introduzione a tivoli kernel...

Introduzione alla gestione di Tivoli KernelServicesVersione 1.2

Introduzione alla gestione di Tivoli Kernel Services

Informazioni sul copyright

© Copyright IBM Corporation 2000, 2001 Tutti i diritti riservati. Può essere utilizzato solo in conformità con un Accordo di licenza di Tivoli SystemsSoftware, Accordodi licenza di IBM Software o Addendum ai prodotti Tivoli per clienti IBM o Accordo di licenza. Nessuna parte di questa pubblicazione può essere riprodotta, trasmessa,trascritta, conservata in un sistema di ripristino o tradotta in altre lingue, in nessuna forma e con alcun mezzo, elettronico, meccanico, magnetico, ottico, chimico, manualeo altro, senza una previa autorizzazione scritta della IBM Corporation. IBM Corporation accorda all’utente un’autorizzazione limitata a creare copie cartacee o altreriproduzioni di documentazione per computer ad uso personale, purché tali riproduzioni riportino le informazioni di copyright della IBM Corporation. Non sono accordatialtri diritti di copyright senza previa autorizzazione scritta della IBM Corporation. Questo documento non è destinato alla produzione e viene fornito “nello stato in cui sitrova” senza alcuna garanzia.Si declina ogni responsabilità per le garanzie ivi contenute, comprese le garanzie di commerciabilità ed idoneità ad uno scopoparticolare.

Limitazione per gli utenti appartenenti al governo degli Stati Uniti d’America — L’utilizzo, la duplicazione o la divulgazione sono limitati dal Supplemento GSA ADP alcontratto con l’IBM Corporation.

Marchi

IBM, il logo IBM, Tivoli, il logo Tivoli, AIX, NetView, RS/6000 e TME sono marchi o marchi registrati della International Business Machines Corporation o della TivoliSystems Inc. negli Stati Uniti e/o negli altri paesi.

Microsoft, Windows, Windows NT e il logo Windows sono marchi della Microsoft Corporation negli Stati Uniti e/o negli altri paesi.

UNIX è un marchio registrato della The Open Group negli Stati Uniti e negli altri paesi.

Java e tutti i marchi basati su Java sono marchi della Sun Microsystems, Inc. negli Stati Uniti e/o in altri paesi.

Nomi di altri prodotti, società e servizi possono essere marchi di altre società.

Informazioni particolari

I riferimenti contenuti in questa pubblicazione relativi a prodotti, programmi e servizi Tivoli Systems o IBM, non implicano che tali società intendano renderli disponibiliin tutti i paesi in cui operano. Tutti i riferimenti a prodotti, programmi o servizi non implicano che è possibile utilizzare solo prodotti, programmio servizi della TivoliSystems o della IBM. In sostituzione a quelli forniti dalla Tivoli Systems o dalla IBM, possono essere utilizzati prodotti, programmi o servizi funzionalmente equivalentiche non comportino violazione dei diritti di proprietà intellettuale o di altri diritti protetti della Tivoli Systems o della IBM. E’ responsabilitàdell’utente valutare everificare la possibilità di utilizzare altri prodotti, fatta eccezione per quelli espressamente indicati dalla Tivoli Systems o dalla IBM. TivoliSystems o IBM possono averebrevetti o domande di brevetto in corso relativi a quanto trattato nella presente pubblicazione. La fornitura di questa pubblicazione non implica laconcessione di alcunalicenza su di essi. Chi desiderasse ricevere informazioni relative alle licenze può rivolgersi per iscritto a: IBM Director of Commercial Relations, IBM Europe,Schoenaicher Str. 220, D-7030 Boeblingen, Deutschland. Vedere anche “Informazioni aggiuntive” a pagina ix.

Indice

Prefazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vA chi si rivolge questa guida. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v

Prerequisiti e documenti correlati. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v

Contenuto della guida. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vi

Convenzioni utilizzate in questa guida. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vi

Accesso alle pubblicazioni in linea. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

Come ordinare le pubblicazioni. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

Commenti relativi alle pubblicazioni. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

Come contattare il servizio di supporto tecnico clienti. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

Informazioni aggiuntive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ixLicenza OpenSSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

Licenza SSLeay originale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

Apache e Apache Tomcat. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . x

Capitolo 1. Panoramica su Tivoli Kernel Services . . . . . . . . . . . . . . . . . . . . . . . . . 1Componenti e servizi di Tivoli Kernel Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Gestione di Tivoli Kernel Services mediante Tivoli Console. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Gestione di Tivoli Kernel Services mediante la CLI (Command Line Interface). . . . . . . . . . . . . . . . . 4

Capitolo 2. Una nuova Tivoli Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Layout di Tivoli Console. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Individuazione ed esecuzione di task. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Assistenza utente incorporata. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Presentazione guidata di Tivoli Console. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Capitolo 3. Gestione sicurezza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Aggiunta di utenti. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Associazione di utenti ed account. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Metodi di registrazione. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Aggiunta di un account kernel ad un utente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Aggiunta di un account nativo ad un utente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Super amministratori. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Creazione di ruoli. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Assegnazione di ruoli ad un utente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Ruoli di Tivoli Kernel Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

iiiIntroduzione a Tivoli Kernel Services

Visualizzazione delle proprietà dell’utente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Visualizzazione di utenti, risorse e ruoli. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Gestione del registro di sicurezza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Copia di oggetti nel registro di sicurezza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Ricerca di oggetti nel registro di sicurezza. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Capitolo 4. Gestione registrazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Visualizzazione delle registrazioni. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Configurazione di registratori, handler e maschere. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Capitolo 5. Amministrazione software di gestione . . . . . . . . . . . . . . . . . . . . . . . 33Gestione ORB e set di ORB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Gestione e distribuzione di componenti. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Gestione di directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Gestione di eventi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Gestione delle comunicazioni. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Gestione di gateway. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Gestione della configurazione dell’unità SNMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Appendice A. Ruoli definiti dal sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Appendice B. Uso di NEL Service e di Gateway in un ambiente sicuro 49Accesso a un’istanza di NEL Service. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

Accesso a un’istanza di Gateway. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Accesso a un’unità di rete (Endpoint). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

Esempio 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Soluzione 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Soluzione 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Soluzione 3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Esempio 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Soluzione 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Soluzione 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Esempio 3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Indice analitico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

iv Versione 1.2

Prefazione

Introduzione alla gestione di Tivoli Kernel Servicesfornisce un’introduzione all’uso di TivoliConsole per lo svolgimento delle funzioni di gestione di Tivoli Kernel Services. Nonfornisce istruzioni passo-passo per l’esecuzione di specifiche task. Per i dettagli sulle task,fare riferimento all’assistenza utente incorporata fornita con Tivoli Console.

A chi si rivolge questa guidaQuesto documento si rivolge all’amministratore di Tivoli Kernel Services che utilizza TivoliConsole.

Prerequisiti e documenti correlatiTivoli Kernel Services fornisce la documentazione correlata di seguito riportata:

¶ Pianificazione di Tivoli Kernel Services

Illustra la pianificazione per la distribuzione di Tivoli Kernel Services nell’ambienteoperativo.

¶ Installazione di Tivoli Kernel Services

Fornisce informazioni sull’installazione, la distribuzione e la configurazione di TivoliKernel Services.

¶ Tivoli Kernel Services Command Reference

Fornisce informazioni relative alla CLI (Command Line Interface) per Tivoli KernelServices.

¶ Tivoli Kernel Services Command Quick Reference Card

Un riferimento rapido che mostra un riepilogo della CLI (Command Line Interface) perTivoli Kernel Services.

¶ Risoluzione dei problemi di Tivoli Kernel Services

Fornisce informazioni sulla risoluzione dei problemi ed il mantenimento di servizi,componenti e database che comprendono Tivoli Kernel Services.

¶ README di Tivoli Kernel Services

Fornisce informazioni aggiornate, ad esempio problemi, soluzioni possibili e patchdisponibili.

¶ Guided Tour of the Tivoli Console

Un’introduzione su base HTML a Tivoli Console, la GUI utilizzata per la gestione diTivoli Kernel Services.

La documentazione relativa a Tivoli Kernel Services, fatta eccezione per la guida in lineaintegrata e il README del prodotto, si trova nella sottodirectory tivolidocs, sia sulCD-ROM di installazione di Tivoli Kernel Services che sul CD-ROM del bootprint, informato HTML e PDF. Il prodotto README si trova nella directory root del CD-ROM diinstallazione.

vIntroduzione a Tivoli Kernel Services

Contenuto della guidaIntroduzione alla gestione di Tivoli Kernel Servicescontiene le seguenti sezioni:

¶ “Panoramica su Tivoli Kernel Services” a pagina 1

Fornisce una brave panoramica di Tivoli Kernel Services.

¶ “Una nuova Tivoli Console” a pagina 5

Presenta i dettagli su Tivoli Console, una GUI (graphical user interface) basata sui ruoliin cui le task sono organizzate per il supporto di specifici ruoli.

¶ “Gestione sicurezza” a pagina 9

Fornisce i dettagli sulla gestione della sicurezza, incluse le informazioni sull’aggiunta ela modifica degli utenti e la gestione dei ruoli di sicurezza.

¶ “Gestione registrazione” a pagina 29

Illustra come gestire i messaggi e i dati creati in un componente o in un’applicazione einviati a una destinazione di output.

¶ “Amministrazione software di gestione” a pagina 33

Fornisce informazioni sulla gestione del sistema Tivoli Kernel Services, inclusa lagestione degli ORB e dei set di ORB, la configurazione dei componenti e la gestione deldatabase e della directory.

¶ “Ruoli definiti dal sistema” a pagina 45

Fornisce una descrizione di tutti i ruoli definiti dal sistema forniti con Tivoli KernelServices.

¶ “Uso di NEL Service e di Gateway in un ambiente sicuro” a pagina 49

Illustra le considerazioni sulla sicurezza per l’accesso alle unità di rete o endpoint.

Convenzioni utilizzate in questa guidaIl documento utilizza numerose convenzioni tipografiche per termini e azioni speciali.Queste convenzioni presentano il seguente significato:

Grassetto I comandi, le parole chiave e i ruoli di autorizzazione oppure altreinformazioni che devono essere utilizzate letteralmente, vengono visualizzatiin grassetto. Anche i nomi di finestre, di finestre di dialogo e altri controllivengono visualizzati ingrassetto.

Corsivo Le variabili e i valori da fornire vengono visualizzati incorsivo. Anche leparole e le frasi enfatizzate vengono visualizzate incorsivo.

Monospazio Gli esempi di codice, gli output, i messaggi di sistema, i tag XML e le classiJava, i metodi e i nomi di interfaccia vengono visualizzati con il fontmonospazio.

Questo documento utilizza le convenzioni UNIX per specificare variabili di ambiente e perla notazione di directory. Quando si utilizza la riga comandi di Windows NT, sostituire$variable con %variable% , per le variabili di ambiente e sostituire le barre (/) con le barreretroverse (\) nei percorsi delle directory.

Nota: Quando si utilizza la shell bash su un sistema Windows NT, è possibile utilizzare leconvenzioni UNIX.

vi Versione 1.2

Accesso alle pubblicazioni in lineaIl sito Web del Servizio supporto tecnico clienti di Tivoli (http://www.tivoli.com/support/)offre una guida ai servizi di assistenza (Customer Support Handbook), FAQ e informazionitecniche, comprese note sul rilascio, guide dell’utente, redbook e white paper. È possibileaccedere alle pubblicazioni Tivoli in linea dall’indirizzohttp://www.tivoli.com/support/documents/. La documentazione relativa ad alcuni prodotti èdisponibile nei formati PDF e HTML. Per alcuni prodotti, sono disponibili anche documentitradotti.

Per accedere a gran parte di questi documenti, sono richiesti un ID e una password. Perottenere un ID da utilizzare sul sito Web per il supporto tecnico, visitare il sitohttp://www.tivoli.com/support/getting/.

I rivenditori che desiderano maggiori informazioni su come ottenere la documentazione e ilsupporto tecnico Tivoli, devono fare riferimento al sitohttp://www.tivoli.com/support/smb/index.html.

Per ulteriori informazioni sulla documentazione tecnica di Tivoli, i partner commercialidevono fare riferimento a “Come ordinare le pubblicazioni”.

Come ordinare le pubblicazioniOrdinare le pubblicazioni Tivoli in linea all’indirizzohttp://www.tivoli.com/support/Prodman/html/pub_order.html oppure chiamando a uno deiseguenti numeri telefonici:

¶ Stati Uniti: (800) 879-2755

¶ Canada: (800) 426-4968

Commenti relativi alle pubblicazioniSono graditi commenti pertinenti all’impiego dei prodotti e della documentazione Tivoli. Èpossibile comunicare commenti e suggerimenti mediante uno dei seguenti metodi:

¶ Inviando un messaggio di posta elettronica all’indirizzo [email protected].

¶ Compilando l’apposito modulo disponibile all’indirizzohttp://www.tivoli.com/support/survey/.

Come contattare il servizio di supporto tecnico clientiTivoli Customer Support Handbookall’indirizzo http://www.tivoli.com/support/handbook/fornisce informazioni su tutti gli aspetti del servizio di supporto tecnico clienti, inclusoquanto segue:

¶ Registrazione ed eleggibilità

¶ Modalità per contattare il servizio di supporto, in base alla gravità del problema.

¶ Numeri di telefono e indirizzi di posta elettronica, in base al paese in cui ci si trova.

¶ Informazioni da raccogliere prima di contattare il servizio di supporto.

viiIntroduzione a Tivoli Kernel Services

viii Versione 1.2

Informazioni aggiuntive

Licenza OpenSSLCopyright (c) 1998-2000 The OpenSSL Project. Tutti i diritti riservati.

Sono consentiti la ridistribuzione e l’uso nei formati sorgente e binario, con o senzamodifiche, purché siano rispettate le condizioni di seguito riportate:

1. La ridistribuzione del codice sorgente deve contenere le informazioni sul copyrightriportate sopra, il presente elenco di condizioni e le limitazioni di responsabilità riportatedi seguito.

2. La ridistribuzione in formato binario deve contenere le informazioni sul copyrightriportate sopra, il presente elenco di condizioni e le limitazioni di responsabilità riportatedi seguito nella documentazione e/o in altro materiale fornito nella distribuzione.

3. Qualsiasi materiale pubblicitario contenente riferimenti alle caratteristiche o all’uso diquesto software deve riportare la seguente dichiarazione:″Questo prodotto includesoftware sviluppato dalla OpenSSL Project per l’uso nell’OpenSSL Toolkit.(http://www.openssl.org/)″

4. I nomi ″OpenSSL Toolkit″ e ″OpenSSL Project″ non devono essere utilizzati perappoggiare o promuovere prodotti derivati da questo software senza prima averneottenuto l’autorizzazione scritta. Per richiedere l’autorizzazione scritta, inviare unmessaggio di posta elettronica [email protected].

5. I prodotti derivati da questo software non possono utilizzare la denominazione″OpenSSL″ né contenere la menzione″OpenSSL″ nei rispettivi nomi senza prima averottenuto l’autorizzazione scritta della OpenSSL Project.

6. Tutte le ridistribuzioni, in qualsiasi forma avvengano, devono contenere la seguentedichiarazione:″Questo prodotto include software sviluppato dalla OpenSSL Project perl’uso nell’OpenSSL Toolkit (http://www.openssl.org/)″

QUESTO SOFTWARE VIENE FORNITO DALLA OpenSSL PROJECT″NELLO STATOIN CUI SI TROVA″ E NON VIENE FORNITA ALCUNA GARANZIA, SIA ESPRESSASIA IMPLICITA, INCLUSA, SENZA LIMITAZIONE, QUALSIASI GARANZIA DICOMMERCIABILITA’ O IDONEITA’ PER UNO SCOPO PARTICOLARE. IN NESSUNCASO LA OpenSSL PROJECT O I SUOI COLLABORATORI SARANNORESPONSABILI PER QUALSIASI DANNO DIRETTO O INDIRETTO, INCLUSI,SENZA LIMITAZIONE, MANCATI GUADAGNI O QUALSIASI ALTRO DANNOINCIDENTALE, SPECIALE O ALTRO DANNO ECONOMICO, ANCHE SE ERANO ACONOSCENZA DELLA POSSIBILITA’ DEL VERIFICARSI DI TALI DANNI.

