Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Rollenkonzept und Rollenrechte

&pagelevel(4)&pagelevel

Ein wesentlicher Bestandteil des Sicherheitskonzepts ist das Rollenkonzept mit folgenden Eigenschaften:

  • Die Rollen sind abgestuft: Jeder Rolle stehen nur die notwendigen Oberflächen und Funktionen zur Verfügung.

  • Jede Benutzerkennung ist einer Rolle fest zugeordnet.

  • Eine Rechte-Eskalation ist nicht möglich, d.h. der Zugang (oder Übergang) zu anderen Oberflächen und Funktionen als den vorgesehenen ist nicht möglich. Insbesondere ist der Zugang zur Kennung root des Basisbetriebssystems nicht möglich.

  • Rollen
    Für Anwender sind die im Folgenden genannten Basis-Rollen definiert. Darüber hinaus können benutzerdefinierte Rollen durch Kombination von Basis-Rollen konfiguriert werden. Mit Ausnahme der Rollen Administrator und Service besitzen die übrigen Rollen eingeschränkte Rechte, die auf ihre jeweiligen Aufgabenbereiche zugeschnitten sind.
    Über die unten beschriebene SEM-Funktionalität hinaus hat jede Basis-Rolle außerdem Zugang zu einigen weiteren SEM-Fenstern, wie etwa den Hauptfenstern Dashboard oder Zertifikate, kann ihr Passwort verwalten, das CA-Zertifikat der MU herunterladen und auf das Event Logging zugreifen.

    • Administrator
      Die Rolle Administrator ist den anderen Rollen (mit Ausnahme der Rolle Service) übergeordnet. Sie berechtigt zu allen Funktionen des SE Managers sowie zum Shell-Zugang und zur Ausführung aller Funktionen des empfohlenen CLI. Sie kann nicht mit anderen Rollen in einer benutzerdefinierten Rolle kombiniert werden.

    • BS2000-Administrator
      Ein BS2000-Administrator besitzt die Berechtigung für Funktionen des SE Managers, die für Betrieb und Operating von BS2000-Systemen notwendig sind. Zusätzlich besitzt er noch einige Administrator-Berechtigungen: Ein-/Ausschalten der Units SU, MU und HNC, Durchführung von CSR-Sicherung, Erstellung von Diagnosedaten, Zugang zum Schattenterminal, Lesezugriff zum Hardware Inventory und Konfiguration für zeitgesteuertes Ein-/Ausschalten der Units SU, MU und HNC. Außerdem darf ein BS2000-Administrator die Kommandos bs2Console, bs2Dialog und svpConsole mit Hilfe von PuTTY an einer entfernten Unit ausführen.

    • BS2000-Operator
      Ein BS2000-Operator besitzt die Berechtigung für Funktionen des SE Managers, die für Betrieb und Operating von BS2000-Systemen notwendig sind. Zusätzlich kann ein Administrator oder Security-Administrator bestimmte Berechtigungen individuell für eine BS2000-Operator-Kennung konfigurieren. Außerdem darf ein BS2000-Operator die Kommandos bs2Console, bs2Dialog und svpConsole mit Hilfe von PuTTY an einer entfernten Unit ausführen.

    • AU-Administrator
      Ein AU-Administrator besitzt die Berechtigung für Funktionen des SE Managers, die für Betrieb und Operating der Systeme auf AUs notwendig sind. Zusätzlich besitzt er noch einige Administrator-Berechtigungen: Ein-/Ausschalten der AUs, Lesezugriff zum Hardware-Inventory und Konfiguration für zeitgesteuertes Ein-/Ausschalten der AUs.

