控制主机访问和配置 UNAB 的方式
内容
cminder12901cn
内容
您可以控制用户和组对 UNIX 主机的访问并从
Privileged Identity Manager
企业控制台统一配置 UNAB 主机。 通过将访问权仅授予获准登录该主机的用户和组,来控制用户和组对 UNIX 主机的访问。以对主机的访问控制相同的配置方式来配置 UNAB 主机。 使用
Privileged Identity Manager
企业控制台控制企业中 UNAB 主机的功能一次,然后将其应用于所有主机。在您分配用户和组登录授权或定义配置标记值之后,
Privileged Identity Manager
企业控制台会在策略中阐明这些信息并执行以下操作:- 创建包含用户和组或配置参数列表的部署包,并将该包分配给该策略适用的主机或主机组。
- 将部署包转发给分发服务器以便分发给主机。
UNAB 从分发服务器检索部署包,安装策略,然后将确认信息发送回
Privileged Identity Manager
企业控制台。注意
:如果您同时将企业登录策略和 UNAB 登录策略部署到主机,那么企业登录策略要优先于 UNAB 登录策略。管理 UNAB 登录授权
要控制到 UNAB 主机或主机组的用户登录,需要创建已获得访问权限的用户或组的列表。 该列表随后会表达为策略,
Privileged Identity Manager
企业控制台会将此策略分配并部署到选定的主机或主机组。 该登录策略名为 login@hostName
。注意:
您可以使用“部署审核”任务来查看策略的部署状态。请按下列步骤操作:
- 在Privileged Identity Manager企业控制台中,单击“策略管理”、“Unix 身份验证代理”、“主机”或“主机组”。
- 根据需要执行以下操作之一:
- 单击管理主机登录授权。此时出现“管理主机登录授权: 主机搜索”屏幕。
- 单击管理主机组登录授权。此时出现“管理主机组登录授权: 主机组搜索”屏幕。
- 键入要修改的主机或主机组的名称,然后单击搜索。此时将显示匹配筛选条件的主机或主机组的列表。
- 选择要修改的主机或主机组,然后单击选择。此时出现“管理主机登录授权:HostName”或“管理主机组登录授权:HostGroupName”页面。
- (可选)按如下方式添加用户:
- 从下拉菜单中选择用户。
- 以下列格式键入用户名:域/用户。
- 单击添加。所添加的用户会显示在“授权用户和组”列表中。
- (可选)按如下方式添加组:
- 从下拉菜单中选择组。
- 键入要添加的组的名称。
- 单击添加。所添加的组会显示在“授权用户和组”列表中。
- (可选)按如下方式删除用户和组:
- 在“授权用户和组”列表中选择要删除的用户和组。
- 单击删除。此时会从“授权用户和组”列表删除所选的用户和组。
- 单击“提交”。将为指定主机或主机组分配用户和组列表。
配置 UNAB 主机或主机组
可以定义管理 UNAB 主机和主机组的配置设置。
Privileged Identity Manager
企业控制台可帮助您设置 UNAB 配置文件 (uxauth.ini) 或 Privileged Identity Manager
配置文件 (accommon.ini) 中的设置值。 在完成将值分配给配置设置之后,Privileged Identity Manager
企业控制台会创建一个包含更新的设置值的配置策略,并将其分配给主机或主机组。 该策略名为 config@hostName。
注意:
您可以使用“部署审核”任务来查看策略的部署状态。请按下列步骤操作:
- 在Privileged Identity Manager企业控制台中,单击“策略管理”、“UNIX 身份验证代理”、“主机”或“主机组”。
- 根据需要执行以下操作之一:
- 单击配置 UNAB 主机。此时将出现“配置 UNAB 主机: 主机搜索”屏幕。
- 单击配置 UNAB 主机组。此时将出现“配置 UNAB 主机组: 主机组搜索”屏幕。
- 键入要修改的主机或主机组的名称,然后单击搜索。此时将显示匹配筛选条件的主机或主机组的列表。
- 选择要修改的主机或主机组,然后单击选择。此时将出现“UNAB 配置:HostName”或“UNAB 配置:HostGroupName”屏幕。
- 选择要修改的部分和标记,然后单击添加标记。此时出现所选的配置标记。
- 修改配置标记的值。注意:有关配置标记的更多信息,请参阅《参考指南》。
- (可选)选择要修改的其他部分和标记,单击添加标记,并根据需要修改配置标记的值。
- 单击“提交”。Privileged Identity Manager企业控制台会设置选定 UNAB 主机或主机组上配置标记的值。
确认
Privileged Identity Manager
企业控制台已将策略提交到主机在阐明授权和配置列表之后,可以在部署审核选项中确认
Privileged Identity Manager
企业控制台已将更改提交到 UNAB 主机。请按下列步骤操作:
- 在Privileged Identity Manager企业控制台中,单击“策略管理”、“策略”、“部署”和“部署审核”。此时会打开部署审核搜索屏幕。