Questo prodotto include software crittografico scritto da Eric Young ([email protected]).Questo prodotto include software scritto da Tim Hudson ([email protected]).

Licenza SSLeay originaleCopyright (C) 1995-1998 Eric Young ([email protected]) Tutti i diritti riservati.

Questo pacchetto è un’implementazione SSL scritta da Eric Young ([email protected]).L’implementazione è stata scritta in modo da risultare conforme all’SSL di Netscape.

ixIntroduzione a Tivoli Kernel Services

Questa libreria è gratuita per uso commerciale e non commerciale purché sia rispettate lecondizioni di seguito riportate. Le seguenti condizioni sono valide per tutti i tipi di codicepresenti in questa distribuzione, che si tratti di codice RC4, RSA, lhash, DES, ecc. o dicodice SSL. La documentazione SSL inclusa in questa distribuzione è protetta dagli stessitermini di copyright, con la differenza che il detentore è Tim Hudson ([email protected]).

Il copyright rimane di Eric Young, quindi tutte le informazioni sul copyright presenti nelcodice non dovranno essere rimosse. Se questo pacchetto viene utilizzato in un prodotto,Eric Young deve essere riconosciuto come l’autore delle parti di libreria utilizzate. Ciò puòavvenire sotto forma di un messaggio di testo all’avvio del programma o di unainformazione inclusa nella documentazione (in linea o cartacea) fornita con il pacchetto.

Sono consentiti la ridistribuzione e l’uso nei formati sorgente e binario, con o senzamodifiche, purché siano rispettate le condizioni di seguito riportate:

1. La ridistribuzione del codice sorgente deve contenere le informazioni sul copyright, ilpresente elenco di condizioni e le limitazioni di responsabilità riportate di seguito.

2. La ridistribuzione in formato binario deve contenere le informazioni sul copyrightriportate sopra, il presente elenco di condizioni e le limitazioni di responsabilità riportatedi seguito nella documentazione e/o in altro materiale fornito nella distribuzione.

3. Qualsiasi materiale pubblicitario contenente riferimenti alle caratteristiche o all’uso diquesto software deve riportare la seguente dichiarazione:″Questo prodotto includesoftware crittografico scritto da Eric Young ([email protected]). La parola’crittografico’ può essere omessa se le routine della libreria utilizzata non sono di tipocrittografico.

4. Se viene inserito codice specifico di Windows (o un suo derivato) dalla directory apps(codice applicazioni) dovrà essere inclusa la seguente dichiarazione:″Questo prodottoinclude software scritto da Tim Hudson ([email protected])″

QUESTO SOFTWARE VIENE FORNITO DA ERIC YOUNG″NELLO STATO IN CUI SITROVA″ E NON VIENE FORNITA ALCUNA GARANZIA, SIA ESPRESSA SIAIMPLICITA, INCLUSA, SENZA LIMITAZIONE, QUALSIASI GARANZIA DICOMMERCIABILITA’ O IDONEITA’ PER UNO SCOPO PARTICOLARE. IN NESSUNCASO L’AUTORE O I SUOI COLLABORATORI SARANNO RESPONSABILI PERQUALSIASI DANNO DIRETTO O INDIRETTO, INCLUSI, SENZA LIMITAZIONE,MANCATI GUADAGNI O QUALSIASI ALTRO DANNO INCIDENTALE, SPECIALE OALTRO DANNO ECONOMICO, ANCHE SE ERANO A CONOSCENZA DELLAPOSSIBILITA’ DEL VERIFICARSI DI TALI DANNI.

La licenza e i termini di distribuzione per qualsiasi versione pubblica o derivante da questocodice non possono essere modificati. Ciò implica che questo codice non può esseresemplicemente copiato e messo sotto un’altra licenza di distribuzione [inclusa la GNUPublic License.]

Apache e Apache TomcatQuesto prodotto include software sviluppato da The Apache Group per l’uso nel progettoApache HTTP Server (http://www.apache.org/).

Questo prodotto include software sviluppato da Greg Stein <[email protected]> per l’uso nelmodulo mod_dav per Apache (http://www.webdav.org/mod_dav/).

x Versione 1.2

Questo prodotto include software derivato da software sviluppato da Henry Spencer.

Questo prodotto include software derivato dalla RSA Data Security, Inc. MD5Message-Digest Algorithm.

Parti di alcuni componenti del Programma sono protetti da copyright di MERANT,1991-1999.

xiIntroduzione a Tivoli Kernel Services

xii Versione 1.2

Panoramica su Tivoli Kernel Services

Tivoli Kernel Services fornisce applicazioni con un set di componenti e funzioni per lagestione di una vasta gamma di utenti, unità e servizi. Sviluppato sulla base dei comunisistemi di comunicazione, messaggistica, memorizzazione dati e servizi di registrazione emigliorato con funzioni di sicurezza e una nuova interfaccia utente basata sui ruoli, TivoliKernel Services fornisce quanto segue:

¶ Un alto grado di scalabilità. Con Tivoli Kernel Services è possibile gestire più unitàrispetto a qualsiasi altro prodotto di gestione sistemi di Tivoli.

¶ Una singola infrastruttura di gestione attorno alla quale sviluppare il proprio ambiente digestione sistemi.

¶ Un ambiente ottimizzato per la gestione di più clienti (piuttosto che una singolaazienda).

¶ Soluzioni di sviluppo flessibili adatte a grandi imprese con molte unità da gestire opiccoli negozi con poche unità. Tivoli Kernel Services cresce di pari passo con lasocietà. La GUI di Tivoli della prossima generazione.

¶ Un ambiente variabile con tolleranza d’errore. Disponibilità continua medianteaggiornamenti modulari che non richiedono l’arresto dell’intero sistema per essereapplicati.

¶ Servizi integrati per la gestione della rete, delle applicazioni e dei sistemi

Come un normale sistema operativo, Tivoli Kernel Services è in grado di fornire leprincipali funzioni di un sistema distribuito (come illustrato nella Figura 1 a pagina 2):

¶ Servizi di base, quali comunicazioni, memorizzazione dati e sicurezza

¶ Tivoli Console, un’interfaccia utente grafica di facile utilizzo basata sui ruoli

¶ Gestione unità, quali SNMP e unità di memorizzazione

1

1Introduzione a Tivoli Kernel Services

1.P

anoramica

sullagestione

Componenti e servizi di Tivoli Kernel ServicesTivoli Kernel Services è composto dai seguenti tipi di componenti e servizi:

Servizi di baseI servizi di base di Tivoli Kernel Services forniscono funzioni fondamentali per ilfunzionamento del sistema distribuito o servizi che devono essere utilizzati allostesso modo da tutti gli altri componenti del sistema. Questo gruppo di componentiinclude l’ORB (l’instradamento centrale ed il componente di controllo per TivoliKernel Services) ed i servizi per la convalida dell’identità di un utente e dei diritti diaccesso, la condivisione e la memorizzazione dei dati e la distribuzione dei messagginel sistema distribuito.

Componenti a livello di componenteI componenti a livello di componente di Tivoli Kernel Services forniscono un mezzomediante il quale parti di applicazioni e servizi possono essere gestite all’interno delsistema Tivoli Kernel Services. Questo gruppo di componenti include i servizi per ladistribuzione dei componenti per un funzionamento più efficace di Tivoli KernelServices, per l’installazione del software e la distribuzione del software nelleubicazioni corrette.

Componenti a livello di risorsaI componenti a livello di risorsa di Tivoli Kernel Services forniscono l’accessodiretto alle risorse del sistema distribuito. Questo gruppo di componenti comprende igateway, il servizio di localizzazione che determina il gateway da utilizzare per unaparticolare risorsa e gli stack del protocollo e i metadati utilizzati per comunicarecon le risorse.

Componenti a livello di applicazioneOltre alle funzioni base fornite da Tivoli Kernel Services, sono presenti alcunicomponenti che possono essere considerati applicazioni indipendenti oppure parti diun’applicazione anziché di Tivoli Kernel Services. Questo gruppo di componentiinclude Tivoli Console e la CLI (command line interface) che consentono ilfunzionamento di Tivoli Kernel Services.

TivoliConsole

DeviceManagement

Tivoli Kernel Services

Applicazioni

Utente Hardware

Figura 1. Ambiente di sistema distribuito

2 Versione 1.2

Gestione di Tivoli Kernel Services mediante Tivoli ConsoleTivoli Console è la GUI (Graphical User Interface) per Tivoli Kernel ServicesAdministration. Tivoli Console è l’interfaccia principale utilizzata per l’esecuzione delle taskdi gestione di utenti e sistemi per Tivoli Kernel Services e le relative applicazioni inesecuzione. Tivoli Console fornisce una singola interfaccia in cui eseguire le task di gestionedel sistema indipendentemente dalle applicazioni o dai componenti installati. Per i dettagli suTivoli Console e le relative funzioni, fare riferimento a “Una nuova Tivoli Console” apagina 5.

Utilizzando Tivoli Kernel Services Administration, è possibile gestire i seguenti componentie servizi di Tivoli Kernel Services:

Data ConnectionsFornisce un accesso uniforme ad un’ampia gamma di archivi di dati.

Directory Associa gli oggetti alla relativa ubicazione nel sistema. Memorizza inoltrealcuni attributi di tali oggetti fornendo un archivio dati gerarchico, distribuitoa livello di sistema.

Deployment Rende i componenti e i servizi disponibili nel sistema distribuito.

Gateway Gestisce le comunicazioni ed i collegamenti tra un gruppo di endpoint eTivoli Kernel Services. Il gateway converte i protocolli del server inprotocolli dell’endpoint e viceversa.

Logging Gestisce la registrazione dei messaggi del componente e dei dati di traccianel sistema distribuito.

Messaging ServiceFornisce il backbone per i messaggi tra i componenti e le applicazioni.Questi messaggi includono gli eventi di sistema e la notifica delle modifichealla configurazione.

Network Endpoint Locator ServiceVerifica l’accesso di sicurezza ad una risorsa e seleziona il gateway miglioreper il passaggio di comandi e dati da un’applicazione a un endpoint eviceversa.

Security Fornisce l’autorizzazione e l’autenticazione per l’installazione di TivoliKernel Services.

SNMP Device ConfigurationGestisce le informazioni sulla configurazione SNMP per le risorse IP inun’installazione di Tivoli Kernel Services.

Tivoli Kernel Services Administration è organizzato in tre gruppi di task, relativi allagestione generale del sistema, alla gestione della sicurezza del sistema e alla gestione dellaregistrazione del sistema. Per ulteriori dettagli sulle task presenti in ciascun gruppo, fareriferimento ai seguenti capitoli:

¶ “Gestione sicurezza” a pagina 9

¶ “Gestione registrazione” a pagina 29

¶ “Amministrazione software di gestione” a pagina 33


1.P

anoramica

sullagestione

Gestione di Tivoli Kernel Services mediante la CLI (Command LineInterface)

Tivoli Kernel Services fornisce una CLI che consente di eseguire le operazioni di sistema dauna riga comandi anziché da Tivoli Console. La CLI può essere utilizzata quando la GUInon è in esecuzione o in una finestra diversa, mentre la GUI è in esecuzione.

La CLI fornisce un controllo completo dell’ambiente gestito e può essere facilmenteutilizzata dagli script della shell per eseguire sequenze complesse di comandi.

Questo documento illustra la gestione di Tivoli Kernel Services mediante Tivoli Console. Peri dettagli sulla CLI e la sintassi dei comandi, fare riferimento aTivoli Kernel ServicesCommand Reference.

4 Versione 1.2

Una nuova Tivoli Console

Tivoli Console è la GUI (Graphical User Interface) basata sui ruoli per l’esecuzione delletask mediante il software di gestione di Tivoli. Questa console presenta solo le task che sonorilevanti per un determinato ruolo e consente di eseguire tali task senza una conoscenzadettagliata del software utilizzato. Tivoli Console fornisce inoltre i controlli e icomportamenti corretti relativi alle task e include l’assistenza utente incorporata.

Un ruolo è una funzione di lavoro, ad esempio un “distributore di software”, che identificale task che un utente può eseguire e le risorse a cui un utente ha accesso. A un utentepossono essere assegnati uno o più ruoli, in base alle attività eseguite. Unatask rappresentauno o più componenti software di Tivoli eseguiti come entità indipendenti associate allavoro.

Layout di Tivoli ConsoleFigura 2 illustra un esempio di Tivoli Console in Tivoli Kernel Services.

I componenti chiave di Tivoli Console includono quanto segue:

Area di intestazioneL’area tra la barra del titolo e la barra dei menu che può essere utilizzata come unbrowser Web. Questa area facoltativa può essere personalizzata da un amministratoredi sistema per includere le informazioni rilevanti per una particolare azienda. Ad

Aereadell’intestazione

TivoliAssistant

Area di lavoro

Pulsantedei task

Barra di stato

Portafoglio

Barra dei task

Figura 2. Componenti chiave di Tivoli Console

2


2.U

nanuova

TivoliC

onsole

esempio, è possibile che un’azienda desideri che l’area di intestazione contenga ildescrittore di ruolo per un particolare utente, il logo dell’azienda o i collegamenti aisiti Internet e intranet.

PortafoglioUn contenitore per le task rilevanti per un determinato ruolo. Quando si apre, ilportafoglio viene visualizzato all’interno di Tivoli Console, a sinistra dell’area dilavoro. Quando si chiude, il portafoglio viene indicato dall’handle del portafoglio.

Barra di statoUna barra situata al di sotto dell’area di lavoro divisa in due sezioni. La sezione disinistra contiene informazioni sull’oggetto sul quale si trova il puntatore del mouse.La sezione di destra contiene un indicatore di progresso o informazioni di stato sullatask in esecuzione. Per allungare una sezione della barra di stato e accorciare l’altra,trascinare il divisore di sezione a sinistra o a destra.

Barra delle taskUna barra situata nella parte inferiore della finestra contenente un pulsante, chiamatopulsante di task, per ciascuna task in esecuzione. Se si fa clic con il tasto destro delmouse sulla barra delle task, si apre il menu di contesto per la barra delle task.

Pulsante di taskUn pulsante della barra delle task che rappresenta una task in esecuzione. Una taskpuò avere più finestre associate. Se si fa clic su un pulsante, la finestra di taskassociata si apre nell’area di lavoro. Quando si fa clic con il tasto destro del mousesu un pulsante di task, si apre un menu di contesto. Ciascun pulsante di taskcontiene una piccola icona che indica lo stato corrente della task.

Area di lavoroL’area in cui viene visualizzata la GUI relativa alla task. Questa area non include ilportafoglio e Tivoli Assistant.

Tivoli AssistantL’applicazione in cui è possibile trovare risposta alle domande dell’utente. IlAssistant si apre facendo clic sul punto interrogativo situato all’estrema destra dellabarra degli strumenti o nell’angolo in alto a destra di una qualsiasi finestra separata.Quando si apre, Tivoli Assistant viene visualizzato all’interno di Tivoli Console, adestra dell’area di lavoro. Fornisce informazioni sulla guida contestuale per la task inesecuzione insieme ad informazioni di riferimento.

Individuazione ed esecuzione di taskLe task sono raccolte ingruppi di task, che organizzano le task in categorie logiche. I gruppidi task vengono visualizzati nel portafoglio di Tivoli Console.

Per visualizzare un elenco di task di un particolare gruppo, fare clic per espandere il gruppo.Nel gruppo di task espanso, fare clic sulla task che si desidera avviare all’interno di quelgruppo. Se si fa clic su una task, si apre una finestra di dialogo che guida l’utentenell’esecuzione di un’attività o che presenta all’utente un elenco di risorse su cui è possibileeseguire delle azioni.

Se viene presentato un elenco di risorse, è possibile fare clic con il tasto destro del mouse suuna risorsa per aprire unmenu di contesto. Il menu di contesto visualizza solo le azionirilevanti per quella risorsa.

6 Versione 1.2

Il menu e la barra degli strumenti sono specifici della task e contengono i menu e glistrumenti disponibili per la task attiva nell’area di lavoro. Tuttavia, vari strumenti e voci dimenu sono gli stessi per tutte le task.

Oltre alle voci elencate, alcune applicazioni che utilizzano Tivoli Console si servono diun’area di descrizione del campo, che visualizza un testo descrittivo ed alcuni istruzioni perl’interfaccia e che viene automaticamente aggiornato quando un utente si sposta da uncampo all’altro. Quest’area non viene tuttavia utilizzata da Tivoli Kernel in questo rilascio.