    • Read-only-Administrator
      Ein Read-only-Administrator besitzt die Berechtigung alle Fenster des SE Managers anzuschauen, aber ändernde Aktionen dürfen nicht ausgeführt werden.
    • Security-Administrator
      Ein Security-Administrator besitzt die vollständige Berechtigung für die Fenster und Funktionen des SE Managers unter den Kategorien Berechtigungen und Logging.
    • Hardware-Administrator
      Ein Hardware-Administrator besitzt die vollständige Berechtigung für die Fenster und Funktionen des SE Managers unter den Kategorien Hardware -> Units, Hardware -> HW Inventory, Hardware -> Energy und Service -> Units.
    • Storage-Administrator
      Ein Storage-Administrator besitzt die vollständige Berechtigung für die Fenster und Funktionen des SE Managers unter den Kategorien Geräte -> … -> IORSF-Dateien | Platten | Bandgeräte, Hardware -> Units -> … -> FC Anschlüsse | Multipath-Platten | CRD-Platten sowie Hardware -> Storage (ohne STORMAN!).
    • Power-Operator
      Ein Power-Operator besitzt die Berechtigung für das Hauptfenster Units unter der Kategorie Hardware und die Funktionen zum Ein- und Ausschalten von Units.
    • IP-Netzwerk-Administrator
      Ein IP-Netzwerk-Administrator besitzt die vollständige Berechtigung für die Fenster und Funktionen des SE Managers unter den Kategorien Hardware -> Units -> … -> IP Anschlüsse, Hardware -> Management -> … -> IP-Konfiguration | Routing & DNS sowie Hardware -> IP Netzwerke.
    • FC-Netzwerk-Administrator
      Ein FC-Netzwerk-Administrator besitzt die vollständige Berechtigung für die Fenster und Funktionen des SE Managers unter den Kategorien Hardware -> FC Netzwerke und Geräte -> BS2000 Pfade.
    • Schattenterminal-Operator
      Ein Schattenterminal-Operator besitzt die Berechtigung zum Zugang zum Hauptfenster Service -> Units -> <MU> -> Remote Service, auf dem ein Schattenterminal geöffnet werden kann.

    • Add-on-spezifische Rollen

      • OPENSM2

        • OPENSM2-Administrator
          Ein OPENSM2-Administrator besitzt die Berechtigung zum Zugang zum Add-on OPENSM2 und zu dessen Administration auf allen Management Units.

        • OPENSM2-Information
          Ein Benutzer mit der Rolle OPENSM2-Information besitzt die Berechtigung zum Zugang zum Add-on OPENSM2. Die Administration des Add-ons ist nicht zulässig.

      • OPENUTM

        • OPENUTM-Administrator
          Ein OPENUTM-Administrator besitzt die Berechtigung zum Zugang zum Add-on OPENUTM und zu dessen Administration auf allen Management Units (Privilegien Master und Administration Write).
        • OPENUTM-Operator
          Ein OPENUTM-Operator besitzt die Berechtigung zum Zugang zum Add-on OPENUTM einschließlich Administration (Privileg Administration Write).

        • OPENUTM-Information
          Ein Benutzer mit der Rolle OPENUTM-Information besitzt die Berechtigung zum lesenden Zugang zum Add-on OPENUTM (Privileg Administration Read).

      • ROBAR

        • ROBAR-Administrator
          Ein ROBAR-Administrator besitzt die Berechtigung zum Zugang zum Add-on ROBAR und zu dessen Administration auf allen Management Units.
        • ROBAR-Operator
          Ein ROBAR-Operator besitzt die Berechtigung zum Zugang zum Add-on ROBAR. Die Administration des Add-ons ist nicht zulässig.
      • STORMAN
        • STORMAN-Administrator
          Ein STORMAN-Administrator besitzt die Berechtigung zum Zugang zum Add-on STORMAN und zu dessen Administration auf allen Management Units.
        • STORMAN-Information
          Ein Benutzer mit der Rolle STORMAN-Information besitzt die Berechtigung zum Zugang zum Add-on STORMAN. Die Administration des Add-ons ist nicht zulässig.

    • Service
      Die Rolle Service ist ausschließlich dem Service vorbehalten.


    Übersichten zu den rollenspezifischen Aufgaben und Funktionen finden Sie auch im Handbuch „Bedienen und Verwalten“ [2] bzw. in der Online-Hilfe.

    Wenn im Folgenden spezielle Basis-Rollen genannt werden, wie z.B. BS2000-Administrator oder Security-Administrator, so sind damit auch jene benutzerdefinierten Rollen gemeint, welche diese Basis-Rollen beinhalten.

  • Individuelle Berechtigungen für BS2000-Operatoren

    Ein Administrator oder Security-Administrator kann einer BS2000-Operator-Kennung für bestimmte Funktionen des SE Managers individuelle Berechtigungen erteilen oder entziehen.

    • Konsol-Zugang zu einzelnen BS2000-Systemen

    • Dialog-Zugang zu einzelnen BS2000-Systemen

    • SVP-Zugang zu einzelnen SU /390

Sicherheitsrelevante Aktionen
Folgende Funktionen des SE Managers kann ein Administrator oder Security-Administrator für das Operating freigeben oder sperren (siehe Hauptmenü Berechtigungen -> Benutzer -> Operator Berechtigungen):

  • Zugang zum SVP (nur SE Server mit SU /390)

  • Zugang zu einer BS2000-Konsole an einem bestimmten BS2000-System

  • Zugang zum BS2000-Dialog an einem bestimmten BS2000-System

Powered by Atlassian Confluence and Scroll Viewport.