21 rechteerweiterungen, Faktor-authentifizierung – HP Systems Insight Manager Benutzerhandbuch
Seite 133
21 Rechteerweiterungen
Dank Rechteerweiterungen können Benutzer ohne Root-Berechtigungen Tools ausführen, für die
Root-Berechtigungen auf verwalteten HP-UX, Linux und VMware ESX Systemen erforderlich sind.
Um diese Funktion mit HP SIM verwenden zu können, muss ein Utility zur Rechteerweiterung wie
su, sudo oder Powerbroker auf dem verwalteten System installiert sein. Üblicherweise melden Sie
sich mit diesen Utilities als normaler Benutzer an. Wenn Sie dann ein Programm ausführen möchten,
für das Root-Berechtigungen erforderlich sind, stellen Sie vor die Befehlszeile des Programms die
ausführbare Datei des Rechteerweiterungs-Utilitys. Beispiel: sudo rm
/private/var/db/.setupFile
. Einige dieser Utilities können so konfiguriert werden, dass
sie den Benutzer zur Eingabe eines Kennworts auffordern, bevor sie den Root-Zugriff ermöglichen.
Damit HP SIM Tools mithilfe von Rechteerweiterungen auf verwalteten Systemen ausführen kann,
muss HP SIM per Konfiguration wissen, mit welchem Benutzer die Anmeldung bei den verwalteten
Systemen erfolgen soll, wie der ausgeführten Befehlszeile die erforderliche Information vorangestellt
wird und ob das Rechteerweiterungs-Utility zur Eingabe eines Kennworts auffordert. Diese
Konfiguration erfolgt entweder im First Time Wizard (Assistent für die erstmalige Einrichtung) oder
im Menü Options (Optionen) durch Auswahl von Options (Optionen)
→Security (Sicherheit)→Privilege
Elevation (Rechteerweiterung). Sie können für Unix- und Linux-Systeme andere Werte für diese
Einstellungen konfigurieren als für VMware ESX Systeme.
WICHTIG:
Wenn die Rechteerweiterung aktiviert wird, müssen die Tools, die die Rechteerweiterung
nutzen, das Kennwort für die Rechteerweiterung angeben.
Nachdem Sie HP SIM für die Verwendung von Rechteerweiterungen konfiguriert haben, ermittelt
es anhand des execute-as-Parameters des Tools, ob das Tool Rechteerweiterungen benötigt. Bei
diesem Parameter handelt es sich um den Benutzer, unter dem das Tool auf dem verwalteten System
ausgeführt werden soll. Wenn dieser Parameter in der Tool-Definitionsdatei (tdef) des Tools als
root
angegeben ist, ruft HP SIM die Rechteerweiterung auf. Ist dieser Parameter nicht in der
tdef-Datei angegeben, legt HP SIM den Wert für execute-as standardmäßig auf die Identität
des Benutzers fest, der das Tool in HP SIM aufruft. Falls dieser Benutzer als Root-Benutzer angemeldet
ist, wird die Rechteerweiterung ebenfalls verwendet.
Wenn HP SIM feststellt, dass Rechteerweiterungen verwendet werden sollten, meldet es sich per
SSH mit dem Benutzer am Remote-System an, der auf der Seite mit den Einstellungen der
Rechteerweiterung konfiguriert wurde (ein bestimmter Benutzer, der aktuell bei HP SIM angemeldete
Benutzer oder ein während der Laufzeit angegebener Benutzer). Wenn der Benutzer während der
Laufzeit angegeben werden muss oder für die Rechteerweiterung ein Kennwort erforderlich ist,
werden diese Aufforderungen auf der Seite „Task Wizard“ (Aufgabenassistent) angezeigt, die
alle zum Ausführen eines Tools erforderlichen Parameter enthält. Nachdem HP SIM per SSH am
Remote-System angemeldet ist, ruft es den Befehl für das Tool auf, dem die ausführbare Datei des
Rechteerweiterungs-Utility vorangestellt ist, und stellt bei Bedarf das Kennwort bereit.
2-Faktor-Authentifizierung
Die 2-Faktor-Authentifizierung ist eine alternative Technik, die ein Benutzer mit allen Rechten als
Anmeldemechanismus für HP SIM konfigurieren kann. Diese Anmeldetechnik ist eine sicherere
Kommunikationstechnik als die Übergabe von Benutzername und Kennwort, weil für die Anmeldung
beim System zwei Faktoren relevant sind. Diese beiden Faktoren sind:
•
Smart Card
•
Persönliche Identifizierungsnummer (PIN)
Die 2-Faktor-Authentifizierung kann für die Weboberfläche von HP SIM über Port 50000 verwendet
werden.
2-Faktor-Authentifizierung
133