Assistenza utente incorporataTivoli Console offre una nuova importante funzione, l’assistenza utente incorporata perl’utilizzo di Tivoli Assistant.

Tivoli Assistant può essere aperto attenendosi ad una delle seguenti procedure:

¶ Fare clic sul punto interrogativo situato all’estrema destra della barra degli strumenti diTivoli Console o nell’angolo in alto a destra di una finestra separata.

¶ SelezionareApri Tivoli Assistant dal menu dellaguida.

¶ PremereF1.

Tivoli Assistant sostituisce la guida dell’utente che accompagna molti prodotti software. Leinformazioni su Tivoli Kernel Services, Tivoli Console e Tivoli Assistant sono incluse tuttein Tivoli Assistant. Quando si installa un’applicazione, le informazioni sull’applicazionevengono integrate in Tivoli Assistant.

Le informazioni in Tivoli Assistant sono organizzate per argomenti. L’argomento rilevanteper la task in esecuzione viene visualizzato a destra dell’area di lavoro quando si apre per laprima volta Tivoli Assistant, come illustrato nella Figura 3.

È possibile ricercare le informazioni disponibili, rivedere le informazioni sulla panoramica ovisualizzare l’indice e l’indice analitico per individuare le informazioni desiderate. Una voltaindividuate le informazioni desiderate, è possibile ridimensionare la finestra di TivoliAssistant per una visualizzazione semplificata, staccare completamente la finestra dall’area dilavoro o stampare le informazioni.

Barra deglistrumenti

di Assistant

TivoliAssistant

Figura 3. Tivoli Console con Tivoli Assistant aperto


2.U

nanuova

TivoliC

onsole

Queste task possono essere eseguite dalla barra degli strumenti di Tivoli Assistant, illustratanella Figura 4.

Dalla barra degli strumenti di Tivoli Assistant, è possibile accedere a un indice di messaggicontenente dei puntatori per gli argomenti della guida relativi ai messaggi per le applicazioniinstallate. L’indice è ordinato in base a un sistema alfanumerico, per identificativo dimessaggio, e presenta una funzione di ricerca. Generalmente, i messaggi vengonovisualizzati in finestre di dialogo a comparsa che richiedono l’azione dell’utente, comeillustrato nella Figura 5. È possibile visualizzare le informazioni della guida come inqualsiasi altra finestra di dialogo, facendo clic sul punto interrogativo nell’angolo in altro adestra della finestra di dialogo.

Presentazione guidata di Tivoli ConsolePrima di iniziare ad utilizzare Tivoli Console, può essere utile leggere la presentazioneguidata sul Web per acquisire maggiore familiarità con i concetti presentati in questocapitolo. Il presentazione guidata è inclusa nel CD-ROM di installazione nella sottodirectorytivolidocs. La presentazione guidata può essere scaricata dal sito Web al seguenteindirizzo:

http://www.tivoli.com/products/demos

Prec./Succ. Snap

Sommario

Indice degli argomenti

Indice dei messaggi Ricerca

Stampa

Scollega/Ricollega

Figura 4. Barra degli strumenti di Tivoli Assistant

Figura 5. Finestra dei messaggi

8 Versione 1.2

http://www.tivoli.com/products/demos

Gestione sicurezza

Il gruppo di taskGestione sicurezzainclude le task per la gestione della sicurezza delsistema. Queste task forniscono servizi di autenticazione e autorizzazione per componenti,applicazioni, servizi e utenti.

Il sottosistema Sicurezza è composto da Authentication Service, che convalida l’identitàdegli utenti e da Authorization Service, che stabilisce se un utente ha il diritto di eseguireuna specifica azione o di accedere a una determinata risorsa. Questi due servizi vengonoeseguiti sugli oggetti contenuti nel registro di sicurezza. Ilregistro di sicurezzaè un serverdi gestione dati che fornisce una rappresentazione corretta e un database di informazionirelative agli utenti e al controllo accessi alle risorse. Per ulteriori informazioni sul registro disicurezza, la relativa organizzazione e la pianificazione degli aspetti della sicurezza, fareriferimento aPianificazione di Tivoli Kernel Services.

Il primo passo per la sicurezza del sistema distribuito è la creazione di utenti. Un utente èuna persona che utilizza Tivoli Kernel Services per l’esecuzione di task. Per poter accedereal sistema, l’utente deve avere uno o piùaccount. Gli account contengono le credenzialidell’utente, vale a dire il nome e la password dell’utente. Quando un utente si registra sulsistema, l’Authentication Service verifica che il nome utente e la password immessicorrispondano alle informazioni contenute nell’account dell’utente. Per ulteriori informazionisugli account, fare riferimento alla sezione “Associazione di utenti ed account” a pagina 11.

Una volta ottenuto l’accesso al sistema, le task che l’utente può eseguire vengonodeterminate dal ruolo che gli è stato assegnato. Unruolo è una funzione di lavoro chedefinisce le condizioni di accesso di un utente su un set di risorse.

Figura 6. Gruppo di task Gestione sicurezza

3


3.G

estionesicurezza

Aggiunta di utentiPer creare un nuovo utente in Tivoli Kernel Services, selezionare la taskAggiunta utentedal gruppo di taskGestione sicurezzadel portafoglio. Dalla finestra Utente, come illustratonella Figura 7, è possibile creare nuovi utenti.

Nota: Quando si crea un nuovo utente utilizzando la taskAggiunta utente, vienevisualizzata la finestra Selezione directory che consente di scegliere la directory delregistro di sicurezza in cui verrà inserito il nuovo utente. In alternativa, è possibileselezionare la directory del registro di sicurezza in cui si desidera inserire l’utente e

fare clic sull’iconaAggiungi utente ( ) per creare il nuovo utente nella directoryselezionata.

Figura 7. Finestra Utente

10 Versione 1.2

Una volta creato un utente, viene visualizzata la finestra Proprietà utente. Da questa finestra,illustrata nella Figura 8, è possibile visualizzare e modificare le proprietà dell’utente e creare,modificare o eliminare gli account utente. Per istruzioni passo-passo sull’esecuzione diqueste task, fare riferimento agli argomenti della guida in linea di Tivoli Assistant.

Associazione di utenti ed accountDopo aver creato un utente in Tivoli Kernel Services, è possibile associare a tale utente unaccount o più account. Per accedere al sistema, all’utente è necessario un account. Esistonodue tipi principali di account in Tivoli Kernel Services:

¶ Account Kernel

Questo tipo di account viene definito all’interno del registro di sicurezza di TivoliKernel Services e richiede per la registrazione un nome utente ed una password. Questotipo di account è chiamatoaccount Kernel.

¶ Account nativi

Questo tipo di account viene definito su un sistema operativo nativo, ad esempio lapiattaforma Windows o UNIX, e richiede per la registrazione un nome utente, un nomehost ed una password. I tipi di account nativi includono:

v Account NT

v Account Unix

Quando si crea un account nativo, è necessario verificare che il nome account siaunivoco all’interno dell’installazione. Se vengono creati due account con lo stesso nome,entrambi gli account vengono invalidati.

Nota: In Tivoli Kernel Services esistono i seguenti tipi di account, che non vengonoattualmente utilizzati:

Figura 8. Finestra Proprietà utente


3.G

estionesicurezza

v Account Web

v Account DB2

Un utente può avere più account e più tipi di account. Un utente, ad esempio, può registrarsicon un account NT, un account Unix o un account Kernel. Se si desidera eseguire laregistrazione a Tivoli Console utilizzando un account diverso da quello utilizzato in origine,chiudere e riavviare Tivoli Console, quindi immettere il nome utente e la password nellafinestra di registrazione.

Metodi di registrazionePer eseguire la registrazione all’interfaccia riga comandi o GUI di Tivoli Kernel Services,possono essere utilizzati i metodi di seguito riportati. Quando si associano gli account ad unutente, considerare il metodo di registrazione che gli account utilizzeranno per eseguire illavoro.

¶ metodo di registrazione mediante l’account Kernel

Il metodo di registrazione mediante l’account Kernel consente di eseguire laregistrazione utilizzando la GUI e l’interfaccia riga comandi con un account Kernel.Questo metodo richiede che gli utenti immettano l’opzione–u con il comandowcmd.Le password dell’account Kernel sono memorizzate nel registro di sicurezza.

¶ metodo di registrazione locale nativo

Il metodo di registrazione locale nativo può eseguire l’autenticazione locale nativa soloattraverso l’interfaccia riga comandi. Questo tipo di registrazione elimina la necessità diimmettere l’opzione–u con il comandowcmd e consente l’elaborazione batch deicomandi.

¶ metodo di registrazione remoto nativo

Il metodo di registrazione remoto nativo può essere utilizzato per la registrazionemediante la GUI e l’interfaccia riga comandi immettendoutente@nomehostper il nomeutente.

Note:

1. Il metodo di registrazione remoto nativo richiede che il servizioRemoteAuthenticationService venga distribuito all’ORB della macchina su cui sonodefiniti gli utenti che si desidera autenticare in remoto. Se si desidera supportare idomini Windows NT e l’autenticazione nativa remota, nessun nome di account localedeve essere in conflitto con il dominio di questa macchina. Per ulteriori informazionisulla distribuzione dei componenti, fare riferimento a “Gestione e distribuzione dicomponenti” a pagina 35.

2. In un ambiente Windows, l’ORB deve essere avviato dal pannello di controllo perpoter utilizzare su quell’ORB il metodo di registrazione nativo remoto. Se inveceviene utilizzata la riga comandi, all’utente che avvia l’ORB, per poter utilizzare ilmetodo di registrazione nativo remoto, deve essere assegnato il diritto utente ad agirecome parte del sistema operativo.

Per impostare i diritti utente sui sistemi Windows 2000:

a. Dal menuStart, selezionareImpostazioni → Pannello di controllo → Strumentidi amministrazione → Criteri di protezione locali → Criteri locali →Assegnazione diritti utente.

b. Fare clic con il tasto destro del mouse sul criterio checonsente di agire comeparte del sistema operativoe selezionareProtezione.

12 Versione 1.2

c. Aggiungere l’utente.

Per impostare i diritti utente sui sistemi Windows NT:

a. Dal menuAvvio/Start , selezionareProgrammi → Strumenti di amministrazione→ User Manager.

b. Dal menuCriteri di protezione , selezionareDiritti utente .

c. Selezionare la casella di controlloMostra diritti utente avanzati .

d. Dall’elenco a discesaDiritto: , selezionareAct as part of the operating system.

e. Nell’elencoConcesso a:, selezionare il nome utente o gruppo e fare clic suOK .

Aggiunta di un account kernel ad un utenteI passi di seguito riportati illustrano la procedura per l’aggiunta di un account kernel ad unutente.

1. Dal portafoglio, selezionareGestione sicurezza→ Visualizzazione utenti, risorse, ruoli.

2. Nella finestra Registro di sicurezza, individuare l’oggetto persona a cui si desideraaggiungere l’account.

3. Fare doppio clic sulla persona.

4. Nella finestra Proprietà utente (accanto alla tabella Account), fare clic suNuovo.

5. SelezionareAccount kernel e fare clic suOK .

6. Nella finestra Account:

a. Nel campoNome completo, immettere il nome utente che la persona utilizzerà per laregistrazione sul sistema. Ad esempio,eap.

b. Lasciare vuoto il campoNome host computer. I nomi host non vengono utilizzatiper gli account kernel.

c. Nel campoPassword, immettere la password che la persona utilizzerà per laregistrazione sul sistema.

d. Fare clic suOK per creare l’account.


3.G

estionesicurezza

Aggiunta di un account nativo ad un utenteI passi di seguito riportati illustrano la procedura per l’aggiunta di un nuovo account nativoad un utente.


2. Nella finestra Registro di sicurezza, individuare l’oggetto persona a cui si desideraaggiungere l’account.

3. Fare doppio clic sulla persona.

4. Nella finestra Proprietà utente (accanto alla tabella Account), fare clic suNuovo.

5. Selezionare l’account NT o l’account Unix corrispondente al tipo di sistema operativonativo e fare clic suOK .

6. Nella finestra Account:

a. Nel campoNome completo, immettere il nome utente con cui la persona si registreràsul sistema operativo nativo. Ad esempio,epresley.

14 Versione 1.2

b. Nel campoNome host computer, immettere il nome host completo della macchinacon cui l’utente esegue la registrazione. Ad esempio,machine1.dev.tivoli.com.

c. Lasciare vuoto il campoPassword.

La password del sistema operativo nativo viene utilizzata per l’autenticazionedell’utente. Se non si immette alcuna password, non sarà necessario mantenere lapassword memorizzata nel registro di sicurezza in sincronizzazione con la passworddel sistema operativo.

d. Fare clic suOK per creare l’account.

Per verificare il nuovo account, l’utente può immettere il comandowcmd list dal prompt deicomandi. Se la creazione dell’account è riuscita, non è necessaria l’opzione–u perspecificare un nome utente.

Per utilizzare lo stesso account per la registrazione sulla Tivoli Console, verificare che ilservizio RemoteAuthenticationService sia stato distribuito all’ORB su cui sono definiti gliutenti che si desidera autenticare in remoto. Nella finestra di registrazione, l’utente deveimmettere il nome utente nel formatoutente@nomehost, come illustrato nella Figura 9 e lapassword del sistema operativo nel campo della password.

Figura 9. Metodo di registrazione remoto nativo


3.G

estionesicurezza

Super amministratoriTivoli Kernel Services fornisce un utente con account speciale chiamatosuperamministratore. Il super amministratore ha accesso all’intera installazione di Tivoli KernelServices, incluso il registro di sicurezza e viene assegnato automaticamente a tutti i ruoli,predefiniti e recentemente creati, del sistema. L’utente è situato nella directorysecurity/SuperAdministrators/ del registro di sicurezza ed il nome utente èJohn D. Super.Per default, questo utente è associato ad un account Kernel denominatosuperadmin. Percreare altri super amministratori, copiare questo utente, ridenominarlo mantenendolo nelladirectory SuperAdministrators ed assegnarvi un nuovo account di registrazione con ID utentee password aggiornati. Per istruzioni passo-passo, consultare la sezione “Copia di oggetti nelregistro di sicurezza” a pagina 25. Tutti i super amministratori creati nella directorySuperAdministrators vengono assegnati automaticamente a tutti i ruoli, predefiniti orecentemente creati, del sistema.

Creazione di ruoliTivoli Kernel Services utilizza il concetto di controllo accessi basato sui ruoli per gestire lasicurezza del sistema. Anziché specificare le autorizzazioni di sicurezza per singoli utenti ogruppi, è possibile creare funzioni che un utente assegnato ad un ruolo possa eseguire su unset di target. Le funzioni sono set di condizioni di accesso, vale a dire di autorizzazioni adeseguire determinate azioni, su un gruppo di risorse (target). Una funzione può raggrupparevarie condizioni quali READ, WRITE e DELETE. Considerare le seguenti istruzioni quandosi creano i ruoli:

¶ Il nome del ruolo deve riflettere la funzione di lavoro. Un ruolo corrisponde ad unafunzione di lavoro ed ha un nome che dovrebbe descrivere quella funzione. Sembraevidente che l’accesso di una persona o di un’applicazione alle risorse debba esserebasato sulla funzione o sulle funzioni di quella persona, o organizzazione, all’internodell’azienda. Un utente può avere nessuno, uno o più ruoli.

¶ Ciascun ruolo contiene un set di funzioni.Ogni funzione presenta un identificativounivoco all’interno del ruolo. Le funzioni conferiscono un set di condizioni di accessoad un set di risorse.

¶ Un ruolo è una combinazione di diritti e condizioni. Ogni condizione di accessorappresenta un’azione che un utente può eseguire su una risorsa. Ciascun tipo di risorsapuò supportare un set di azioni diverso per cui il set di diritti validi dipende dal tipo dirisorsa.

¶ Gli utenti vengono assegnati ai ruoli dinamicamente o staticamente.Dopo avercreato un utente e stabilito i ruoli appropriati per quell’utente, è possibile assegnarestaticamente i ruoli all’utente oppure creare i filtri per assegnare i ruoli dinamicamente.

¶ Le risorse vengono assegnate alle funzioni dinamicamente o staticamente.Dopo avercreato una funzione e stabilito le risorse appropriate per quella funzione, è possibileassegnare staticamente le risorse alla funzione oppure creare i filtri per assegnare lerisorse dinamicamente.

