Introducción a la administración de Tivoli Kernel Services
Versión 1.2
Introducción a la administración de Tivoli Kernel Services
Versión 1.2
Introducción a la administración de Tivoli Kernel Services
Aviso de copyright
© Copyright IBM Corporation 2000, 2001 Reservados todos los derechos. Sólo se puede utilizar conforme a un Acuerdo de licencia de software de Tivoli Systems, un Acuerdo de licencia de software de IBM o un Suplemento para productos de Tivoli del Acuerdo de licencia o de cliente de IBM. Ninguna parte de esta publicación se puede reproducir, transmitir, transcribir, almacenar en un sistema de recuperación ni convertir a cualquier lenguaje de sistema, de ninguna forma ni mediante ningún medio electrónico, mecánico, magnético, óptico, químico, manual ni de ningún otro modo, sin el permiso previo por escrito de IBM Corporation. IBM Corporation le otorga un permiso limitado para realizar copias impresas u otras reproducciones de cualquier documentación legible por máquina para su propio uso, a condición de que dicha reproducción lleve el aviso de copyright de IBM Corporation. No se otorga ningún otro derecho bajo copyright sin el permiso previo por escrito de IBM Corporation. El documento no está destinado a la producción y se entrega “tal cual” sin garantía de ninguna clase. Por la presente se renuncia a todas las garantías de este documento, incluidas las garantías de comercialización e idoneidad para un propósito determinado.
Derechos restringidos de los usuarios del Gobierno de EE.UU. — La utilización, duplicación o revelación está restringida por el GSA ADP Schedule Contract con IBM Corporation.
Marcas registradas
IBM, el logotipo de IBM, Tivoli, el logotipo de Tivoli, AIX, NetView, RS/6000 y TME son marcas registradas de International Business Machines Corporation o Tivoli Systems Inc. en EE.UU. y/o en otros países.
Microsoft, Windows, Windows NT y el logotipo de Windows son marcas registradas de Microsoft Corporation en EE.UU. y/o en otros países.
UNIX es una marca registrada de The Open Group en EE.UU. y en otros países.
Java y todas las marcas registradas basadas en Java son marcas registradas de Sun Microsystems, Inc. en EE.UU. y/o en otros países.
Otros nombres de compañías, productos y servicios pueden ser marcas registradas o marcas de servicio de otras compañías.
Avisos
Las referencias hechas en esta publicación a productos, programas o servicios de Tivoli Systems o de IBM no implican que dichos productos, programas o servicios vayan a estar disponibles en todos los países en los que Tivoli Systems o IBM realizan operaciones comerciales. Cualquier referencia a dichos productos, programas o servicios no pretende implicar que sólo se puedan utilizar los productos, programas o servicios de Tivoli Systems o de IBM. En su lugar, se puede utilizar cualquier producto, programa o servicio funcionalmente equivalente que no infrinja los derechos de propiedad intelectual válidos de Tivoli Systems o de IBM ni ningún otro derecho protegido por la ley. La evaluación y verificación del funcionamiento conjunto con otros productos, excepto aquéllos expresamente designados por Tivoli Systems o IBM, son responsabilidad del usuario. Tivoli Systems o IBM puede tener patentes o solicitudes de patentes pendientes que cubran el tema principal tratado en este documento.
La entrega de este documento no le otorga ninguna licencia sobre dichas patentes. Puede enviar consultas sobre licencias, por escrito, al IBM Director of Licensing, IBM Corporation, North Castle Drive, Armonk, New York 10504-1785, EE.UU. Consulte también el apartado “Avisos adicionales” en la página ix.