- 选择要显示的主机和策略,然后单击执行。查询即会显示搜索结果。注意:登录策略包含前缀login@
- 单击结果行,查看部署任务状态和输出。
如何将用户和组迁移到 Active Directory
通过将管理任务合并为单一的管理应用程序,将用户从 UNIX 主机迁移到 Active Directory 简化了 UNIX 主机上的用户和组管理。
要将用户和组迁移到 Active Directory,请执行以下操作:
- 以仿真模式运行迁移过程。在仿真模式下,UNAB 不会将用户或组迁移到 Active Directory。 如果发现冲突,UNAB 会将其记录在一个日志文件中,该文件用于报告用户和组属性的可能冲突。 默认情况下,UNAB 冲突文件 (migrate.conflicts) 位于以下目录:/opt/CA/uxauth/log
- 下载该冲突文件。从Privileged Identity Manager企业控制台下载来自主机的 CVS 格式的冲突文件。注意:您必须等待下一个排定的报告快照完成才能下载该 CSV 文件。
- 针对每个想要迁移到 Active Directory 的本地帐户创建 Active Directory 帐户。UNAB 仅迁移具有现有 Active Directory 用户帐户的用户。注意:当您创建用户帐户时,不需要指定 UNIX 属性。 您不需要在 Active Directory 中创建组,迁移工具会在迁移过程中创建组。
- 将解决冲突的 CSV 文件上传到主机。UNAB 重新开始迁移过程,尝试迁移已解析的帐户和组。
- 迁移结束后再次查看冲突文件,以确认先前在该文件报告的用户帐户和组已成功迁移。
注意:
当 UNIX 端点为网络信息服务 (NIS) 客户端时,UNAB 不会迁移 NIS 用户到 Active Directory。解决迁移冲突
UNAB 会将在迁移过程中发现的冲突记录到冲突文件中。 此文件详细记录了冲突的原因,这些冲突妨碍了用户和组从本地主机迁移到 Active Directory。
可将冲突文件导出成 CSV 文件,将此电子表格下载到计算机,然后复查并解决这些冲突。 可以稍后将此修改过的电子表格上传回
Privileged Identity Manager
企业控制台,再从这里发送到消息队列。 UNAB 会检索文件,并重新启动迁移过程,以迁移以前未迁移的用户和组。注意:
如果迁移主机组,则无法下载冲突文件。 但可以上传修正过的冲突文件来解决迁移过程中的冲突。请按下列步骤操作:
- 在Privileged Identity Manager企业控制台中,单击“策略管理”、“UNIX 身份验证代理”、“主机”或“主机组”。
- 根据需要执行以下操作之一:
- 单击解决主机组迁移冲突。此时出现“解决主机迁移冲突: 主机搜索”屏幕。
- 单击解决主机组迁移冲突。此时出现“解决主机组迁移冲突: 主机组搜索”屏幕。
- 键入要为其解决冲突的主机或主机组的名称,然后单击搜索。此时将显示匹配筛选条件的主机或主机组的列表。
- 选择要为其解决冲突的主机或主机组,然后单击选择。此时出现“UNAB 迁移:HostName”或“UNAB 迁移:HostGroupName”页面。
- (可选)按如下方式下载主机迁移的冲突文件并解决冲突:
- 选择“下载 UNAB 迁移冲突详细信息”部分中的“导出和下载”链接。此时会打开一个对话框窗口。
- 导航到保存文件的位置并选择保存。CSV 文件会下载到指定位置。
- 打开 CSV 文件,解决文件中报告的冲突,然后保存并关闭文件。
- (可选)创建并保存用于解决主机组迁移冲突的 CSV 文件。
- 按如下方式上传用于解决主机或主机组迁移冲突的 CSV 文件:
- 选择“上传 UNAB 迁移解决方案”部分中的浏览按钮。此时会打开一个对话框窗口。
- 浏览文件,然后单击打开。
- 单击上传。此时会上传文件。
- 单击“提交”。Privileged Identity Manager企业控制台将该文件发送到消息队列。 UNAB 从队列检索文件,并重新启动迁移过程,尝试迁移已解决的帐户和组。
- 迁移结束后再次查看冲突文件,以确认先前在该文件报告的用户帐户和组已成功迁移。
注意:
如果在 Active Directory 中存在名称相同的用户或组,则不能迁移用户或组。 例如:如果您尝试迁移名为 g1 的组,但 Active Directory 中存在名为 g1 的用户,UNAB 将无法迁移该组。示例:UNAB 冲突文件输出
下列示例摘自在迁移过程中创建的 UNAB 冲突文件输出:
*** Conflict Details as found by the CA Access Control UNAB Migration tool at 12/29/10 10:49 *** *** CRITICAL Conflicts:*** *** The next found conflicts prevent the user/group migration and need the intervention *** *** of the system administrator as they cannot be solved by the migration tool.*** User 'John' conflicts: User 'John' from domain 'development.computer.com' is assigned id '47670' and Unix id is '300821' User 'John' from domain 'development.computer.com' is assigned primary group '47670' and Unix primary group is '1011' User 'John' from domain 'development.computer.com' is assigned home directory '/home/aletestu' and Unix home directory is '/home/john1' User 'John' from domain 'development.computer.com' is assigned shell '/sbin/nologin' and Unix shell is '/bin/bash' *** AUTOMATIC Conflicts:*** *** Migration tool will try to solve the next found conflicts when run in "administrative mode", *** ***if not solved this conflicts will prevent the user/group migration Group 'alegcheck' conflicts: Cannot add members to Active Directory group 'dev_users' because UNIX group 'dev_users' contains member[s] that do not exist in domain 'development.computer.com'. UNIX group 'alegcheck' members: aleucheck1;aleucheck2 User 'John1' conflicts: User 'John1' from domain 'development.computer.com' has no UNIX attributes. *** IGNORED Conflicts:*** *** The next found Conflicts are shown for informational purpose, they will be ignored for ***while migration the user/group*** User 'John' conflicts: User 'John' from domain 'development.computer.com' is assigned gecos '' and Unix gecos is 'gecos of John' User 'John' primary group '1011' was not migrated
在该示例中,UNAB 报告了以下关键冲突:
- 用户“john”缺少以下属性:
- 用户 ID (47670) 与 UNIX 用户 ID (300821) 冲突
- 用户主要组 (47670) 与 Active Directory 组 (1011) 冲突
- 用户主 UNIX 目录 (home/john1) 与 Active Directory 主目录设置 (/home/john) 冲突
- 用户 UNIX shell (/bin/bash) 与 Active Directory shell 属性 (/sbin/nologin) 冲突
UNAB 报告了 UNAB 将在下次迁移过程运行时尝试解决的以下冲突:
Active Directory 中不存在 UNIX 组 (dev_users)
- UNIX 属性没有针对用户“john1”进行配置
<una> 报告了将在迁移过程期间忽略的以下次要冲突:
- 用户 gecos ("") 与 UNIX 分配的 gecos(gecos 针对 john)冲突
- 用户主要组 (1011) 未被迁移
示例:UNAB 冲突解析文件
下列示例摘自您创建用于解决 UNAB 在冲突文件中报告的冲突的 UNAB 冲突解析 CSV 文件。 使用
Privileged Identity Manager
企业控制台将 CSV 文件提交到 UNAB 主机:解决方案实体类型 | 解决方案实体名称 | 解决方案操作 | 解决方案 AD 映射名称 | 冲突 | UID | 主目录 | GID | 成员 | 成员 | GECOS |
USER | 超级用户 | 根 | 组迁移,无 AD | 1 | /home/superuser/ | 1 |
在本例中,冲突解析 CSV 文件包含以下内容:
- 解决方案实体类型 - 用户
- 解决方案实体名称 - 超级用户
- 解决方案 AD 映射名称 - 根
- 冲突 - 在 Active Directory 中找不到的用户组
- UID1
- 主目录 -/home/superuser/
- GID1
注意:
有关迁移用户的更多信息,请参阅《实施指南
》。