Per creare un nuovo ruolo in Tivoli Kernel Services, selezionare la taskAggiunta ruolo dalgruppo di taskGestione sicurezzadel portafoglio. Dalla finestra Ruolo, come illustrato nellaFigura 10 a pagina 17, è possibile creare e modificare i ruoli.

Nota: Quando si crea un nuovo ruolo utilizzando la taskAggiunta ruolo, viene visualizzatala finestra Selezione directory che consente di scegliere la directory del registro di

16 Versione 1.2

sicurezza in cui verrà inserito il nuovo ruolo. In alternativa, è possibile selezionare ladirectory del registro di sicurezza in cui si desidera inserire il ruolo e fare clic

sull’icona Aggiungi ruolo ( ) per creare il nuovo ruolo nella directory selezionata.

Figura 10. Finestra Ruolo


3.G

estionesicurezza

Una volta creato un ruolo, viene visualizzata la finestra Proprietà ruolo. Da questa finestra,illustrata nella Figura 11, è possibile visualizzare e modificare le proprietà del ruolo e creare,modificare o eliminare le funzioni del ruolo e le condizioni di accesso. Per istruzionipasso-passo sull’esecuzione di queste task, fare riferimento agli argomenti della guida inlinea di Tivoli Assistant.

Assegnazione di ruoli ad un utenteGli utenti possono essere associati ai ruolistaticamenteodinamicamente.

I passi di seguito riportati illustrano la procedura per associare staticamente un utente ad unruolo.


2. Nella finestra Registro di sicurezza, fare doppio clic su un utente. Viene visualizzata lafinestra Proprietà utente.

3. Nella finestra Proprietà utente, fare clic suModifica .

Figura 11. Finestra Proprietà ruolo

18 Versione 1.2

4. Nella finestra Utente, selezionareRuoli assegnati staticamente. Vengono visualizzati iruoli assegnati staticamente all’utente.

5. Fare clic suNuovo per visualizzare tutti gli altri ruoli che possono essere assegnatiall’utente.

6. Selezionare i ruoli desiderati e fare clic suOK .

7. Nella finestra Utente, fare clic suOK per salvare le modifiche.

Gli utenti possono essere associati ad un ruolo dinamicamente mediante il filtro dei membriruolo. Per aggiungere un filtro dei membri ad un ruolo:


2. Nella finestra Registro di sicurezza, fare doppio clic su un ruolo.

3. Nella finestra Proprietà ruolo, fare clic suModifica .

4. Nella finestra Ruolo, selezionareFiltro dei membri .


3.G

estionesicurezza

5. Selezionare una proprietà dall’elenco a discesaProprietà. Ad esempio,Dipartimento .

6. Immettere un valore per la proprietà nel campo di testo. Ad esempio,123.

7. Fare clic suOK per salvare il filtro dei membri.

In questo esempio, tutti gli utenti aggiunti al sistema (oltre a tutti gli utenti esistenti) conl’attributo″Dipartimento=123,″ verranno assegnati dinamicamente a questo ruolo.

Dopo aver impostato gli utenti, i ruoli, gli account e le funzioni del sistema, il servizioAuthorization Service utilizza queste informazioni ogni volta che un utente tenta di eseguireun’azione su una risorsa e verifica che l’utente abbia il ruolo, la funzione e le condizioni diaccesso adatti per eseguire le azioni specificate su o con quella risorsa. Una volta ricevutel’autenticazione e l’autorizzazione per eseguire le azioni, l’utente viene definitoprincipal.

Ruoli di Tivoli Kernel ServicesIn Tivoli Kernel Services esistono due tipi di ruoli:

¶ I ruoli di Tivoli Kernel Services, che controllano le azioni eseguite da un utente quandoutilizza le task del portafoglio. Questi ruoli si trovano nelle directory security/roles/,system/services/roles/, o system/roles/ del registro di sicurezza.

¶ I ruoli di Tivoli Kernel Services Administration, che indicano le task del portafogliodisponibili per un utente assegnato a un determinato ruolo. Questo ruoli si trovano nelladirectory PS/PSServer/Roles/MACImpl/5.2.0/ del registro di sicurezza.

20 Versione 1.2

È necessario assegnare entrambi i tipi di ruoli per fare in modo che l’utente abbia accessoalle task del portafoglio appropriate e possa eseguire con tali task le azioni corrette. Per unelenco completo dei ruoli definiti dal sistema disponibili in Tivoli Kernel Services, fareriferimento alla sezione “Ruoli definiti dal sistema” a pagina 45.

La Tabella 1, la Tabella 2 a pagina 22, la Tabella 3 a pagina 22, e la Tabella 4 a pagina 22mostrano l’ubicazione all’interno del registro di sicurezza ed una descrizione dei ruoli diTivoli Kernel Services e Tivoli Kernel Services Administration necessari per consentire adun utente l’accesso alle task del portafoglio.

Tabella 1. Ruoli presenti nella directory PS/PSServer/Roles/ del registro di sicurezzaPS/PSServer/Roles/

MACImpl/5.2.0/MACInstallUser Un ruolo che consente agli utenti dieseguire tutte le funzioni di gestione delsistema. Fornisce l’accesso a tutte le taskall’interno di tutti i gruppi di task.

MACImpl/5.2.0/MACLimitedSecurityUser Un ruolo che consente agli utenti divisualizzare le informazioni sulla sicurezzarelative all’utente e all’account con cuil’utente si è registrato sulla console e diricercare le risorse di sicurezza. Forniscel’accesso alle taskVisualizzazioneproprietà utente e Ricerca sicurezzadelgruppo di taskGestione sicurezza.

MACImpl/5.2.0/MACLoggingUser Un ruolo che consente agli utenti dieseguire le funzioni di gestione dellaregistrazione. Fornisce l’accesso a tutte letask all’interno del gruppo di taskGestioneregistrazione.

MACImpl/5.2.0/MACOrbUser Un ruolo che consente agli utenti dieseguire le funzioni di gestione di ORB, setdi ORB, componenti e collegamento dati.Fornisce l’accesso alle taskGestione ORB,Visualizzazione collegamenti ai datieVisualizzazione configurazione SNMP.

MACImpl/5.2.0/MACResourceUser Un ruolo che consente agli utenti dieseguire le funzioni di gestione delladirectory. Fornisce l’accesso alla taskVisualizzazione directory.

MACImpl/5.2.0/MACSecurityUser Un ruolo che consente agli utenti dieseguire le funzioni di gestione dellasicurezza. Fornisce l’accesso a tutte le taskall’interno del gruppo di taskGestionesicurezza.

MACImpl/5.2.0/MACSeniorUser Un ruolo che consente agli utenti dieseguire tutte le funzioni di gestione delsistema. Fornisce l’accesso a tutte le taskall’interno di tutti i gruppi di task.


3.G

estionesicurezza

Tabella 2. Ruoli presenti nella directory security/roles/ del registro di sicurezzasecurity/roles/

Administrator Un ruolo che fornisce l’accesso completo a tutti glioggetti del registro di sicurezza.

User Administrator Un ruolo che fornisce l’autorizzazione alla gestione diaccount e persone ma non di ruoli. Consente diaggiungere, eliminare e modificare gli account e lepersone in qualsiasi punto del registro di sicurezza adeccezione della directory di sicurezza. Non forniscel’autorizzazione per l’utilizzo dei comandi di sicurezzadella CLI.

Tabella 3. Ruoli presenti nella directory system/services/roles/ del registro disicurezzasystem/services/roles/

DirectoryService Un ruolo che fornisce l’accesso completo a DirectoryService. Non eliminare questo ruolo, in quanto vieneutilizzato dai servizi interni.

Tabella 4. Ruoli presenti nella directory system/roles/ del registro di sicurezzasystem/roles/

Logging Administrator Un ruolo che fornisce l’autorizzazione alla gestione diregistratori, handler e filtri (maschere).

System Administrator Un ruolo che fornisce all’utente finale l’accesso a tutti iservizi di Tivoli Kernel Services ad eccezione delregistro di sicurezza. Fornisce inoltre l’accesso a tutti icomandi della CLI ad eccezione dei comandi disicurezza.

Tabella 5 mostra la combinazione dei ruoli di Tivoli Kernel Services Administration e diTivoli Kernel Services necessaria per consentire ad un utente l’accesso alle task delportafoglio. Ad esempio, se si desidera assegnare ad un utente l’autorizzazione alla gestionedi account e persone presenti nel registro di sicurezza, limitando la possibilità di modificareo assegnare i ruoli, è possibile assegnare all’utente i ruoli MACLimitedSecurityUser e UserAdministrator. Il primo ruolo assegna all’utente l’accesso ad un set limitato di task delportafoglio, il secondo ruolo assegna all’utente le autorizzazioni necessarie per la gestione diaccount e persone presenti nel registro di sicurezza.

Tabella 5. Ruoli e accesso alle task del portafoglioTivoli Kernel ServicesAdministration Ruolo

Ruoli di Tivoli KernelServices

Accesso disponibile

MACSeniorUser System Administrator eAdministrator

¶ Tutte le task sono disponibili

¶ Fornisce l’autorizzazione completaper tutti i servizi di Tivoli KernelServices e per il registro disicurezza

22 Versione 1.2

Tabella 5. Ruoli e accesso alle task del portafoglio (Continua)Tivoli Kernel ServicesAdministration Ruolo

Ruoli di Tivoli KernelServices

Accesso disponibile

MACInstallUser System Administrator eAdministrator

¶ Tutte le task sono disponibili

¶ Fornisce l’autorizzazione completaper tutti i servizi di Tivoli KernelServices e per il registro disicurezza

MACLoggingUser Logging Administrator ¶ Fornisce l’accesso a tutte le taskall’interno del gruppo di taskGestione registrazione

¶ Fornisce l’autorizzazione allagestione di registratori, handler efiltri (maschere)

MACOrbUser System Administrator ¶ Fornisce l’accesso alle taskGestione ORB, Visualizzazionecollegamenti ai dati eVisualizzazione configurazioneSNMP

¶ Consente agli utenti di eseguire lefunzioni di gestione di ORB, set diORB, componenti e collegamentodati

¶ Fornisce l’accesso completo a tuttii servizi di Tivoli Kernel Servicesad eccezione del registro disicurezza

MACResourceUser DirectoryService ¶ Fornisce l’accesso alla taskVisualizzazione directory

¶ Fornisce l’accesso completo aDirectory Service

MACLimitedSecurityUser User Administrator ¶ Fornisce l’accesso alle taskVisualizzazione proprietà utentee Ricerca sicurezza

¶ Fornisce l’autorizzazione allagestione solo di account e persone

¶ Consente di aggiungere, eliminaree modificare gli account e lepersone in qualsiasi punto delregistro di sicurezza ad eccezionedella directory di sicurezza

MACSecurityUser Administrator ¶ Fornisce l’accesso a tutte le taskall’interno del gruppo di taskGestione sicurezza

¶ Fornisce l’accesso completo a tuttigli oggetti del registro di sicurezza


3.G

estionesicurezza

Visualizzazione delle proprietà dell’utentePer visualizzare le informazioni sull’account e sull’utente relative all’account e all’utente concui è stata eseguita la registrazione, selezionare la taskVisualizzazione proprietà utentedalgruppo di taskGestione sicurezzadel portafoglio. Da questa finestra, illustrata nellaFigura 12, è possibile visualizzare e aggiornare le informazioni sull’utente e l’account. Peristruzioni passo-passo sull’esecuzione di queste task, fare riferimento agli argomenti dellaguida in linea di Tivoli Assistant.

Visualizzazione di utenti, risorse e ruoliPer visualizzare la finestra di navigazione principale per il registro di sicurezza, selezionarela taskVisualizzazione utenti, risorse, ruolinel gruppo di taskGestione sicurezzadelportafoglio. Da questa finestra, come illustrato nella Figura 13 a pagina 25, è possibilespostare o ridenominare oggetti e creare o modificare account, utenti, ruoli, principal, unitàaziendali e funzioni. Per istruzioni passo-passo sull’esecuzione di queste task, fareriferimento agli argomenti della guida in linea di Tivoli Assistant.

Figura 12. Finestra Visualizzazione proprietà utente

24 Versione 1.2

Gestione del registro di sicurezzaUna volta creati utenti, account e ruoli, è possibile organizzarli in parti logiche. All’internodel registro di sicurezza, è possibile creare unità aziendali, vale a dire dei contenitori pertutti gli oggetti di sicurezza. Questi contenitori possono essere utilizzati per organizzare glioggetti di sicurezza in base alle unità dipartimentali o aziendali all’interno di una società odi qualsiasi altra divisione logica.

Dopo aver definito le unità aziendali, è possibile associarvi gli oggetti di sicurezza. Èpossibile creare e mantenere queste associazioni manualmente oppure è possibile utilizzaredei filtri per la creazione dinamica di tali associazioni. Questi filtri, o query, associano utentia ruoli ed account, oppure funzioni e condizioni di accesso a target e così via.

Le query vengono create mediante i tipi di classe oggetto, vale a dire immissione dati ooggetti presenti nel registro di sicurezza. Le query che utilizzano i tipi di classe oggettopossono essere molto generali e di alto livello, come il filtraggio di tutti gli utenti o ruoli omolto dettagliate, come il filtraggio basato sul cognome dell’utente o sul numero di telefono.Modificando i dati, vengono modificate anche le associazioni tra gli oggetti.

Per ulteriori informazioni sul registro di sicurezza, la relativa organizzazione e lapianificazione degli aspetti della sicurezza, fare riferimento aPianificazione di Tivoli KernelServices.

Copia di oggetti nel registro di sicurezzaEsistono varie ragioni che spingono a copiare gli oggetti nel registro di sicurezza. Adesempio, la creazione di un ruolo che sia solo leggermente diverso da un altro ruolo. Èpossibileclonare, oppure copiare e ridenominare, il ruolo attenendosi alla seguenteprocedura:

Figura 13. Finestra Registro di sicurezza


3.G

estionesicurezza


2. Nella finestra Registro di sicurezza, individuare il ruolo che si desidera copiare.

3. Fare clic con il tasto destro del mouse sul ruolo e selezionareCopia dal menu dicontesto.

4. Selezionare la directory in cui si desidera inserire il ruolo.

5. Dal menuModifica , selezionareIncolla.

6. Fare clic con il tasto destro del mouse sul nuovo ruolo e selezionareRidenomina dalmenu di contesto.

7. Immettere un nome significativo per il nuovo ruolo.

Gli oggetti persona nella cartellaSuperAdministrators vengono considerati in modospeciale. Quando i nuovi ruoli vengono aggiunti al sistema, a tutti gli oggetti personapresenti nella cartellaSuperAdministrators viene assegnato il nuovo ruolo. Alla personarisultano assegnati tutti i ruoli aggiunti dopo l’aggiunta della persona. Per questo motivo, sesi desidera creare persone a cui siano assegnati tutti i ruoli del sistema, è necessario copiaree ridenominare la persona. Ad esempio:


2. Nella finestra Registro di sicurezza, aprire la cartellasecurity → SuperAdministrators.

3. Fare clic con il tasto destro del mouse sulla personaJohn D. Supere selezionareCopiadal menu di contesto.

4. Selezionare la cartellaSuperAdministrators.

5. Dal menuModifica , selezionareIncolla per eseguire una copia dell’oggetto persona. Perdefault, il nuovo nome saràJohn D. Super1.

6. Fare doppio clic suJohn D. Super1e modificare le informazioni sull’utente peridentificare correttamente la persona.

7. Assegnare all’utente un nuovo account di registrazione con un nome utente ed unapassword aggiornati.

Ricerca di oggetti nel registro di sicurezzaPer creare una query di filtro per la ricerca nel registro di sicurezza di oggetti corrispondenti,selezionare la taskRicerca sicurezzanel gruppo di taskGestione sicurezzadel portafoglio.Da questa finestra, illustrata nella Figura 14 a pagina 27, è possibile ricercare utenti, ruoli,account, funzioni e target presenti nel registro di sicurezza. Per istruzioni passo-passosull’esecuzione di queste task, fare riferimento agli argomenti della guida in linea di TivoliAssistant.