Contenido
Prefacio . . . v
Quién debe leer esta guía . . . v
Requisito previo y documentos relacionados . . . v
Qué contiene esta guía . . . vi
Convenios utilizados en esta guía . . . vi
Acceso a las publicaciones en línea . . . vii
Solicitud de publicaciones . . . vii
Cómo proporcionar su opinión acerca de las publicaciones. . . vii
Cómo ponerse en contacto con el Soporte al cliente. . . vii
Avisos adicionales . . . ix
Licencia de OpenSSL. . . ix
Licencia original de SSLeay . . . ix
Apache y Apache Tomcat . . . xi
Capítulo 1. Visión general de Tivoli Kernel Services . . . 1
Componentes y servicios de Tivoli Kernel Services . . . 2
Administración de Tivoli Kernel Services utilizando Tivoli Console . . . 3
Administración de Tivoli Kernel Services utilizando la interfaz de línea de comandos (CLI). . . 4
Capítulo 2. Una Tivoli Console nueva . . . 5
Diseño de Tivoli Console . . . 5
Localización y realización de tareas . . . 6
Ayuda de usuario incorporada . . . 7
Visita guiada de Tivoli Console . . . 8
Capítulo 3. Administrar seguridad . . . 9
Adición de usuarios. . . 10
Asociación de usuarios con cuentas . . . 11
Métodos de inicio de sesión. . . 12
Adición de una cuenta Kernel a un usuario . . . 13
Adición de una cuenta nativa a un usuario . . . 14
Superadministradores. . . 15
Creación de roles . . . 16
Asignación de roles a un usuario . . . 18
Roles de Tivoli Kernel Services . . . 19
Visualización de las propiedades de usuario . . . 23
Visualización de usuarios, recursos y roles . . . 23
Administración del registro de seguridad . . . 24
Copia de objetos en el registro de seguridad . . . 24
Búsqueda de objetos en el registro de seguridad. . . 25
Capítulo 4. Administrar registro . . . 27
Visualización de registros . . . 28
Configuración de anotadores, manejadores y máscaras . . . 29
Capítulo 5. Administrar software de gestión. . . 31
Gestión de ORB y conjuntos de ORB . . . 31
Gestión y despliegue de componentes . . . 33
Gestión del directorio . . . 36
Gestión de eventos . . . 37
Gestión de comunicaciones . . . 38
Gestión de gateways . . . 38
Gestión de configuración de dispositivo SNMP . . . 40
Apéndice A. Roles definidos por el sistema . . . 43
Apéndice B. Utilización del Servicio NEL y Gateway en un entorno seguro. . . 47
Acceso a una instancia del Servicio NEL . . . 47
Acceso a una instancia de Gateway . . . 51
Acceso a un dispositivo de red (Endpoint) . . . 55
Ejemplo 1 . . . 59
Solución 1. . . 59
Solución 2. . . 59
Solución 3. . . 59
Ejemplo 2 . . . 60
Solución 1. . . 60
Solución 2. . . 60
Ejemplo 3 . . . 61
Índice. . . 63
Prefacio
La publicación Introducción a la administración de Tivoli Kernel Services proporciona una introducción a la utilización de Tivoli Console para llevar a cabo las funciones
administrativas de Tivoli Kernel Services. Este documento no proporciona instrucciones paso a paso para realizar tareas específicas. Para obtener detalles de las tareas, consulte la ayuda de usuario incorporada que se proporciona con Tivoli Console.
Quién debe leer esta guía
Este documento está escrito para el administrador de Tivoli Kernel Services que utiliza Tivoli Console.
Requisito previo y documentos relacionados
Tivoli Kernel Services proporciona la documentación relacionada siguiente:
¶ Planificación de Tivoli Kernel Services
Explica cómo realizar la planificación para desplegar Tivoli Kernel Services en el entorno operativo.
¶ Instalación de Tivoli Kernel Services
Proporciona información sobre cómo instalar, desplegar y configurar Tivoli Kernel Services.
¶ Tivoli Kernel Services Command Reference
Proporciona información sobre la interfaz de la línea de comandos en Tivoli Kernel Services.
¶ Tivoli Kernel Services Tarjeta de consulta rápida
Consulta rápida que muestra un resumen de la interfaz de la línea de comandos para Tivoli Kernel Services.
