Ein wesentlicher Bestandteil des Sicherheitskonzepts ist das Rollenkonzept mit folgenden Eigenschaften:

• Die Rollen sind abgestuft: Jeder Rolle stehen nur die notwendigen Oberflächen und Funktionen zur Verfügung.
  
  

• Jede Benutzerkennung ist einer Rolle fest zugeordnet.
  
  

• Eine Rechte-Eskalation ist nicht möglich, d.h. der Zugang (oder Übergang) zu anderen Oberflächen und Funktionen als den vorgesehenen ist nicht möglich. Insbesondere ist der Zugang zur Kennung root des Basisbetriebssystems nicht möglich.
  
  

Rollen

Für Anwender sind die im Folgenden genannten Basis-Rollen definiert. Darüber hinaus können benutzerdefinierte Rollen durch Kombination von Basis-Rollen konfiguriert werden. Mit Ausnahme der Rollen Administrator und Service besitzen die übrigen Rollen eingeschränkte Rechte, die auf ihre jeweiligen Aufgabenbereiche zugeschnitten sind.
Über die unten beschriebene SEM-Funktionalität hinaus hat jede Basis-Rolle außerdem Zugang zu einigen weiteren SEM-Fenstern, wie etwa den Hauptfenstern Dashboard oder Zertifikate, kann ihr Passwort verwalten, das CA-Zertifikat der MU herunterladen und auf das Event Logging zugreifen.

• Administrator
  Die Rolle Administrator ist den anderen Rollen (mit Ausnahme der Rolle Service) übergeordnet. Sie berechtigt zu allen Funktionen des SE Managers sowie zum Shell-Zugang und zur Ausführung aller Funktionen des empfohlenen CLI. Sie kann nicht mit anderen Rollen in einer benutzerdefinierten Rolle kombiniert werden.

• BS2000-Administrator
  Ein BS2000-Administrator besitzt die Berechtigung für Funktionen des SE Managers, die für Betrieb und Operating von BS2000-Systemen notwendig sind. Zusätzlich besitzt er noch einige Administrator-Berechtigungen: Ein-/Ausschalten der Units SU, MU und HNC, Durchführung von CSR-Sicherung, Erstellung von Diagnosedaten, Zugang zum Schattenterminal, Lesezugriff zum Hardware Inventory und Konfiguration für zeitgesteuertes Ein-/Ausschalten der Units SU, MU und HNC. Außerdem darf ein BS2000-Administrator die Kommandos bs2Console, bs2Dialog und svpConsole mit Hilfe von PuTTY an einer entfernten Unit ausführen.

• BS2000-Operator
  Ein BS2000-Operator besitzt die Berechtigung für Funktionen des SE Managers, die für Betrieb und Operating von BS2000-Systemen notwendig sind. Zusätzlich kann ein Administrator oder Security-Administrator bestimmte Berechtigungen individuell für eine BS2000-Operator-Kennung konfigurieren. Außerdem darf ein BS2000-Operator die Kommandos bs2Console, bs2Dialog und svpConsole mit Hilfe von PuTTY an einer entfernten Unit ausführen.

• AU-Administrator
  Ein AU-Administrator besitzt die Berechtigung für Funktionen des SE Managers, die für Betrieb und Operating der Systeme auf AUs notwendig sind. Zusätzlich besitzt er noch einige Administrator-Berechtigungen: Ein-/Ausschalten der AUs, Lesezugriff zum Hardware-Inventory und Konfiguration für zeitgesteuertes Ein-/Ausschalten der AUs.