26 Versione 1.2

Figura 14. Ricerca nel registro di sicurezza


3.G

estionesicurezza

28 Versione 1.2

Gestione registrazione

Il Il gruppo di taskGestione registrazionevisualizza le task di gestione relative allaregistrazione del sistema. Il termineregistrazionefa riferimento ai messaggi e ai dati creatiin un componente o applicazione e inviati a una destinazione di output, quale un file, undatabase, un pannello di console e così via. Tivoli Kernel Services supporta due tipi diregistrazione:

¶ Locale, vale a dire in un singolo ambiente

¶ Distribuita, ossia in più ambienti.

Il sottosistema Registrazione di Tivoli Kernel Services utilizza vari oggetti per registrareeventi di sistema. Questi oggetti includono registratori, handler e filtri (definiti anchemaschere). Iregistratori sono oggetti software che registrano eventi che si verificano durantel’esecuzione di un componente. Il sottosistema Registrazione supporta due tipi di registratori:registratori di messaggi e registratori di traccia.

I registratori di messaggivengono utilizzati per registrare messaggi di testo da uncomponente di Tivoli Kernel Services. Questi messaggi sono internazionali per le singolelocale. Il tipi di messaggi associati ad un registratore di messaggi, abilitati per default,includono:

Messaggi informativiIndicano condizioni che sono degne di nota ma non richiedono che l’utenteprenda eventuali precauzioni o intraprenda eventuali azioni.

Messaggi di avvertenzaInformano che è stata rilevata una condizione di cui l’utente deve essere aconoscenza, ma che non richiede necessariamente un’azione da partedell’utente. Questo tipo di messaggi, ad esempio, può indicare che un aspettodi un programma non è stato eseguito come previsto; tuttavia, essendo stati

Figura 15. gruppo di task Gestione registrazione

4


4.G

estioneregistrazione

applicati i valori predefiniti, il programma può continuare a funzionare anchese è necessario esaminare la validità dell’output.

Messaggi di erroreInformano l’utente di eventi gravi, ad esempio l’errore di un componentedurante la scrittura di una voce di database.

Messaggi di errori irreversibiliIndicano gli errori più gravi, ad esempio gli errori che richiedono che unORB venga riavviato o che un componente venga chiuso per impossibilità direcupero da un errore.

I registratori di tracciavengono utilizzati per catturare informazioni sul sistema operativoquando il codice del componente non funziona come previsto. Il Servizio supporto tecnicoclienti di Tivoli utilizza le informazioni catturate dai registratori di traccia per individuare leorigini di un problema o stabilire il motivo dell’errore. Generalmente, queste informazionisono per default non abilitate. Essendo concepiti per supporto personale, i messaggi ditraccia vengono generalmente scritti in un file che possa essere visualizzato duranteun’analisi postmortem.

Gli handlersono oggetti software che inviano a una destinazione i messaggi registrati da unregistratore. I messaggi possono essere inviati a un file, a un database, a un pannello diconsole o ad altre destinazioni. Per inviare le informazioni registrate da un registratore alladestinazione desiderata, associare gli handler ai registratori.

I filtri possono essere applicati ai registratori, agli handler o a entrambi. Quando applicato adun registratore, il filtro determina i tipi di record di messaggi e di traccia elaborati dalregistratore. Quando applicato ad un handler, il filtro determina i tipi di record di messaggi edi traccia inviati dall’handler ad una destinazione. I filtri confrontano un tipo di record diregistrazione con un set di criteri o una query, contenuta nel filtro.

Se sono presenti molti registratori, handler e filtri, la gestione registrazione da eseguirediventa notevole. Per ridurre tale attività, è possibile creare dei gruppi. Ungruppocontieneregistratori, handler o maschere con proprietà comuni. Creando dei gruppi, i registratori, glihandler o le maschere creati di recente, le cui proprietà non sono impostate, possonoereditare dal gruppo i valori per quelle proprietà. Se vengono aggiornate le proprietà di unregistratore, di un handler o di una maschera appartenenti ad un gruppo, viene aggiornata lastessa proprietà di tutti gli altri registratori, handler o maschere di quel gruppo. In questomodo, non è più necessario aggiornare le proprietà dei singoli registratori, handler emaschere.

Visualizzazione delle registrazioniPer visualizzare tutte le registrazioni del sistema, selezionare la taskVisualizzazione di tuttele registrazioni dal gruppo di taskGestione registrazionedel portafoglio. Per visualizzareinformazioni dettagliate sulle registrazioni traducibili del sistema, selezionare lataskVisualizzazione registrazioni tradottedal gruppo di taskGestione registrazionedelportafoglio. La finestra Visualizzazione registrazioni tradotte è uguale alla finestraVisualizzazione di tutte le registrazioni. Dalla finestra Visualizzazione di tutte leregistrazioni, come illustrato nella Figura 16 a pagina 31, è possibile selezionare una voce diregistrazione particolare e visualizzarne nei dettagli il contenuto. Per istruzioni passo-passo

30 Versione 1.2

sull’esecuzione di queste task, fare riferimento agli argomenti della guida in linea di TivoliAssistant.

Configurazione di registratori, handler e mascherePer visualizzare, configurare e accedere ai registratori del sistema, agli handler ed allemaschere di un’installazione di Tivoli Kernel Services, selezionare la taskConfigurazioneregistrazione dal gruppo di taskGestione registrazionedel portafoglio. Dalla finestraConfigurazione registrazione, come illustrato nella Figura 17 a pagina 32, è possibile gestire iregistratori, gli handler e le maschere, ad esempio modificarne le proprietà, visualizzarne glioggetti di registrazione associati o eliminarli. Per istruzioni passo-passo sull’esecuzione diqueste task, fare riferimento agli argomenti della guida in linea di Tivoli Assistant. Prima dieseguire queste task, fare riferimento aRisoluzione dei problemi di Tivoli Kernel Servicesper informazioni sulla configurazione e l’impostazione della registrazione, inclusa laconfigurazione degli handler del database.

Figura 16. Finestra Visualizzazione di tutte le registrazioni


4.G

estioneregistrazione

Figura 17. Finestra Configurazione registrazione

32 Versione 1.2

Amministrazione software di gestione

In un sistema distribuito su vasta scala come Tivoli Kernel Services, le applicazionirichiedono dati di preferenza e di configurazione da adattare ad ambienti diversi. Leapplicazioni richiedono inoltre un sistema per memorizzare, richiamare e modificare questidati, indipendentemente da dove siano situati. Ciò si ottiene mediante la configurazione e lagestione degli oggetti di sistema e delle comunicazioni di sistema. Il Il gruppo di taskAmministrazione software di gestionefornisce le task di gestione globale del sistema,incluse le task per la gestione e la distribuzione di componenti e le task per la gestione didirectory, eventi, comunicazioni ORB e set di ORB.

Gestione ORB e set di ORBUn ORB (object request broker) di Tivoli Kernel Services fornisce l’accesso remoto e lacomunicazione a componenti, servizi ed oggetti del sistema. Gli ORB, inoltre, gestiscono unoggetto in tutto il suo ciclo di vita, instradando gli oggetti nel sistema distribuito. Ogni ORBfornisce meccanismi di comunicazione, utilizzati da altri componenti del sistema percomunicare. Quando un ORB viene eseguito, vari servizi e componenti comunicano inremoto con l’ORB. Per gestire questo accesso remoto, l’ORB genera deiproxy, oggettiparticolari utilizzati in sostituzione degli oggetti remoti.

In Tivoli Kernel Services, esiste un raggruppamento logico degli ORB contenenti icomponenti che eseguono insieme una particolare funzione (ad esempio la sicurezza). Questigruppi logici sono definitidomini e vengono implementati utilizzando i set di ORB. Ilraggruppamento di ORB in set di ORB riduce il lavoro di configurazione associando i datidi configurazione specifici per una risorsa ad un gruppo di ORB rappresentato da un set diORB. Quando i componenti vengono mantenuti o aggiornati oppure quando le macchine e

Figura 18. Gruppo di task Amministrazione software di gestione

5


5.A

mm

inistrazionesoftw

aredigestione

gli ORB vengono aggiunti al sistema distribuito, gli ORB assimilano automaticamente leinformazioni sulla configurazione del set di ORB in cui sono stati inseriti.

Un set di ORB di default, chiamato.allorbs, è stato creato per l’utente durantel’installazione di Tivoli Kernel Services. Questo set di ORB consente all’utente di impostarei dati di configurazione che verranno letti da ciascun ORB del sistema. Un altro set di ORBdi default, che include i dati di configurazione di default di sola lettura per tutti gli ORB e icomponenti di Tivoli Kernel Services, è.orbdefaults.

Per semplificare la gestione delle applicazioni di Tivoli Kernel Services, è possibile crearealtri set di ORB. I set di ORB creati dati forniscono dati di configurazione specifici esostituiscono i valori di default presenti in.allorbs e .orbdefaults. Inoltre, tutti i dati diconfigurazione impostati per i singoli ORB di quel set di ORB sostituiscono i valori fornitiper il set di ORB a cui appartengono. Questo tipo di eredità inversa viene denominatadiunione. L’ordine per l’applicazione dei dati di configurazione è di seguito riportato:

1. Dati di configurazione specifici dell’ORB

2. Dati di configurazione del set di ORB

3. Dati di configurazione di.allorbs

4. Dati di configurazione di.orbdefaults

Inoltre, quando si distribuisce Tivoli Kernel Services, vengono creati automaticamente i setdi ORB di seguito riportati:

¶ DefaultRegion, che annida tutti gli ORB che fanno parte dell’area di default,attualmente definiti come tutti gli ORB presenti nell’installazione, come di seguitoriportato:

v orbsInDefaultRegion, che comprende tutti gli ORB che fanno parte dell’area didefault e annida i seguenti set di ORB:

– endpointsInDefaultRegion, un set di ORB di tutti i server dell’endpoint gestitida questa installazione di Tivoli Kernel Services.

– consolesInDefaultRegion, un set di ORB di tutte le macchine su cui TivoliConsole è abilitato all’esecuzione in questa installazione di Tivoli KernelServices.

– serversInDefaultRegion, un set di ORB di tutti i server in questa installazione diTivoli Kernel Services dedicati all’esecuzione del codice di Tivoli KernelServices. I server di Tivoli Kernel possono essere definiti come gateway o comeserver da utilizzare per scopi generali.

¶ installationDepotOrbset, un set di ORB di un unico ORB, il depot di installazione, dacui vengono forniti tutti i componenti di Tivoli Kernel Services.

¶ default_nat, un set di ORB utilizzato per memorizzare la configurazione del NAT(network address translation) di default in un’installazione. Non modificare questo set diORB e non distribuire componenti in questo set di ORB.

Per visualizzare, configurare e accedere agli ORB, ai set di ORB ed ai componenti distribuitiin un’installazione di Tivoli Kernel Services, selezionare la taskGestione ORBdal gruppodi taskAmministrazione software di gestionedel portafoglio. La finestra Gestione ORB,come illustrato nella Figura 19 a pagina 35, visualizza gli ORB, i set di ORB e i componenti

34 Versione 1.2

distribuiti (inclusi i set di ORB di default precedentemente esaminati) in una struttura adalbero.

Da questa finestra, è possibile spostarsi tra gli ORB, i set di ORB ed i componenti,ridenominare gli oggetti, aggiornare i componenti e creare nuovi set di ORB. Per istruzionipasso-passo sull’esecuzione di queste task, fare riferimento agli argomenti della guida inlinea di Tivoli Assistant.

Gestione e distribuzione di componentiOgni elemento di Tivoli Kernel Services viene considerato uncomponente, vale a dire uncodice o dato che può essere installato, eseguito o aggiornato. Un componente può essere unservizio o un set di codici utilizzato per implementare funzioni direttamente utilizzate daun’altra parte del sistema distribuito. Può essere inoltre utilizzato da altri componenti performare un sistema distribuito perfettamente funzionante. Tutte le attività di installazione emanutenzione del sistema vengono gestite in termini di componenti.

depot componentiè il database di tutti i componenti che possono essere utilizzati nel sistemadistribuito. Per visualizzare informazioni dettagliate sui componenti installati nel depotcomponenti, selezionare la taskVisualizzazione depot componentidal gruppo di taskAmministrazione software di gestionedel portafoglio. Dalla finestra Visualizzazione depotcomponenti, illustrata nella Figura 20 a pagina 36, è possibile configurare e rimuovere i

Figura 19. Finestra Gestione ORB


5.A

mm

inistrazionesoftw

aredigestione

componenti. Per istruzioni passo-passo sull’esecuzione di queste task, fare riferimento agliargomenti della guida in linea di Tivoli Assistant.

Per visualizzare informazioni dettagliate sugli spazinome, i set di ORB e i componentidistribuiti nei set di ORB, selezionare la taskDistribuzione in set di ORB dal gruppo ditaskAmministrazione software di gestionedel portafoglio. Dalla finestra Distribuzione inset di ORB, illustrata nella Figura 21 a pagina 37, è possibile distribuire i componenti in setdi ORB esistenti. È inoltre possibile gestire gli spazinome e i set di ORB ed eseguire varietask relative ai componenti, quali la configurazione, l’aggiornamento, la rimozione ed ilrollback dei componenti. Per istruzioni passo-passo sull’esecuzione di queste task, fareriferimento agli argomenti della guida in linea di Tivoli Assistant.

Figura 20. Finestra Visualizzazione depot componenti

36 Versione 1.2

Un’installazione di Tivoli Kernel Services è composta da numerosi componenti, visualizzatinella finestra Visualizzazione depot componenti. Tuttavia, solo un numero limitato di questicomponenti può essere considerato adatto alla distribuzione, o disponibile, per un ORB o unset di ORB specifico. Questi componenti includono:

¶ Componenti di Component Manager

v ComponentDistributionServices

v PndScheduler

Nota: I componenti di ComponentDistributionService e PndScheduler devono esseredistribuiti insieme (nello stesso set di ORB con la stessa azione di distribuzione).

¶ Componenti di directory

v slash

v dirservice

¶ Componenti di gateway

v GatewayIPService

v GatewaySNMPService

v NelService

¶ Componenti di registrazione

v registrazione

Figura 21. Finestra Distribuzione in set di ORB


5.A

mm

inistrazionesoftw

aredigestione

¶ Componenti di sicurezza

v AuthenticationService

v SecurityDirectoryService

v RemoteAuthenticationService

¶ Componente di Service Manager

v dsm

Gestione di directoryLa directory di Tivoli Kernel Services viene principalmente utilizzata come punto diancoraggio per l’accesso alle informazioni presenti nel sistema distribuito. Tutti gli ORBhanno accesso alla directory, per cui, ciascun componente in esecuzione su un ORB haaccesso alla stessa directory. La directory fornisce l’accesso alle informazioni mediante icontesti. Uncontestoè un contenitore che gestisce gli oggetti ad un certo livello nelladirectory. Esistono due tipi di contesti: il contesto ORB locale e il contesto slash.

Il contesto ORB localerappresenta il contesto di livello superiore di un ORB ed è l’oggettoprincipale su cui vengono eseguite tutte le operazioni del servizio di directory. Ilcontestoslashfornisce e mantiene i servizi di directory nei limiti di una sessione per tutto il processodi installazione di Tivoli Kernel Services. Il contesto slash è contenuto in un database didirectory, un database relazionale la cui ubicazione viene definita durante l’installazione.Questo database viene utilizzato per memorizzare le informazioni sulla configurazione. Ilservizio di directory dipende dal database anche per una memorizzazione sicura delleinformazioni sull’origine dei dati. Il contesto slash viene eseguito come un servizio(denominato slash) e viene avviato da Service Manager quando il servizio slash èconfigurato per l’esecuzione su un ORB.

Per visualizzare e accedere agli oggetti di directory in un’installazione di Tivoli KernelServices, selezionare la taskVisualizzazione directory dal gruppo di taskAmministrazionesoftware di gestionedel portafoglio. La finestra Visualizzazione directory, illustrata nellaFigura 22 a pagina 39, visualizza gli oggetti di directory in una struttura ad albero.

38 Versione 1.2

Da questa finestra, è possibile spostarsi nella directory, accedere ai contesti ORB locale eslash, creare nuove cartelle di directory, ridenominare le cartelle di directory esistenti evisualizzare e configurare gli attributi di directory. Per istruzioni passo-passo sull’esecuzionedi queste task, fare riferimento al sistema della guida in linea di Tivoli Assistant.