¶ Resolución de problemas de Tivoli Kernel Services
Proporciona información sobre la resolución de problemas y el mantenimiento de los servicios, los componentes y las bases de datos que componen Tivoli Kernel Services.
¶ README de Tivoli Kernel Services
Proporciona información de última hora, por ejemplo problemas y soluciones alternativas así como disponibilidad de parches.
¶ Guided Tour of the Tivoli Console
Introducción basada en HTML a Tivoli Console, la interfaz gráfica de usuario utilizada para administrar Tivoli Kernel Services.
La documentación de Tivoli Kernel Services, a excepción de la ayuda en línea integrada y el README del producto, está ubicada en el subdirectorio tivolidocs del CD-ROM de
instalación de Tivoli Kernel Services y del CD-ROM de Bootprint, en formatos HTML y PDF. El README del producto está ubicado en el directorio raíz del CD-ROM de instalación.
Qué contiene esta guía
La publicación Introducción a la administración de Tivoli Kernel Services contiene las secciones siguientes:
¶ “Visión general de Tivoli Kernel Services” en la página 1 Proporciona una visión general breve de Tivoli Kernel Services.
¶ “Una Tivoli Console nueva” en la página 5
Presenta detalles acerca de Tivoli Console, una interfaz gráfica de usuario (GUI) basada en roles en la que se organizan las tareas para dar soporte a roles específicos.
¶ “Administrar seguridad” en la página 9
Proporciona detalles acerca de la gestión de la seguridad, incluyendo información sobre cómo añadir y editar usuarios y gestionar los roles de seguridad.
¶ “Administrar registro” en la página 27
Explica cómo gestionar los mensajes y los datos creados desde dentro de un componente o una aplicación y enviados a un destino de salida.
¶ “Administrar software de gestión” en la página 31
Proporciona información sobre la administración del sistema Tivoli Kernel Services, incluyendo la gestión de los ORB y los conjuntos de ORB, la configuración de componentes y la gestión de la base de datos y del directorio.
¶ “Roles definidos por el sistema” en la página 43
Proporciona descripciones de todos los roles definidos por el sistema que se proporcionan con Tivoli Kernel Services.
¶ “Utilización del Servicio NEL y Gateway en un entorno seguro” en la página 47 Proporciona consideraciones sobre la seguridad para acceder a dispositivos de red o a Endpoint.
Convenios utilizados en esta guía
El documento utiliza varios convenios de tipo de letra para términos y acciones especiales.
Estos convenios tienen el significado siguiente:
Negrita Los comandos, las palabras clave, los roles de autorización u otra
información que se debe utilizar literalmente aparecen así, en negrita. Los nombres de las ventanas, los diálogos y otros controles aparecen también así, en negrita.
Cursiva Las variables y los valores que se deben proporcionar aparecen así, en cursiva. Las palabras y las frases en las que se hace hincapié aparecen así, en cursiva.
Monoespaciado
Los ejemplos de código, la salida, los mensajes del sistema, los
identificadores XML y los nombres de clases, métodos e interfaces de Java aparecen así, en un font monoespaciado.
Este documento utiliza el convenio de UNIX para especificar variables de entorno y para la
Nota: Cuando utilice el shell bash en un sistema Windows NT, puede utilizar los convenios de UNIX.
Acceso a las publicaciones en línea
El sitio Web de Soporte al cliente de Tivoli (http://www.tivoli.com/support/) ofrece una guía de los servicios de soporte (la publicación Customer Support Handbook), preguntas
frecuentes (FAQ) e información técnica, que incluye notas del release, guías del usuario, manuales técnicos e informes oficiales. Puede acceder a las publicaciones en línea de Tivoli en http://www.tivoli.com/support/documents/. La documentación para algunos productos está disponible en formatos PDF y HTML. Para algunos productos también hay documentos traducidos disponibles.
