgesteuertes Ein-/Ausschalten der AUs.
Ein Zugang zur Linux-Shell ist nicht möglich.
Read-only-Administrator
Ein Read-only-Administrator besitzt die Berechtigung alle Fenster des SE Managers anzuschauen, aber ändernde Aktionen dürfen nicht ausgeführt werden.
Security-Administrator
Ein Security-Administrator besitzt die vollständige Berechtigung für die Fenster und Funktionen des SE Managers unter den Kategorien Berechtigungen und Logging.
Hardware-Administrator
Ein Hardware-Administrator besitzt die vollständige Berechtigung für die Fenster und Funktionen des SE Managers unter den Kategorien Hardware -> Units, Hardware -> HW Inventory, Hardware -> Energy und Service -> Units.
Storage-Administrator
Ein Storage-Administrator besitzt die vollständige Berechtigung für die Fenster und Funktionen des SE Managers unter den Kategorien Geräte -> … -> IORSF-Dateien | Platten | Bandgeräte, Hardware -> Units -> … -> FC Anschlüsse | Multipath-Platten | CRD-Platten sowie Hardware -> Storage (ohne STORMAN!).
Power-Operator
Ein Power-Operator besitzt die Berechtigung für das Hauptfenster Units unter der Kategorie Hardware und die Funktionen zum Ein- und Ausschalten von Units.
IP-Netzwerk-Administrator
Ein IP-Netzwerk-Administrator besitzt die vollständige Berechtigung für die Fenster und Funktionen des SE Managers unter den Kategorien Hardware -> Units -> … -> IP Anschlüsse, Hardware -> Management -> … -> IP-Konfiguration | Routing & DNS sowie Hardware -> IP Netzwerke.
FC-Netzwerk-Administrator
Ein FC-Netzwerk-Administrator besitzt die vollständige Berechtigung für die Fenster und Funktionen des SE Managers unter den Kategorien Hardware -> FC Netzwerke und Geräte -> BS2000 Pfade.
Schattenterminal-Operator
Ein Schattenterminal-Operator besitzt die Berechtigung zum Zugang zum Hauptfenster Service -> Units -> <MU> -> Remote Service, auf dem ein Schattenterminal geöffnet werden kann.
Add-on-spezifische Rollen
OPENSM2
- OPENSM2-Administrator
Ein OPENSM2-Administrator besitzt die Berechtigung zum Zugang zum Add-on OPENSM2 und zu dessen Administration auf allen Management Units (Installieren, Starten, ...). OPENSM2-Information
Ein Benutzer mit der Rolle OPENSM2-Information besitzt die Berechtigung zum Zugang zum Add-on OPENSM2. Die Administration des Add-ons ist nicht zulässig.
- OPENSM2-Administrator
OPENUTM
- OPENUTM-Administrator
Ein OPENUTM-Administrator besitzt die Berechtigung zum Zugang zum Add-on OPENUTM und zu dessen Administration auf allen Management Units (Privilegien Master und Administration Write). - OPENUTM-Operator
Ein OPENUTM-Operator besitzt die Berechtigung zum Zugang zum Add-on OPENUTM einschließlich Administration (Privileg Administration Write). OPENUTM-Information
Ein Benutzer mit der Rolle OPENUTM-Information besitzt die Berechtigung zum lesenden Zugang zum Add-on OPENUTM (Privileg Administration Read).
- OPENUTM-Administrator
ROBAR
- ROBAR-Administrator
Ein ROBAR-Administrator besitzt die Berechtigung zum Zugang zum Add-on ROBAR und zu dessen Administration auf allen Management Units. - ROBAR-Operator
Ein ROBAR-Operator besitzt die Berechtigung zum Zugang zum Add-on ROBAR. Die Administration des Add-ons ist nicht zulässig.
- ROBAR-Administrator
- STORMAN
- STORMAN-Administrator
Ein STORMAN-Administrator besitzt die Berechtigung zum Zugang zum Add-on STORMAN und zu dessen Administration auf allen Management Units. - STORMAN-Information
Ein Benutzer mit der Rolle STORMAN-Information besitzt die Berechtigung zum Zugang zum Add-on STORMAN. Die Administration des Add-ons ist nicht zulässig.