Gestione di eventiMessaging Service fornisce un servizio di eventi generico. Tale servizio viene realizzatodall’utilizzo del modello di comunicazione publish/subscribe. In questo modello, un editore èun componente che pubblica i messaggi in un argomento. La pubblicazione in un argomentoconsente a un editore di generare un messaggio e di inviarlo all’argomento. Un argomento èun oggetto software che definisce i criteri dei messaggi. Gli argomenti sono organizzatigerarchicamente, per cui i componenti e i servizi possono sottoscrivere argomenti di livello

Figura 22. Finestra Visualizzazione directory


5.A

mm

inistrazionesoftw

aredigestione

elevato o limitato. Un sottoscrittore è un componente che richiede informazioni su unargomento. I sottoscrittori utilizzano i filtri per ricevere messaggi specifici e pertinenti.

Per visualizzare i componenti di sistema mediante Messaging Service, selezionare la taskGestione ORBdal gruppo di taskAmministrazione software di gestionedel portafoglio.Dalla finestra Gestione ORB, illustrata nella Figura 19 a pagina 35, fare clic con il tastodestro del mouse e selezionareVisualizza statistiche Messaging Service. Dalla finestraStatistiche di Messaging Service, illustrata nella Figura 23, è possibile visualizzare omodificare le statistiche di Messaging Service. Per istruzioni passo-passo sull’esecuzione diqueste task, fare riferimento al sistema della guida in linea di Tivoli Assistant.

Gestione delle comunicazioniUn’installazione di Tivoli Kernel Services è composta da quanto di seguito riportato:

¶ Un set di server, in grado di supportare l’infrastruttura e le applicazioni di gestione

¶ Un set di periferiche, che rappresentano le risorse fisiche da gestire.

Figura 23. Finestra Statistiche di Messaging Service

40 Versione 1.2

Le periferiche, o endpoint, sono gestite e controllate dagliagenti, vale a dire da entitàsoftware che vengono eseguite sugli endpoint e che forniscono funzioni di gestione per altrosoftware o hardware. Tivoli Kernel Services supporta gli agenti SNMP con il gatewayappropriato e comunica con tali agenti utilizzando il corretto protocollo.

Nota: Ciascun oggetto presente nel percorso per accedere ad un’unità di rete—il NELService, il Gateway e l’unità stessa—è soggetto a verifiche dell’autorizzazione. Perinformazioni che descrivono i requisiti di sicurezza per l’utilizzo di questicomponenti, fare riferimento alla sezione “Uso di NEL Service e di Gateway in unambiente sicuro” a pagina 49.

Gestione di gatewayGateway Service gestisce le comunicazioni ed i collegamenti tra un gruppo di endpoint eTivoli Kernel Services. Il gateway riceve gli eventi dalle risorse e li invia alle partiinteressate all’interno del sistema distribuito. NEL (Network Endpoint Locator) Service è ilcomponente di Tivoli Kernel Services che verifica l’accesso di sicurezza ad una risorsa eseleziona il gateway migliore per la comunicazione tra un’applicazione e l’endpointmediante un oggetto di azione. Un oggetto di azione rappresenta il collegamento traun’applicazione e una risorsa. Gli oggetti di azione vengono creati dai componenti e sispostano nell’ubicazione (generalmente un gateway) in cui possono essere eseguite leoperazioni secondarie. Gli oggetti di azione trasferiscono i comandi e i dati da e verso larisorsa attraverso i percorsi richiesti.

Per visualizzare e modificare il NEL Service, selezionare la taskVisualizzazione depotcomponenti dal gruppo di taskAmministrazione software di gestionedel portafoglio.Dalla finestra Visualizzazione depot componenti, illustrata nella Figura 20 a pagina 36, fareclic con il tasto destro del mouse sul componenteNelServicee selezionareModificaproprietà . Dalla finestra Modifica della configurazione di NelService, illustrata nellaFigura 24, vengono visualizzati i gateway di default e definiti dall’utente.

Da questa finestra, è possibile spostarsi nell’elenco di gateway definiti dall’utente, crearenuovi gateway e configurare i gateway. Per istruzioni passo-passo sull’esecuzione di questetask, fare riferimento al sistema della guida in linea di Tivoli Assistant.

Per visualizzare e modificare il gateway IP o il gateway SNMP, selezionare la taskVisualizzazione depot componentidal gruppo di taskAmministrazione software digestionedel portafoglio. Dalla finestra Visualizzazione depot componenti, fare clic con il

Figura 24. Modifica delle proprietà di NelService


5.A

mm

inistrazionesoftw

aredigestione

tasto destro del mouse sul componenteGatewayIPServiceo sul componenteGatewaySNMPServicee selezionareModifica proprietà . Nella finestra Modificaconfigurazione di GatewayIPService, illustrata nella Figura 25 o nella finestra Modificaconfigurazione di GatewaySNMPService, vengono visualizzate le informazioni sullaconfigurazione del gateway IP.

Da questa finestra, è possibile configurare un gateway IP. Per istruzioni passo-passosull’esecuzione di queste task, fare riferimento al sistema della guida in linea di TivoliAssistant.

Gestione della configurazione dell’unità SNMPÈ possibile configurare le informazioni sull’unità SNMP, ad esempio i nomi community dilettura e di scrittura, il numero di porta SNMP, i contatori dei tentativi e le soglie di timeout.Le informazioni memorizzate come dati di configurazione e utilizzate quando si stabilisconole sessioni con gli agenti SNMP, possono essere configurate per una singola risorsa, ungruppo di risorse o un’intera sottorete, in base all’indirizzo di rete specificato.

È inoltre possibile creare e associare configurazioni SNMP con un NAT (network addresstranslation). Un NAT rappresenta uno spazionome in cui gli indirizzi IP sono univoci.Creando un NAT, è possibile suddividere l’installazione in spazinome di rete IP privati, pergarantire una destinazione univoca ai dati inviati ad un indirizzo IP che possono trovarsi inpiù spazinome di rete IP.

Per poter utilizzare le visualizzazioni delle GUI della configurazione SNMP, è necessariodistribuire il servizio IpConfigImpl in orb.1 o in orb.2. Per distribuire il servizio dalla rigacomandi, utilizzare il comando di seguito riportato doveorb_oid e orbset_oidrappresentanol’identificativo di oggetto dell’ORB o del set di ORB a cui si desidera distribuire il servizio:

wcmd cds deploy [email protected]{ orb_oid | orbset_oid}

Ad esempio:wcmd cds deploy [email protected]

2.d3b096df447cef5f.1.2c27b7076f1e5965

Nota: Questo comando di distribuzione deve essere eseguito da orb.1.

Figura 25. Modifica proprietà di GatewayIPService

42 Versione 1.2

Per visualizzare e configurare le informazioni sull’unità SNMP, selezionare la taskVisualizzazione configurazione SNMPdal gruppo di taskAmministrazione software digestionedel portafoglio. La finestra Visualizzazione configurazione unità SNMP, illustratanella Figura 26, visualizza le informazioni sulla configurazione in una struttura ad alberoorganizzata da NAT.

Da questa finestra, è possibile creare nuovi NAT, gestire la configurazione dell’unità SNMPdi default per un NAT e gestire la configurazione dell’unità SNMP per singoli indirizzi IP ointervalli di indirizzi IP. Per istruzioni passo-passo sull’esecuzione di queste task, fareriferimento agli argomenti della guida in linea di Tivoli Assistant.

Figura 26. Finestra Visualizzazione configurazione unità SNMP


5.A

mm

inistrazionesoftw

aredigestione

44 Versione 1.2

Ruoli definiti dal sistema

In Tivoli Kernel Services sono stati definiti numerosi ruoli di sicurezza per l’uso da partedell’utente. Questi ruoli presentano un set predefinito di condizioni di accesso per consentireagli utenti l’accesso corretto al sistema. I ruoli possono essere copiati o modificati perrispondere alle necessità dell’utente. Molti ruoli vengono utilizzati internamente da TivoliKernel Services e non devono essere modificati.

Le tabelle di seguito riportate visualizzano e descrivono tutti i ruoli di sistema. I ruoli sonodivisi in vari percorsi di directory all’interno del registro di sicurezza.

Tabella 6. Ruoli presenti nella directory Applications/ del registro di sicurezzaApplications/

TES/01/roles/MetaTESAdmin Un ruolo dell’amministratore per la risorsaMetaTES.

Tabella 7. Ruoli presenti nella directory PS/PSServer/Roles/ del registro di sicurezzaPS/PSServer/Roles/

com.Tivoli.pf.pfconsole.Impl/1.2.0/ConsoleUsers Un ruolo di base assegnatoautomaticamente a un qualsiasi utente delregistro di sicurezza. Fornisce l’accesso perla registrazione in Tivoli Console.

com.Tivoli.pf.pfconsole.Impl/1.2.0/MCFulRole Un ruolo di base assegnatoautomaticamente a un qualsiasi utente delregistro di sicurezza. Fornisce l’accesso agliutenti per l’esecuzione delle task in TivoliConsole.

MACImpl/5.2.0/MACInstallUser Un ruolo che consente agli utenti dieseguire tutte le funzioni di gestione delsistema. Fornisce l’accesso a tutte le taskall’interno di tutti i gruppi di task.

MACImpl/5.2.0/MACLimitedSecurityUser Un ruolo che consente agli utenti divisualizzare le informazioni sulla sicurezzarelative all’utente e all’account con cuil’utente si è registrato sulla console e diricercare le risorse di sicurezza. Forniscel’accesso alle task Visualizzazione proprietàutente e Ricerca sicurezza del gruppo ditask Gestione sicurezza.

A


A.

Ruolidefinitidal

sistema

Tabella 7. Ruoli presenti nella directory PS/PSServer/Roles/ del registro disicurezza (Continua)PS/PSServer/Roles/

MACImpl/5.2.0/MACLoggingUser Un ruolo che consente agli utenti dieseguire le funzioni di gestione dellaregistrazione. Fornisce l’accesso a tutte letask all’interno del gruppo di task Gestioneregistrazione.

MACImpl/5.2.0/MACOrbUser Un ruolo che consente agli utenti dieseguire le funzioni di gestione di ORB, setdi ORB, componenti e collegamento dati.Fornisce l’accesso alle task Gestione ORB,Visualizzazione collegamenti ai dati eVisualizzazione configurazione SNMP.

MACImpl/5.2.0/MACResourceUser Un ruolo che consente agli utenti dieseguire le funzioni di gestione delladirectory. Fornisce l’accesso alla taskVisualizzazione directory.

MACImpl/5.2.0/MACSecurityUser Un ruolo che consente agli utenti dieseguire le funzioni di gestione dellasicurezza. Fornisce l’accesso a tutte le taskall’interno del gruppo di task Gestionesicurezza.

MACImpl/5.2.0/MACSeniorUser Un ruolo che consente agli utenti dieseguire tutte le funzioni di gestione delsistema. Fornisce l’accesso a tutte le taskall’interno di tutti i gruppi di task.

Tabella 8. Ruoli presenti nella directory security/roles/ del registro di sicurezzasecurity/roles/

Administrator Un ruolo che fornisce l’accesso completo a tutti glioggetti del registro di sicurezza.

User Administrator Un ruolo che fornisce l’autorizzazione alla gestione diaccount e persone ma non di ruoli. Consente diaggiungere, eliminare e modificare gli account e lepersone in qualsiasi punto del registro di sicurezza adeccezione della directory di sicurezza. Non forniscel’autorizzazione per l’utilizzo dei comandi di sicurezzadella CLI.

wcmdRole Un ruolo che fornisce l’accesso a tutti i comandi dellaCLI di sicurezza. Deve essere assegnato solo ai superamministratori.

Tabella 9. Ruoli presenti nella directory system/roles/ del registro di sicurezzasystem/roles/

Bootprint Installer Un ruolo che fornisce l’accesso ai bootprint diinstallazione.

Database Admin Un ruolo che fornisce l’accesso per la gestione di tuttigli oggetti SimpleDataSource presenti nella directory disistema del registro di sicurezza.

46 Versione 1.2

Tabella 9. Ruoli presenti nella directory system/roles/ del registro disicurezza (Continua)system/roles/

Logging Administrator Un ruolo che fornisce l’autorizzazione alla gestione diregistratori, handler e filtri (maschere).

System Administrator Un ruolo che fornisce all’utente finale l’accesso a tutti iservizi di Tivoli Kernel Services ad eccezione delregistro di sicurezza. Fornisce inoltre l’accesso a tutti icomandi della CLI ad eccezione dei comandi disicurezza.

View Application Data Un ruolo che fornisce l’accesso per la visualizzazionedi tutti gli oggetti del registro di sicurezza presentinella directory di applicazione del registro di sicurezza.

View System Data Un ruolo che fornisce l’accesso per la visualizzazionedi tutti gli oggetti del registro di sicurezza presentinella directory di sistema del registro di sicurezza.

Tabella 10. Ruoli presenti nella directory system/services/roles/ del registro disicurezzasystem/services/roles/

CfgUsingDirectory Un ruolo per solo uso interno utilizzato dal servizio diconfigurazione. Non modificare, eliminare o assegnarequesto ruolo.

DirectoryService Un ruolo che fornisce l’accesso completo a DirectoryService. Non eliminare questo ruolo, in quanto vieneutilizzato dai servizi interni.

gateway/JrDeviceAdmin Un ruolo che fornisce l’accesso deviceExe ai gruppi diunità che l’amministratore di un registro di sicurezzaconfigura come target.

gateway/DeviceAdmin Un ruolo che fornisce l’accesso deviceRead e deviceExeai gruppi di unità che l’amministratore di un registro disicurezza configura come target.

gateway/SrDeviceAdmin Un ruolo che fornisce l’accesso deviceRead, deviceWritee deviceExe ai gruppi di unità che l’amministratore di unregistro di sicurezza configura come target.

gateway/SuperDeviceAdmin Un ruolo che fornisce l’accesso deviceRead, deviceWritee deviceExe a tutte le unità.

gateway/JrGatewayAdmin Un ruolo che fornisce l’accesso di lettura alle istanze delgateway che l’amministratore di un registro di sicurezzaconfigura come target.

gateway/GatewayAdmin Un ruolo che fornisce l’accesso di lettura ed esecuzionealle istanze del gateway che l’amministratore di unregistro di sicurezza configura come target.

gateway/SrGatewayAdmin Un ruolo che fornisce l’accesso di lettura, scrittura edesecuzione alle istanze del gateway che l’amministratoredi un registro di sicurezza configura come target.

gateway/SuperGatewayAdmin Un ruolo che fornisce l’accesso di lettura, scrittura edesecuzione a tutte le istanze del gateway.


A.

Ruolidefinitidal

sistema

Tabella 10. Ruoli presenti nella directory system/services/roles/ del registro disicurezza (Continua)system/services/roles/

KernelService Un ruolo per solo uso interno per Tivoli Kernel Services.Non modificare o eliminare questo ruolo.

nels/JrNELSAdmin Un ruolo che fornisce l’accesso di lettura alle istanze diNEL Service che l’amministratore di un registro disicurezza configura come target.

nels/NELSAdmin Un ruolo che fornisce l’accesso di lettura ed esecuzionealle istanze di NEL Service che l’amministratore di unregistro di sicurezza configura come target.

nels/SrNELSAdmin Un ruolo che fornisce l’accesso di lettura, scrittura edesecuzione alle istanze di NEL Service chel’amministratore di un registro di sicurezza configuracome target.

nels/SuperNELSAdmin Un ruolo che fornisce l’accesso di lettura, scrittura edesecuzione alle istanze di NEL Service.

48 Versione 1.2

Uso di NEL Service e di Gateway in unambiente sicuro

I componenti NEL (Network Endpoint Locator) Service e Gateway sono in grado disupportare un ambiente con più utenti, proteggendo le singole unità di rete dall’accesso daparte di utente non autorizzati. Ciascun oggetto presente nel percorso per accedere ad unaunità di rete—il NEL Service, il Gateway e l’unità stessa—è soggetto a verifiche relativeall’autorizzazione. Quindi, un utente che tenta di accedere ad una determinata unità deveessere autorizzato ad accedere a tre componenti: (1) NEL Service, che individua il gatewayper l’unità, (2) il gateway all’unità e (3) l’unità (endpoint). L’utente acquisisce i diritti diaccesso mediante l’autenticazione come principal nel registro di sicurezza, configurato per lecondizioni di accesso richieste.