Para acceder a la mayor parte de la documentación, necesita un ID y una contraseña. Si desea obtener un ID para utilizarlo en el sitio Web de soporte, vaya a
http://www.tivoli.com/support/getting/.
Los distribuidores deberán consultar http://www.tivoli.com/support/smb/index.html si desean más información sobre cómo obtener soporte y documentación técnica de Tivoli.
Los Business Partners deberán consultar el apartado “Solicitud de publicaciones” para obtener más información sobre cómo obtener documentación técnica de Tivoli.
Solicitud de publicaciones
Puede solicitar publicaciones en línea de Tivoli en
http://www.tivoli.com/support/Prodman/html/pub_order.html o llamando a uno de los números de teléfono siguientes:
¶ Clientes de EE.UU.: (800) 879-2755
¶ Clientes de Canadá: (800) 426-4968
Cómo proporcionar su opinión acerca de las publicaciones
Estamos muy interesados en conocer su opinión sobre los productos y la documentación de Tivoli y agradeceremos que nos envíe sus sugerencias con el fin de realizar mejoras. Si desea hacernos comentarios o sugerencias acerca de nuestros productos y nuestra
documentación, puede ponerse en contacto con nosotros de uno de los modos siguientes:
¶ Envíe un mensaje de correo electrónico a [email protected].
¶ Rellene el cuestionario de opinión del cliente que se encuentra en http://www.tivoli.com/support/survey/.
Cómo ponerse en contacto con el Soporte al cliente
La publicación Tivoli Customer Support Handbook que se encuentra en
http://www.tivoli.com/support/handbook/ proporciona información sobre todos los aspectos del Soporte al cliente de Tivoli, incluyendo lo siguiente:
¶ Registro y elegibilidad.
¶ Cómo ponerse en contacto con el soporte, en función de la gravedad del problema.
¶ Números de teléfono y direcciones de correo electrónico, en función del país en el que se encuentre.
¶ La información que se debe reunir antes de ponerse en contacto con el soporte.
Avisos adicionales
Licencia de OpenSSL
Copyright (c) 1998-2000 The OpenSSL Project. Reservados todos los derechos.
Se permiten la redistribución y la utilización en formatos fuente y binario, con o sin modificaciones, a condición de que se cumplan las condiciones siguientes:
1. Las redistribuciones de código fuente deben contener el aviso de copyright anterior, esta lista de condiciones y la renuncia siguiente.
2. Las redistribuciones en formato binario deben reproducir el aviso de copyright anterior, esta lista de condiciones y la renuncia siguiente en la documentación y/u otros materiales proporcionados con la distribución.
3. Todos los materiales de publicidad que mencionen características o el uso de este software deben mostrar la siguiente certificación:″Este producto incluye software desarrollado por The OpenSSL Project para utilizarse en el OpenSSL Toolkit.
(http://www.openssl.org/)″
4. Los nombres″OpenSSL Toolkit″ y ″OpenSSL Project″ no deben utilizarse como endoso o promoción de productos derivados de este software sin el permiso previo por escrito.
Para obtener el permiso por escrito, póngase en contacto con [email protected].
5. Los productos derivados de este software no pueden llamarse″OpenSSL″ ni puede aparecer″OpenSSL″ en los nombres de los mismos sin el permiso previo por escrito de The OpenSSL Project.