• Read-only-Administrator
  Ein Read-only-Administrator besitzt die Berechtigung alle Fenster des SE Managers anzuschauen, aber ändernde Aktionen dürfen nicht ausgeführt werden.
• Security-Administrator
  Ein Security-Administrator besitzt die vollständige Berechtigung für die Fenster und Funktionen des SE Managers unter den Kategorien Berechtigungen und Logging.
• Hardware-Administrator
  Ein Hardware-Administrator besitzt die vollständige Berechtigung für die Fenster und Funktionen des SE Managers unter den Kategorien Hardware -> Units, Hardware -> HW Inventory, Hardware -> Energy und Service -> Units.
• Storage-Administrator
  Ein Storage-Administrator besitzt die vollständige Berechtigung für die Fenster und Funktionen des SE Managers unter den Kategorien Geräte -> … -> IORSF-Dateien | Platten | Bandgeräte, Hardware -> Units -> … -> FC Anschlüsse | Multipath-Platten | CRD-Platten sowie Hardware -> Storage (ohne STORMAN!).
• Power-Operator
  Ein Power-Operator besitzt die Berechtigung für das Hauptfenster Units unter der Kategorie Hardware und die Funktionen zum Ein- und Ausschalten von Units.
• IP-Netzwerk-Administrator
  Ein IP-Netzwerk-Administrator besitzt die vollständige Berechtigung für die Fenster und Funktionen des SE Managers unter den Kategorien Hardware -> Units -> … -> IP Anschlüsse, Hardware -> Management -> … -> IP-Konfiguration | Routing & DNS sowie Hardware -> IP Netzwerke.
• FC-Netzwerk-Administrator
  Ein FC-Netzwerk-Administrator besitzt die vollständige Berechtigung für die Fenster und Funktionen des SE Managers unter den Kategorien Hardware -> FC Netzwerke und Geräte -> BS2000 Pfade.
• Schattenterminal-Operator
  Ein Schattenterminal-Operator besitzt die Berechtigung zum Zugang zum Hauptfenster Service -> Units -> <MU> -> Remote Service, auf dem ein Schattenterminal geöffnet werden kann.
• Remote-Service-Administrator
  Ein Remote-Service-Administrator besitzt die vollständige Berechtigung für die Fenster und Funktionen im Menü Service des SE Managers, welche in Bezug auf Remote Service relevant sind: Service -> Information (nur Kundenschlüssel) | Remote Service Zugang | Remote Service Sessions und Service -> Units -> ... -> Remote Service.
• Shell-Zugang
  Benutzer mit dieser Basis-Rolle besitzen die Berechtigung zum Shell-Zugang. Diese Rolle ist eine Hilfsrolle, die nur in Kombination mit einer anderen Basis-Rolle verwendet werden kann.

• Add-on-spezifische Rollen
  Die nachfolgende Beschreibung der Add-on-spezifischen Rollen bezieht sich auf den SE Manager.
  Die Rollenbeschreibung innerhalb der einzelnen Add-ons sind in den Add-on-spezifischen Handbüchern zu finden.
  

  • OPENSM2

    • OPENSM2-Administrator
      Ein OPENSM2-Administrator besitzt die Berechtigung zum Zugang zum Add-on OPENSM2 und zu dessen Administration auf allen Management Units.

    • OPENSM2-Information
      Ein Benutzer mit der Rolle OPENSM2-Information besitzt die Berechtigung zum Zugang zum Add-on OPENSM2. Die Administration des Add-ons ist nicht zulässig.

  • OPENUTM

    • OPENUTM-Administrator
      Ein OPENUTM-Administrator besitzt die Berechtigung zum Zugang zum Add-on OPENUTM und zu dessen Administration auf allen Management Units (Privilegien Master und Administration Write).
    • OPENUTM-Operator
      Ein OPENUTM-Operator besitzt die Berechtigung zum Zugang zum Add-on OPENUTM einschließlich Administration (Privileg Administration Write).

    • OPENUTM-Information
      Ein Benutzer mit der Rolle OPENUTM-Information besitzt die Berechtigung zum lesenden Zugang zum Add-on OPENUTM (Privileg Administration Read).

  • ROBAR

    • ROBAR-Administrator
      Ein ROBAR-Administrator besitzt die Berechtigung zum Zugang zum Add-on ROBAR und zu dessen Administration auf allen Management Units.
    • ROBAR-Operator
      Ein ROBAR-Operator besitzt die Berechtigung zum Zugang zum Add-on ROBAR. Die Administration des Add-ons ist nicht zulässig.
  • STORMAN
    • STORMAN-Administrator
      Ein STORMAN-Administrator besitzt die Berechtigung zum Zugang zum Add-on STORMAN und zu dessen Administration auf allen Management Units.
    • STORMAN-Information
      Ein Benutzer mit der Rolle STORMAN-Information besitzt die Berechtigung zum Zugang zum Add-on STORMAN. Die Administration des Add-ons ist nicht zulässig.

• Service
  Die Rolle Service ist ausschließlich dem Service vorbehalten.

Übersichten zu den rollenspezifischen Aufgaben und Funktionen finden Sie auch im Handbuch „Bedienen und Verwalten“ [2] bzw. in der Online-Hilfe.

Wenn im Folgenden spezielle Basis-Rollen genannt werden, wie z.B. BS2000-Administrator oder Security-Administrator, so sind damit auch jene benutzerdefinierten Rollen gemeint, welche diese Basis-Rollen beinhalten.

Individuelle Berechtigungen für BS2000-Operatoren

Ein Administrator oder Security-Administrator kann einer BS2000-Operator-Kennung für bestimmte Funktionen des SE Managers individuelle Berechtigungen erteilen oder entziehen.

• Konsol-Zugang zu einzelnen BS2000-Systemen

• Dialog-Zugang zu einzelnen BS2000-Systemen

• SVP-Zugang zu einzelnen SU /390

Hinweis: Konsol- und Dialog-Zugang für nicht-persistente BS2000-Systeme (VMs) verlieren beim Neustart der SU ihre Gültigkeit und müssen neu erteilt werden.