Accesso a un’istanza di NEL ServiceNel registro di sicurezza sono presenti degli oggetti che rappresentano ogni singola istanzadi NEL Service presente in un’installazione di Tivoli Kernel Services. Gli oggetti di NELService presentano i nomi di seguito riportati, dovenomeorbè nel formatomacchina_porta.

system/services/nels/NELS_nomeorb

Esiste inoltre un oggetto che rappresenta tutte le istanze di NEL Service. Questo oggetto diNEL Service ha il nome di seguito riportato:

system/services/nels/NELS

I diritti di accesso associati a NEL Service sono tre:lettura, scrittura ed esecuzione. Quandosi esegue un’azione di NEL Service, è necessario almeno uno di questi diritti. Ad esempio,per visualizzare i nomi dei NAT (network address translation) nell’installazione, l’utentedeve avere l’accesso di lettura all’istanza di NEL Service, mentre per risolvere un endpointmediante i dati di configurazione, l’utente deve avere l’accesso di esecuzione.

Il registro di sicurezza contiene ruoli predefiniti con diritti di accesso specifici. I ruolipredefiniti per l’accesso a NEL Service sono di seguito riportati:

system/services/roles/nels/SuperNELSAdminQuesto ruolo fornisce l’accesso di lettura, scrittura ed esecuzione a tutte le istanze diNEL Service.

system/services/roles/nels/SrNELSAdminQuesto ruolo fornisce l’accesso di lettura, scrittura ed esecuzione alle istanze di NELService che l’amministratore di sicurezza configura come target.

B


B.

Sicurezza

perN

EL

Service

eG

ateway

system/services/roles/nels/NELSAdminQuesto ruolo fornisce l’accesso di lettura ed esecuzione alle istanze di NEL Serviceche l’amministratore di sicurezza configura come target.

system/services/roles/nels/JrNELSAdminQuesto ruolo fornisce l’accesso di lettura alle istanze di NEL Service chel’amministratore di sicurezza configura come target.

Inoltre, il ruolo system/services/roles/KernelServicefornisce l’accesso di lettura, scritturaed esecuzione a tutte le istanze di NEL Service.

Il ruolo SuperNELSAdmin viene applicato all’oggetto NEL Service complessivo, il chesignifica che l’accesso viene applicato a tutte le istanze di NEL Service. La maggior partedei ruoli, tuttavia, non presenta alcun oggetto target definito e l’amministratore di sicurezzadeve configurare le istanze di NEL Service a cui vengono applicati i ruoli. Per configurareun target per un ruolo, l’amministratore deve associare un oggetto sicuro ad una funzionepresente in un ruolo. I ruoli NEL Service predefiniti che richiedono la configurazione di untarget presentano le funzioni di seguito riportate:

¶ SuperNELSAdmin presenta la funzionesystem/services/roles/nels/SuperNELSAdmin/SuperNELSCapability.

¶ SrNELSAdmin presenta la funzionesystem/services/roles/nels/SrNELSAdmin/SrNELSCapability.

¶ NELSAdmin presenta la funzionesystem/services/roles/nels/NELSAdmin/NELSCapability.

¶ JrNELSAdmin presenta la funzionesystem/services/roles/nels/JrNELSAdmin/JrNELSCapability.

Nota: Prima di collegare i target statici ad un ruolo, si consiglia di creare un nuovo ruoloclonandoo copiando e ridenominando il ruolo predefinito.

Ad esempio, si supponga di voler configurare un ruolo con accesso di lettura, scrittura edesecuzione all’istanza di NEL Service in esecuzione sulla macchina sys1, porta 9990.

L’oggetto di NEL Service nel registro di sicurezza sarà denominatosystem/services/nels/NELS_sys1_9990ed il ruolo applicabile saràSrNELSAdmin , poichépresenta l’accesso di lettura, scrittura ed esecuzione.

Per associare il target desiderato alla funzione del ruolo:

1. Dal portafoglio, selezionareGestione sicurezza→ Visualizzazione utenti, risorse eruoli .

50 Versione 1.2

2. Nella finestra Registro di sicurezza, fare doppio clic susystem→ services→ roles → nelsper visualizzare i ruoli predefiniti di NEL Service.

3. Copiare e ridenominare il ruoloSrNELSAdmin come descritto nella sezione “Copia dioggetti nel registro di sicurezza” a pagina 25. In questo esempio, il nuovo ruolo èridenominatoSrNELSAdmin1.

4. Per modificare il ruolo recentemente creato, fare doppio clic sul ruolo.

5. Nella finestra Proprietà ruolo, selezionareSrNELSCapability (dalla tabella dellefunzioni) e fare clic suModifica .


B.

Sicurezza

perN

EL

Service

eG

ateway

6. Nella finestra Funzioni, selezionareTarget statici e fare clic suNuovo.

7. Nella finestra Selezione dei membri:

a. SelezionareNome completodall’elenco a discesaProprietà ed immettere il nomerisorsa, ad esempioNELS_sys1_9990, nella casella di testo.

b. Fare clic suEseguiper individuare la risorsa. Una volta individuata, la risorsa vienevisualizzata nella parte inferiore della finestra.

c. Selezionare la risorsa e fare clic suOK per aggiungerla all’elenco dei target statici.

8. Nella finestra Funzioni, fare clic suOK per salvare le modifiche.

Per associare il target desiderato alla funzione del ruolo, è possibile anche utilizzarel’interfaccia wcmd ssm, come di seguito riportato:

52 Versione 1.2

wcmd ssm modifyAttributes -p system/services/roles/nels/SrNELSAdmin/SrNELSCapability-op add staticTarget=system/services/nels/NELS_sys1_9990

I ruoli diventano utili solo quando vengono assegnati ai principal di sicurezza. Una personapuò quindi registrarsi come principal ed ottenere l’accesso a qualsiasi ruolo del principal.

I principal sono oggetti presenti nel registro di sicurezza, che possono essere creati dagliamministratori di sicurezza dell’installazione in base alle necessità. Si supponga che ilprincipal User1 sia stato creato nel registro con il seguente percorso:applications/test/principals/User1

Per assegnare un ruolo ad un principal, è possibile utilizzare la procedura illustrata nellasezione “Assegnazione di ruoli ad un utente” a pagina 18 o l’interfaccia della riga comandiwcmd ssm, come di seguito riportato:wcmd ssm modifyAttributes -p applications/test/principals/User1 -op addstaticRole=system/services/roles/nels/SrNELSAdmin

Gli utenti che eseguono la registrazione come principal User1, avranno l’accesso di lettura,scrittura ed esecuzione al servizio di NEL Service in esecuzione su sys1.

Accesso a un’istanza di GatewayGli aspetti di sicurezza del servizio Gateway sono analoghi a quelli di NEL Service.

Nel registro di sicurezza sono presenti degli oggetti che rappresentano ogni singola istanzadi Gateway presente in un’installazione di Tivoli Kernel Services. Gli oggetti di Gatewaypresentano i nomi di seguito riportati, dovetipo è il tipo SNMP o IP enomeorbè nelformatomacchina_porta.

system/services/gateway/Gatewaytype_orbname

Esiste inoltre un oggetto che rappresenta tutte le istanze di Gateway. Questo oggetto diGateway ha il nome di seguito riportato:

system/services/gateway/Gateway

I diritti di accesso associati all’oggetto Gateway sono tre:lettura, scrittura ed esecuzione.Quando si esegue un’azione di Gateway è necessario almeno uno di questi diritti. Adesempio, per ottenere lo stato del servizio Gateway, l’utente deve avere l’accesso di letturaall’istanza di Gateway.

Il registro di sicurezza contiene ruoli predefiniti con diritti di accesso specifici. I ruolipredefiniti per l’accesso a Gateway sono di seguito riportati:

system/services/roles/gateway/SuperGatewayAdminQuesto ruolo fornisce l’accesso di lettura, scrittura ed esecuzione a tutte le istanze diGateway.

system/services/roles/gateway/SrGatewayAdminQuesto ruolo fornisce l’accesso di lettura, scrittura ed esecuzione alle istanze diGateway che l’amministratore di sicurezza configura come target.

system/services/roles/gateway/GatewayAdminQuesto ruolo fornisce l’accesso di lettura ed esecuzione alle istanze di Gateway chel’amministratore di sicurezza configura come target.


B.

Sicurezza

perN

EL

Service

eG

ateway

system/services/roles/gateway/JrGatewayAdminQuesto ruolo fornisce l’accesso di lettura alle istanze di Gateway chel’amministratore di sicurezza configura come target.

Inoltre, il ruolo system/services/roles/KernelServicefornisce l’accesso di lettura, scritturaed esecuzione a tutte le istanze di Gateway.

Il ruolo SuperGatewayAdmin viene applicato all’oggetto Gateway complessivo, il chesignifica che l’accesso viene applicato a tutte le istanze di Gateway. La maggior parte deiruoli, tuttavia, non presenta alcun oggetto target definito e l’amministratore di sicurezza deveconfigurare le istanze di Gateway a cui vengono applicati i ruoli. Per configurare un targetper un ruolo, l’amministratore deve associare un oggetto sicuro ad una funzione presente inun ruolo. I ruoli Gateway predefiniti che richiedono la configurazione di un targetpresentano le funzioni di seguito riportate:

¶ SuperGatewayAdmin presenta la funzionesystem/services/roles/gateway/SuperGatewayAdmin/SuperGatewayCapability.

¶ SrGatewayAdmin presenta la funzionesystem/services/roles/gateway/SrGatewayAdmin/SrGatewayCapability.

¶ GatewayAdmin presenta la funzionesystem/services/roles/gateway/GatewayAdmin/GatewayCapability.

¶ JrGatewayAdmin presenta la funzionesystem/services/roles/gateway/JrGatewayAdmin/JrGatewayCapabilit.

Nota: Prima di collegare i target statici ad un ruolo, si consiglia di creare un nuovo ruoloclonandoo copiando e ridenominando il ruolo predefinito.

Ad esempio, si supponga di voler configurare un ruolo con accesso di sola lettura, all’istanzadi GatewayIP in esecuzione sulla macchina sys1, porta 9990.

L’oggetto di Gateway presente nel registro di sicurezza saràdenominatosystem/services/gateway/GatewayIP_sys1_9990ed il ruolo applicabile saràJrGatewayAdmin, poiché presenta l’accesso di sola lettura.



54 Versione 1.2

2. Nella finestra Registro di sicurezza, fare doppio clic susystem→ services→ roles →gatewayper visualizzare i ruoli predefiniti di Gateway.

3. Copiare e ridenominare il ruoloJrGatewayAdmin come descritto nella sezione “Copiadi oggetti nel registro di sicurezza” a pagina 25. In questo esempio, il nuovo ruolo èridenominatoJrGatewayAdmin1.


5. Nella finestra Proprietà ruolo, selezionareJrGatewayCapability (dalla tabella dellefunzioni) e fare clic suModifica .


B.

Sicurezza

perN

EL

Service

eG

ateway



a. SelezionareNome completodall’elenco a discesaProprietà ed immettere il nomerisorsa, ad esempioGatewayIP_sys1_9990, nella casella di testo.




Per associare il target desiderato alla funzione del ruolo, è possibile anche utilizzarel’interfaccia wcmd ssm, come di seguito riportato:wcmd ssm modifyAttributes -p system/services/roles/gateway/JrGatewayAdmin/JrGatewayCapability -opadd staticTarget=system/services/gateway/GatewayIP_sys1_9990

1I ruoli diventano utili solo quando vengono assegnati ai principal di sicurezza. Un utentepuò quindi registrarsi come principal ed ottenere l’accesso a qualsiasi ruolo del principal.

I principal sono oggetti presenti nel registro di sicurezza, che possono essere creati dagliamministratori di sicurezza dell’installazione in base alle necessità. Si supponga che ilprincipal User1 sia stato creato nel registro di sicurezza con il seguente percorso:applications/test/principals/User1

Per assegnare un ruolo ad un principal, è possibile utilizzare la procedura illustrata nellasezione “Assegnazione di ruoli ad un utente” a pagina 18 o l’interfaccia della riga comandiwcmd ssm, come di seguito riportato:wcmd ssm modifyAttributes -p applications/test/principals/User1 -op addstaticRole=system/services/roles/gateway/JrGatewayAdmin

Gli utenti che eseguono la registrazione come principal User1, avranno l’accesso di lettura alservizio GatewayIP in esecuzione su sys1.

56 Versione 1.2

Accesso a un’unità di rete (Endpoint)Poiché le unità di rete (endpoint) non sono oggetti di Tivoli Kernel Services, presentanoun’implementazione di sicurezza leggermente diversa.

Sarebbe impossibile rappresentare ogni singola unità di rete mediante un oggetto del registrodi sicurezza. Ogni unità, quindi, deve appartenere ad ungruppo di sicurezza unità, vale adire un oggetto sicuro su cui possono essere eseguite le verifiche relative all’autorizzazione.Alle unità non associate ad un gruppo di sicurezza unità non è possibile accedere mediantele interfacce NEL Service o Gateway, a meno che l’utente non abbia il ruoloSuperDeviceAdmin. (Gli utenti con questo ruolo possono accedere a qualsiasi unità.) Gliutenti che desiderano accedere alle unità associate ad un gruppo di sicurezza unità devonoavere il diritto di accesso al gruppo adeguato per poter accedere all’unità effettiva.

Per creare un gruppo di sicurezza unità nel registro di sicurezza, è possibile utilizzarel’interfaccia wcmd ipconfig:

wcmd ipconfig createSecGroupnomegruppo proprietariogruppo

Ad esempio:wcmd ipconfig createSecGroup FordDevices Ford

I nomi degli oggetti del gruppo di sicurezza unità presentano il seguente formato:

system/services/gateway/devices/unità_nomegruppo

Esiste inoltre un oggetto che rappresenta tutte le unità. Il nome di questo oggetto unità è diseguito riportato:

system/services/gateway/devices/Devices

Per associare un’unità o un gruppo di unità ad un gruppo di sicurezza unità, è possibileutilizzare l’interfacciawcmd ipconfig, come di seguito riportato:

wcmd ipconfig addNodeEntry indirizzoip GruppoSicurezzaunità=nomegruppo

La parte dell’indirizzo host dell’entrataindirizzoip può contenere un intervallo (ad esempio1-164) o l’asterisco (*) per rappresentare tutti gli host in una determinata sottorete.L’indirizzo può inoltre includere un identificativo NAT (network address translation). Perulteriori informazioni sull’uso dei comandiwcmd ipconfig, fare riferimento al manualeTivoli Kernel Services Command Reference.

I diritti di accesso associati all’oggetto unità sono tre: deviceExe, deviceRead e deviceWrite.Per eseguire operazioni di ping o di traceroute su un sistema, l’utente deve avere l’accessodeviceExe al gruppo di sicurezza dell’unità. Per eseguire i comandi SNMP GET oGETNEXT su un sistema, l’utente deve avere l’accesso deviceRead. Per eseguire i comandiSNMP SET su un sistema, l’utente deve avere l’accesso deviceWrite. Il registro di sicurezzafornisce ruoli predefiniti con diritti di accesso specifici alle unità. I ruoli predefiniti perl’accesso alle unità sono di seguito riportati:

system/services/roles/gateway/SuperDeviceAdminQuesto ruolo fornisce l’accesso deviceRead, deviceWrite e deviceExe a tutte le unità.


B.

Sicurezza

perN

EL

Service

eG

ateway

system/services/roles/gateway/SrDeviceAdminQuesto ruolo fornisce l’accesso deviceRead, deviceWrite e deviceExe ai gruppi diunità che l’amministratore di sicurezza configura come target.

system/services/roles/gateway/DeviceAdminQuesto ruolo fornisce l’accesso deviceRead e deviceExe ai gruppi di unità chel’amministratore di sicurezza configura come target.

system/services/roles/gateway/JrDeviceAdminQuesto ruolo fornisce l’accesso deviceExe ai gruppi di unità che l’amministratore disicurezza configura come target.

Nota: Poiché le unità di rete non sono risorse di Tivoli Kernel Service, il ruolosystem/services/roles/KernelServicenon ha l’accesso di default a nessuna unità.