6. Las redistribuciones de cualquier formato de cualquier clase deben contener la
certificación siguiente:″Este producto incluye software desarrollado por The OpenSSL Project para utilizarse en el OpenSSL Toolkit (http://www.openssl.org/)″
THE OpenSSL PROJECT PROPORCIONA ESTE SOFTWARE″TAL CUAL″ Y SE RENUNCIA A CUALQUIER GARANTÍA EXPRESA O IMPLÍCITA, INCLUYENDO, PERO SIN LIMITARSE A, LAS GARANTÍAS IMPLÍCITAS DE COMERCIALIZACIÓN E IDONEIDAD PARA UN PROPÓSITO DETERMINADO. EN NINGÚN CASO THE OpenSSL PROJECT O SUS COLABORADORES SERÁN RESPONSABLES DE NINGÚN DAÑO DIRECTO, INDIRECTO, INCIDENTAL, ESPECIAL, EJEMPLAR O
CONSECUENTE (INCLUYENDO, PERO SIN LIMITARSE A, LA OBTENCIÓN DE MERCANCÍAS O SERVICIOS DE SUSTITUCIÓN, LA PÉRDIDA DE USO, DATOS O BENEFICIOS O LA INTERRUPCIÓN COMERCIAL) CAUSADO DE CUALQUIER MODO Y EN BASE A CUALQUIER TEORÍA DE RESPONSABILIDAD, YA SEA EN CONTRATO, OBLIGACIÓN ESTRICTA O EN AGRAVIO (INCLUIDA LA
NEGLIGENCIA O DE OTRO MODO) QUE SURJA DE CUALQUIER MODO DE LA UTILIZACIÓN DE ESTE SOFTWARE, INCLUSO SI SE HA ADVERTIDO DE LA POSIBILIDAD DE DICHO DAÑO.
Este producto incluye software criptográfico escrito por Eric Young ([email protected]).
Este producto incluye software escrito por Tim Hudson ([email protected]).
Licencia original de SSLeay
Copyright (C) 1995-1998 Eric Young ([email protected]) Reservados todos los derechos.
Este paquete es una implementación de SSL escrita por Eric Young ([email protected]). La implementación se ha escrito de modo que se ajustara al SSL de Netscape.
Esta biblioteca es gratuita para el uso comercial y no comercial a condición de que se cumplan las condiciones siguientes. Las condiciones siguientes se aplican a todo el código que se encuentra en esta distribución, ya sea código RC4, RSA, lhash, DES, etc., no sólo código SSL. La documentación de SSL incluida en esta distribución está cubierta por los mismos términos de copyright excepto en que el titular es Tim Hudson ([email protected]).
El copyright sigue siendo de Eric Young y, por lo tanto, los avisos de Copyright del código no deberán eliminarse. Si este paquete se utiliza en un producto, se deberá atribuir a Eric Young la autoría de las partes de la biblioteca utilizadas. Esto puede realizarse en forma de mensaje de texto en el arranque del programa o en la documentación (en línea o de texto) proporcionada con el paquete.
Se permiten la redistribución y la utilización en formatos fuente y binario, con o sin modificaciones, a condición de que se cumplan las condiciones siguientes:
1. Las redistribuciones de código fuente deben contener el aviso de copyright, esta lista de condiciones y la renuncia siguiente.
2. Las redistribuciones en formato binario deben reproducir el aviso de copyright anterior, esta lista de condiciones y la renuncia siguiente en la documentación y/u otros materiales proporcionados con la distribución.
3. Todos los materiales de publicidad que mencionen características o el uso de este software deben mostrar la siguiente certificación:″Este producto incluye software criptográfico escrito por Eric Young ([email protected]).″ La palabra ’criptográfico’
puede omitirse si las rutinas de la biblioteca que se está utilizando no están relacionadas con la criptografía.