- STORMAN-Administrator
Service
Diese Rolle umfasst alle Aufgaben des Service wie Wartung und Konfiguration des SE Servers sowie Registrierung von Application Units.
Wenn im folgenden spezielle Basis-Rollen genannt werden, wie z.B. BS2000-Administrator oder Security-Administrator, so sind damit auch jene benutzerdefinierten Rollen gemeint, welche diese Basis-Rollen beinhalten.
Vordefinierte Kennungen
Im Auslieferungszustand sind am SE Server folgende lokale Kennungen für die existierenden Rollen vordefiniert:
admin (Administrator-Rolle)
service (Service-Rolle)
Die vordefinierte Kennung admin ist mit einem Initial-Passwort geschützt. Der Administrator kann weitere Kennungen einrichten.
Weitere Details lesen Sie im Abschnitt „Kennungen verwalten" und im Sicherheitshandbuch [6].
Die vordefinierte Kennung service steht ausschließlich dem Service zur Verfügung. Die Administration einer Service-Kennung ist im SE Manager nicht möglich.
Kennungen der Add-ons sind interne Funktionskennungen, entsprechen keiner Rolle im SE Manager und werden deshalb im SE Manager auch nicht angezeigt.
Weitere Kennungen mit Rollenzuordnung
Ein Administrator oder Security-Administrator kann weitere Kennungen für alle Basis-Rollen außer Service sowie für benutzerdefinierte Rollen einrichten. Die Rolle weist er beim Einrichten der Kennung zu. Somit ist auch der Einsatz von personenbezogenen Kennungen möglich.
Die Kennungen sind MU-global, d.h. in SE-Server-Konfigurationen mit mehreren MUs werden alle Kennungen, die der Administrator hinzufügt, ändert oder entfernt, implizit an allen vorhandenen MUs hinzugefügt, geändert oder entfernt.
Eine Kennung (lokal oder zentral verwaltet) muss immer eindeutig sein. Wenn eine Kennung hinzugefügt werden soll, die einer vordefinierten Kennung (z.B. admin, service oder Kennung eines Add-ons) entspricht, weist der SE Manager die Aktion mit einer entsprechenden Meldung ab.
Zentral verwaltete Kennungen
Neben lokalen Kennungen kann ein Administrator oder Security-Administrator auch LDAP-Kennungen für die verschiedenen Rollen zulassen. Diese Kennungen werden zentral auf einem LDAP-Server verwaltet (insbesondere auch das Passwort).
Um LDAP-Kennungen zu nutzen, muss der Zugang zu einem LDAP-Server konfiguriert sein. Im Management Cluster kann der Zugang zum LDAP-Server SE-Server-spezifisch konfiguriert sein. Siehe Abschnitt „Zugang zu einem LDAP-Server". Unter dieser Voraussetzung kann der Administrator bzw. Security-Administrator beim Einrichten einer Kennung eine LDAP-Kennung über den Kennungstyp für die gewünschte Rolle freigeben. Wenn die zentrale Kennung mit einer existierenden lokalen Kennung übereinstimmt, ist eine Freigabe nicht möglich. Beim Entfernen einer LDAP-Kennung wird die LDAP-Kennung wieder gesperrt.
Zugänge zu BS2000
Alle Administrator- und BS2000-Administrator-Kennungen haben die Zugangsberechtigung zur BS2000-Konsole und zum BS2000-Dialog aller BS2000-Systeme. Ein Administrator oder Security-Administrator kann auch einer BS2000-Operator-Kennung diese Berechtigungen individuell erteilen, im VM2000-Modus gezielt für bestimmte Gastsysteme.
Zu den Zugängen zum BS2000 für BS2000-Operator-Kennungen siehe Abschnitt „Operator Berechtigungen verwalten".
Zugänge zum Betriebssystem auf Application Units
Das Einrichten von Kennungen in den Betriebssystemen auf Application Units, eventuell verknüpft mit einem Konzept für bestimmte Rollen oder Berechtigungen, liegt in der Verantwortung des Kunden. Es hängt von den Möglichkeiten des jeweiligen Betriebssystems ab.