Il ruolo SuperDeviceAdmin viene applicato all’oggetto Unità complessivo, il che significache l’accesso viene applicato a tutte le unità. La maggior parte dei ruoli, tuttavia, nonpresenta alcun oggetto target definito e l’amministratore di sicurezza deve configurare igruppi di sicurezza unità a cui vengono applicati i ruoli. Per configurare un target per unruolo, l’amministratore deve associare un oggetto sicuro ad una funzione presente in unruolo. I ruoli dell’amministratore dell’unità predefiniti che richiedono la configurazione di untarget presentano le funzioni di seguito riportate:

¶ SuperDeviceAdmin presenta la funzionesystem/services/roles/gateway/SuperDeviceAdmin/SuperDeviceCapability.

¶ SrDeviceAdmin presenta la funzionesystem/services/roles/gateway/SrDeviceAdmin/SrDeviceCapability.

¶ DeviceAdmin presenta la funzionesystem/services/roles/gateway/DeviceAdmin/DeviceCapability.

¶ JrDeviceAdmin presenta la funzionesystem/services/roles/gateway/JrDeviceAdmin/JrDeviceCapability.

Nota: Poiché le unità sono risorse che richiedono spesso più amministratori diversi, siconsiglia di creare un ruolo di amministratore diverso per ciascun dominio di unitàprima di collegare target statici al ruolo. Nell’esempio di seguito riportato, il ruoloSrDeviceAdmin vieneclonato, o copiato e ridenominato, in un ruoloGroup1SrDeviceAdmin, quindi il gruppo di sicurezza unità group1 viene associato alruolo appena definito. Per ulteriori informazioni sulla copia e la ridenominazione deiruoli, fare riferimento alla sezione “Copia di oggetti nel registro di sicurezza” apagina 25.

Ad esempio, si supponga di voler configurare un ruolo che possa eseguire i comandi SNMPGET* e SET sul sistema 1.2.3.4. Si supponga che il sistema 1.2.3.4 sia associato al gruppodi sicurezza unità denominatogroup1.

L’oggetto di sicurezza unità del registro di sicurezza sarà denominatosystem/services/gateway/devices/group1e il ruolo applicabile sarà SrDeviceAdmin poichépresenta l’accesso deviceRead e deviceWrite.



58 Versione 1.2

2. Nella finestra Registro di sicurezza, fare doppio clic susystem→ services→ roles →gatewayper visualizzare i ruoli predefiniti per l’accesso all’unità.

3. Copiare e ridenominare il ruoloSrDeviceAdmin come descritto nella sezione “Copia dioggetti nel registro di sicurezza” a pagina 25. In questo esempio, il nuovo ruolo èridenominatoGroup1SrDeviceAdmin.


5. Nella finestra Proprietà ruolo, selezionareSrDeviceCapability (dalla tabella dellefunzioni) e fare clic suModifica .


B.

Sicurezza

perN

EL

Service

eG

ateway



a. SelezionareNome completodall’elenco a discesaProprietà ed immettere il nomerisorsa, ad esempiogroup1, nella casella di testo.




Per associare il target desiderato alla funzione del ruolo, è possibile anche utilizzarel’interfaccia wcmd ssm, come di seguito riportato:wcmd ssm modifyAttributes -p system/services/roles/gateway/SrDeviceAdmin/SrDeviceCapability-op add staticTarget=system/services/gateway/devices/group1

1I ruoli diventano utili solo quando vengono assegnati ai principal di sicurezza. Un utentepuò quindi registrarsi come principal ed ottenere l’accesso a qualsiasi ruolo del principal.

I principal sono oggetti presenti nel registro di sicurezza, che possono essere creati dagliamministratori di sicurezza in base alle necessità. Si supponga che il principal User1 siastato creato nel registro di sicurezza con il seguente percorso:applications/test/principals/User1

Per assegnare un ruolo ad un principal, è possibile utilizzare la procedura illustrata nellasezione “Assegnazione di ruoli ad un utente” a pagina 18 o l’interfaccia della riga comandiwcmd ssm, come di seguito riportato:wcmd ssm modifyAttributes -p applications/test/principals/User1 -op addstaticRole=system/services/roles/gateway/SrDeviceAdmin

60 Versione 1.2

Se il principal User1 ha i diritti richiesti per accedere alle istanze di NEL Service e diGateway sul sistema 1.2.3.4, gli utenti che si registrano come principal User1 avranno idiritti richiesti per eseguire i comandi SNMP GET* e SET sul sistema 1.2.3.4.

Esempio 1Larry vuole interrogare il NEL Service in esecuzione sulla macchina crazyhorse.acme.comsul NAT e su altri argomenti. L’ORB su cui il NEL Service è in esecuzione si trova sullaporta 9993.

Soluzione 1Larry può eseguire la registrazione utilizzando l’account predefinitosuperadmin. Il principalassociato a questo account ha il ruolo KernelService, che presenta tutti i diritti a tutte leistanze di NEL Service.

Questa soluzione attribuisce a Larry tutti gli altri diritti KernelService. Per eseguireun’interrogazione NEL Service come superadmin:wcmd -u superadmin nelservice dumpNats

Soluzione 2Larry può assumere il ruolo di JrNELSAdmin in cui l’oggetto NEL Service complessivo èconfigurato come target per la funzione del ruolo. In questo modo Larry avrà l’accesso dilettura a tutte le istanze di NEL Service.

Questa soluzione richiede un’altra configurazione per associare un target ad un ruolo ed unruolo ad un principal con cui Larry può eseguire la registrazione.

Per associare il target NEL Service al ruolo JrNELSAdmin:wcmd ssm modifyAttributes -p system/services/roles/nels/JrNELSAdmin/JrNELSCapability-op add staticTarget=system/services/nels/NELS

Per associare il ruolo JrNELSAdmin ad un principal″User″ definito dall’utente:wcmd ssm modifyAttributes -p path_to_User -op addstaticRole=system/services/roles/nels/JrNELSAdmin

Il principal User viene associato all’account con cui Larry esegue la registrazione. Pereseguire un’interrogazione NEL Service come principal User:wcmd -u User nelservice dumpNats

Nota: Il ruolo JrNELSAdmin verrà clonato prima dell’associazione di una risorsa target. Perinformazioni sulla copia e la ridenominazione dei ruoli, fare riferimento alla sezione“Copia di oggetti nel registro di sicurezza” a pagina 25.

Soluzione 3Larry può assumere il ruolo di JrNELSAdmin in cui NEL Service su crazyhorse èconfigurato come target per la funzione del ruolo. In questo modo Larry avrà l’accesso dilettura alla singola istanza di NEL Service —il numero minimo di diritti richiesto percompletare le interrogazioni di NEL Service.

Questa soluzione richiede un’altra configurazione per associare un target ad un ruolo ed unruolo ad un principal con cui Larry può eseguire la registrazione.

Per associare il target NEL Service al ruolo JrNELSAdmin:


B.

Sicurezza

perN

EL

Service

eG

ateway

wcmd ssm modifyAttributes -p system/services/roles/nels/JrNELSAdmin/JrNELSCapability -opadd staticTarget=system/services/nels/NELS_crazyhorse.acme.com_9993


Il principal User viene associato all’account con cui Larry esegue la registrazione. Pereseguire un’interrogazione NEL Service come principal User:wcmd -u User nelservice dumpNats

Nota: Il ruolo JrNELSAdmin verrà clonato prima dell’associazione di una risorsa target. Perinformazioni sulla copia e la ridenominazione dei ruoli, fare riferimento alla sezione“Copia di oggetti nel registro di sicurezza” a pagina 25.

Esempio 2Moe vuole eseguire tutte le azioni Gateway su tutti i gateway dell’installazione.

Soluzione 1Moe può eseguire la registrazione utilizzando l’account di registrazione predefinitosuperadmin. L’accountsuperadmin viene associato ad un principal con il ruoloKernelService ed il ruolo KernelService presenta tutti i diritti a tutte le istanze di Gateway.

Questa soluzione attribuisce a Moe tutti gli altri diritti KernelService.

Per eseguire un’interrogazione Gateway comesuperadmin:wcmd -u superadmin gatewaysnmpservice getQueuedAOPs

Soluzione 2Moe può assumere il ruolo di SrNELSAdmin in cui l’oggetto Gateway complessivo èconfigurato come target per la funzione del ruolo. In questo modo Moe avrà tutti i dirittirelativi a Gateway senza avere tutti i diritti del ruolo KernelService.

Questa soluzione richiede un’altra configurazione per associare un target ad un ruolo ed unruolo ad un principal con cui Moe può eseguire la registrazione. Per associare il targetGateway al ruolo SrGatewayAdmin:wcmd ssm modifyAttributes -p system/services/roles/gateway/SrGatewayAdmin/SrGatewayCapability -opadd staticTarget=system/services/gateway/Gateway

Per associare il ruolo SrGatewayAdmin ad un principal″User″ definito dall’utente:wcmd ssm modifyAttributes -p path_to_User -opadd staticRole=system/services/roles/gateway/SrGatewayAdmin

Il principal User viene associato all’account con cui Moe esegue la registrazione. Pereseguire un’interrogazione Gateway Service come principal User:wcmd -u User gatewaysnmpservice getQueuedAOPs

Nota: Il ruolo SrGatewayAdmin verrà clonato prima dell’associazione di una risorsa target.Per informazioni sulla copia e la ridenominazione dei ruoli, fare riferimento allasezione “Copia di oggetti nel registro di sicurezza” a pagina 25.

62 Versione 1.2

Esempio 3Joe vuole eseguire il ping della macchina 1.2.3.4.

In molti casi, l’esecuzione del ping di un sistema richiede l’accesso di esecuzione al NELService, l’accesso di esecuzione al GatewayIP collegato all’unità e l’accesso deviceExeall’unità stessa o, più precisamente, al gruppo di sicurezza unità.

Poiché non esiste un modo per stabilire, con certezza assoluta, l’istanza di NEL Service cheverrà utilizzata per risolvere un indirizzo IP come parte dell’operazione di ping, Joedovrebbe avere l’accesso JrNELSAdmin a tutte le istanze di NEL Service. Naturalmente, seesistesse un modo per conoscere esattamente quale NEL Service verrà utilizzato, Joedovrebbe avere l’accesso JrNELSAdmin solo a quelle istanze di NEL Service. Poiché iGateway sono configurati con un ambito particolare, è possibile individuare l’istanzaGatewayIP che verrà utilizzata per instradare l’operazione di ping in modo a Joe siasufficiente l’accesso JrGatewayAdmin a quella istanza GatewayIP.

Il sistema 1.2.3.4 deve essere associato ad un gruppo di sicurezza unità del registro disicurezza e Joe deve avere l’accesso deviceExe a quel gruppo di sicurezza unità.

Per associare l’oggetto NEL Service complessivo al ruolo JrNELSAdmin:wcmd ssm modifyAttributes -p system/services/roles/nels/JrNELSAdmin/JrNELSCapability -opadd staticTarget=system/services/nels/NELS


Per associare un GatewayIP specifico ad un ruolo JrGatewayAdmin:-p system/services/roles/gateway/JrGatewayAdmin/JrGatewayCapability-op add staticTarget=system/services/gateway/GatewayIP_orbname

Per associare il ruolo JrGatewayAdmin ad un principal″User″ definito dall’utente:wcmd ssm modifyAttributes -p path_to_User -op addstaticRole=system/services/roles/gateway/JrGatewayAdmin

Per creare un gruppo di sicurezza unità (″joes_devices″ con proprietario″joe″) nel registro disicurezza:wcmd ipconfig createSecGroup joes_devices joe

Per associare la macchina 1.2.3.4 al gruppo di sicurezza unità″joes_devices″:wcmd ipconfig addNodeEntry 1.2.3.4 deviceSecurityGroup=joes_devices

Per associare il gruppo di sicurezza unità″joes_devices″ al ruolo JrDeviceAdmin:-p system/services/roles/gateway/JrDeviceAdmin/JrDeviceCapability -op addstaticTarget=system/services/gateway/devices/joes_devices

Per associare il ruolo JrDeviceAdmin ad un principal″User″ definito dall’utente:wcmd ssm modifyAttributes -p path_to_User -op addstaticRole=system/services/roles/gateway/JrDeviceAdmin

Per eseguire il ping del sistema 1.2.3.4 come principal User:wcmd -u User gatewayipservice ping 1.2.3.4


B.

Sicurezza

perN

EL

Service

eG

ateway

Nota: I ruoli JrNELSAdmin, JrGatewayAdmin e JrDeviceAdmin verranno clonati primadell’associazione di una risorsa target. Per informazioni sulla copia e laridenominazione dei ruoli, fare riferimento alla sezione “Copia di oggetti nel registrodi sicurezza” a pagina 25.

64 Versione 1.2

Indice analitico

Aaccount

creazione 13descrizione 9tipi 11visualizzazione 24

account Kernel 11account NT 11account Unix 11account utente

creazione 11eliminazione 11modifica 11

agenti 41agenti SNMP 41argomenti, pubblicazione e sottoscrizione 39assistenza utente, incorporata 7Authentication Service 9Authorization Service 9

CCLI (Command Line Interface) 4componenti

aggiornamento 36configurazione 35, 36definizione 35distribuzione 36, 37esecuzione di versioni precedenti 36rimozione 35, 36

comunicazioni, gestione 40condizioni di accesso 9, 18contesti

ORB locale 39slash 39

contesto ORB locale 38contesto slash 38

Ddatabase di registrazione, creazione ed utilizzo 31dati di configurazione

applicazione agli ORB 34depot componenti

scopo 35visualizzazione 35

directoryattributi 39gestione 38visualizzazione di oggetti 38

distribuzione di componenti 36domini 33

Eeditori 39endpoint

accesso 57considerazioni sulla sicurezza 57gestione 41

eventigestione 39utilizzo di Messaging Service 39

Ffiltri

elementi di registrazione 30oggetti di sicurezza 25

filtri dei membri ruolo 19funzioni 16

Ggateway

configurazione 41considerazioni sulla sicurezza 53creazione 41definiti dall’utente 41di default 41gestione 41

gateway IPmodifica 41visualizzazione 41

Gateway Service 41gateway SNMP

modifica 41visualizzazione 41

gruppi, oggetti di registrazione 30gruppi di sicurezza unità 57gruppi di task 6

Amministrazione software di gestione 33Gestione registrazione 29Gestione sicurezza 9

Gruppo di task Amministrazione software di gestione 33gruppo di task Gestione registrazione 29gruppo di task Gestione sicurezza 9guida in linea, Tivoli Assistant 7


Indiceanalitico

Hhandler

definizione 30gestione 31

Iinformazioni sull’unità SNMP, configurazione 42

Mmaschere, gestione 31menu di contesto 6messaggi, tipi di gravità 29Messaging Service

modifica di statistiche 40panoramica 39visualizzazione di statistiche 40

metodi di registrazioneaccount Kernel 12locale nativo 12remoto nativo 12

NNAT

aggiunta della configurazione dell’unità SNMP 42creazione 42

NEL (Network Endpoint Locator) Serviceconsiderazioni sulla sicurezza 49modifica 41visualizzazione 41

Ooggetti di azione 41ORB

configurazione 34descrizione 33gestione 33raggruppamento in set di ORB 33

Pperiferiche, gestione 41portafoglio

accesso alle task 21descrizione 6

principalcreazione 24

principal (Continua)definizione 20modifica 24

proprietà utente, visualizzazione 24proxy 33

Qquery, creazione 25

Rregistratori

gestione 31messaggi 29traccia 30

registrazionedistribuita 29locale 29

registrazioni, visualizzazione 30registro di sicurezza 9

gestione 25ricerca di oggetti 26

risorsevisualizzazione 24

ruoli 9assegnazione 18copia 25creazione 16definiti dal sistema 45filtri dei membri 19istruzioni per la creazione 16modifica 16proprietà 18visualizzazione 24

Sservizio IpConfigImpl

distribuzione dalla riga comandi 42set di ORB

.allorbs 34

.orbdefaults 34applicazione dei dati di configurazione 34definiti dal sistema 34distribuzione di componenti 36gestione 33, 36

sicurezza, gestione 9sottoscrittori 40spazinome, gestione 36super amministratori 16

66 Versione 1.2

Ttask

individuazione ed esecuzione 6informazioni sulla guida 6

Tivoli Assistant 6, 7Tivoli Console

componenti chiave 5presentazione guidata 8

Uunione 34unità aziendali

definizione 25descrizione 25modifica 24

utentiaggiunta 10creazione 9visualizzazione 24

Vvariabili

variabili di ambientenotazione vii

variabili di ambientenotazione vii


Indiceanalitico

68 Versione 1.2

Stampato in Italia

introduzione a tivoli kernel...

Documents