4. Si incluye cualquier código específico de Windows (o un derivado de éste) del directorio apps (código de aplicación) deberá incluir una certificación:″Este producto incluye software escrito por Tim Hudson ([email protected])″
ERIC YOUNG PROPORCIONA ESTE SOFTWARE″TAL CUAL″ Y SE RENUNCIA A CUALQUIER GARANTÍA EXPRESA O IMPLÍCITA, INCLUYENDO, PERO SIN LIMITARSE A, LAS GARANTÍAS IMPLÍCITAS DE COMERCIALIZACIÓN E IDONEIDAD PARA UN PROPÓSITO DETERMINADOS. EN NINGÚN CASO EL AUTOR O LOS COLABORADORES SERÁN RESPONSABLES DE NINGÚN DAÑO DIRECTO, INDIRECTO, INCIDENTAL, ESPECIAL, EJEMPLAR O CONSECUENTE (INCLUYENDO, PERO SIN LIMITARSE A, LA OBTENCIÓN DE MERCANCÍAS O SERVICIOS DE SUSTITUCIÓN, LA PÉRDIDA DE USO, DATOS O BENEFICIOS O LA INTERRUPCIÓN COMERCIAL) CAUSADO DE CUALQUIER MODO Y EN BASE A CUALQUIER TEORÍA DE RESPONSABILIDAD, YA SEA EN CONTRATO,
OBLIGACIÓN ESTRICTA O EN AGRAVIO (INCLUIDA LA NEGLIGENCIA O DE OTRO MODO) QUE SURJA DE CUALQUIER MODO DE LA UTILIZACIÓN DE ESTE SOFTWARE, INCLUSO SI SE HA ADVERTIDO DE LA POSIBILIDAD DE DICHO DAÑO.
No se pueden modificar los términos de la licencia y distribución para cualquier versión
Apache y Apache Tomcat
Este producto incluye software desarrollado por The Apache Group para utilizarse en el proyecto Apache HTTP Server (http://www.apache.org/).
Este producto incluye software desarrollado por Greg Stein <[email protected]> para utilizarse en el módulo mod_dav para Apache (http://www.webdav.org/mod_dav/).
Este producto incluye software derivado del software desarrollado por Henry Spencer.
Este producto incluye software derivado de RSA Data Security, Inc. MD5 Message-Digest Algorithm.
Partes de determinados componentes del Programa son copyright de MERANT, 1991-1999.
Visión general de Tivoli Kernel Services
Tivoli Kernel Services proporciona a las aplicaciones un conjunto de componentes y funciones para gestionar una amplia variedad de usuarios, dispositivos y servicios. Basado en las comunicaciones comunes, la mensajería, el almacenamiento de datos y los servicios de registro y ampliado con seguridad y una nueva interfaz de usuario basada en roles, Tivoli Kernel Services proporciona:
¶ Escalabilidad muy extendida. Con Tivoli Kernel Services, puede gestionar más dispositivos de lo que es posible con cualquier otro producto de gestión de sistemas Tivoli actual.
¶ Una sola infraestructura de gestión alrededor de la cual puede desarrollar el entorno de gestión de sistemas.
¶ Un entorno optimizado para la gestión de múltiples clientes (en lugar de una sola empresa).
¶ Soluciones de despliegue flexibles que pueden encargarse de empresas enormes con muchos dispositivos para gestionar o pequeñas tiendas con menos dispositivos. Tivoli Kernel Services crece con su empresa. La interfaz gráfica de usuario de la siguiente generación de Tivoli.
¶ Un entorno seguro tolerante con los errores. Disponibilidad continua mediante
actualizaciones modulares que no necesitan desactivar toda la empresa para realizar las actualizaciones.
¶ Servicios integrados para sistemas, aplicaciones y gestión de redes
Muy parecido a un sistema operativo, Tivoli Kernel Services proporciona las siguientes funciones principales de un sistema distribuido (como se muestra en la Figura 1 en la página 2):
¶ Servicios base, por ejemplo comunicaciones, almacenamiento de datos y seguridad
¶ Tivoli Console, una interfaz gráfica de usuario intuitiva basada en roles
¶ Gestión de dispositivos, por ejemplo dispositivos SNMP y dispositivos de almacenamiento
1
1.Visióngeneraldelaadministración
Componentes y servicios de Tivoli Kernel Services
Tivoli Kernel Services consta de los tipos siguientes de componentes y servicios:
Servicios básicos
Los servicios básicos de Tivoli Kernel Services proporcionan capacidades básicas que son fundamentales para el funcionamiento del sistema distribuido o que proporcionan servicios que todos los demás componentes deben utilizar de forma coherente en todo el sistema. Este grupo de componentes incluye el ORB (el componente de control y direccionamiento central de Tivoli Kernel Services) y los servicios para validar la identidad y los derechos de acceso de un usuario, el compartimiento y el almacenamiento de datos, así como la entrega de mensajes en todo el sistema distribuido.
Componentes de nivel de componente
Los componentes de nivel de componente de Tivoli Kernel Services proporcionan un medio mediante el cual se pueden gestionar partes de las aplicaciones y los servicios en todo el sistema Tivoli Kernel Services. Este grupo de componentes incluye servicios para desplegar componentes para la operación más eficiente de Tivoli Kernel Services, la instalación del software y el despliegue del software en las ubicaciones correctas.
Componentes de nivel de recurso
Los componentes de nivel de recurso de Tivoli Kernel Services son los que
proporcionan el acceso directo a los recursos del sistema distribuido. Este grupo de componentes incluye los gateways, el servicio de localizador que determina qué gateway se debe utilizar para un recurso determinado y las pilas de protocolos y los metadatos utilizados para comunicarse con los recursos.
Componentes de nivel de aplicación
Además de las funciones base proporcionadas por Tivoli Kernel Services, se proporcionan unos cuantos componentes que se pueden considerar aplicaciones por derecho propio o al menos partes de una aplicación en lugar de una parte de Tivoli
Figura 1. Entorno de sistema distribuido
Administración de Tivoli Kernel Services utilizando Tivoli Console
Tivoli Console es la interfaz gráfica de usuario (GUI) para la Administración de Tivoli Kernel Services. Tivoli Console es la interfaz principal utilizada para realizar tareas de gestión de usuarios y sistemas para Tivoli Kernel Services y las aplicaciones que se ejecutan en Tivoli Kernel Services. Tivoli Console proporciona una sola interfaz en la que se deben realizar las tareas de administración del sistema, independientemente de las aplicaciones o los componentes instalados. Para obtener detalles que describen Tivoli Console y sus características, consulte el apartado “Una Tivoli Console nueva” en la página 5.
Utilizando la Administración de Tivoli Kernel Services, puede gestionar los componentes y servicios siguientes de Tivoli Kernel Services:
Conexiones de datos
Proporcionan el acceso uniforme a un amplio rango de almacenes de datos.
Directorio Correlaciona objetos con su ubicación en el sistema. También almacena algunos de los atributos para dichos objetos, proporcionando un almacén de datos jerárquico distribuido en todo el sistema.
Despliegue Deja los componentes y los servicios disponibles en todo el sistema distribuido.
Gateway Gestiona las comunicaciones y las conexiones entre un grupo de Endpoints y Tivoli Kernel Services. Gateway convierte los protocolos de servidor en protocolos de Endpoint y viceversa.
Registro Gestiona el registro de mensajes de componentes y datos de rastreo en el sistema distribuido.
Servicio de mensajería
Proporciona el fundamento para los mensajes entre los componentes y las aplicaciones. Estos mensajes incluyen elementos tales como eventos del sistema y la notificación de cambios de configuración.
Servicio NEL (Network Endpoint Locator Service)
Comprueba el acceso de seguridad a un recurso y establece el mejor gateway posible para que una aplicación pase comandos y datos a y desde un
Endpoint.
Seguridad Proporciona la autorización y la autenticación en una instalación Tivoli Kernel Services.
Configuración de dispositivo SNMP
Gestiona la información de configuración de SNMP para recursos IP en una instalación Tivoli Kernel Services.
La Administración de Tivoli Kernel Services está organizada en los tres grupos de tareas, que incluyen la administración general del sistema, la administración del sistema de
seguridad y la administración de registro del sistema. Consulte los capítulos siguientes para obtener más detalles que describen las tareas proporcionadas en cada uno de los grupos de tareas:
¶ “Administrar seguridad” en la página 9
¶ “Administrar registro” en la página 27
¶ “Administrar software de gestión” en la página 31
1.Visióngeneraldelaadministración
Administración de Tivoli Kernel Services utilizando la interfaz de línea de comandos (CLI)
Tivoli Kernel Services también proporciona una CLI que le permite realizar operaciones del sistema desde una línea de comandos en lugar de utilizar Tivoli Console. La interfaz de línea de comandos puede ejecutarse sin que se ejecute la GUI o en una ventana independiente mientras la GUI también está en ejecución.
La CLI proporciona el control completo del entorno gestionado y los scripts de shell la pueden utilizar fácilmente para realizar secuencias complejas de comandos.
Este documento se centra en la administración de Tivoli Kernel Services utilizando Tivoli Console. Para obtener detalles acerca de la CLI y la sintaxis de los comandos, consulte la publicación Tivoli Kernel Services Command Reference.
Una Tivoli Console nueva
Tivoli Console es la interfaz gráfica de usuario (GUI) basada en roles para realizar tareas utilizando software de gestión de Tivoli. Sólo presenta las tareas que son pertinentes al rol en particular y le permite realizar tareas sin tener que comprender los detalles del software subyacente. Tivoli Console también proporciona controles y comportamientos coherentes en las tareas e incluye ayuda de usuario incorporada.
Un rol es una función de trabajo, por ejemplo “distribuidor de software,” que identifica las tareas que puede realizar y los recursos a los que tiene acceso. Puede que se le asignen uno o más roles en función de los cargos que desempeñe. Una tarea representa uno o más componentes de software de Tivoli que se ejecutan como una entidad independiente para llevar a cabo el trabajo.
Diseño de Tivoli Console
La Figura 2 muestra un ejemplo de Tivoli Console en Tivoli Kernel Services.
Los componentes clave de Tivoli Console incluyen lo siguiente:
Área de cabecera
Área entre la barra de títulos y la barra de menús que puede servir de navegador Web. Un administrador del sistema puede personalizar esta área opcional para incluir información pertinente para una organización determinada. Por ejemplo, puede que
Figura 2. Componentes clave de Tivoli Console
2
2.UnaTivoliConsolenueva
una organización desee incluir en dicha área la descripción de rol para un usuario determinado, el logotipo de la compañía o enlaces a sitios de Internet y de intranet.
Portafolio
Contenedor de las tareas que son pertinentes para un rol determinado. Cuando está abierto, el portafolio se visualiza en Tivoli Console a la izquierda del área de trabajo. Cuando está cerrado, el portafolio se indica mediante un asa de portafolio.
Barra de estado
Barra situada debajo del área de trabajo que está dividida en dos secciones. La sección de la izquierda contiene información acerca del objeto sobre el cual se encuentra el puntero del ratón. La sección de la derecha contiene un indicador de progreso o información de estado acerca de la tarea que se está ejecutando. Para alargar una sección de la barra de estado y acortar la otra, arrastre el separador de sección hacia la izquierda o hacia la derecha.
Barra de tareas
Barra ubicada en la parte inferior de la ventana que contiene un botón, llamado botón de tarea, para cada tarea que se está ejecutando. Cuando se hace clic con el botón derecho del ratón en el fondo de la barra de tareas, se abre el menú de contexto para la barra de tareas.
Botón de tarea
Botón situado en la barra de tareas que representa una tarea que se está ejecutando.
Una tarea puede tener asociadas a ella múltiples ventanas. Cuando se hace clic en un botón de tarea, la ventana asociada con la tarea se abre en el área de trabajo. Cuando se hace clic con el botón derecho del ratón en un botón de tarea, se abre el menú de contexto para dicha tarea. Cada botón de tarea incluye también un pequeño icono que comunica el estado actual de la tarea.
Área de trabajo
Área en la que se visualiza la GUI para una tarea. Esta área no incluye el portafolio ni Tivoli Assistant.
Tivoli Assistant
Lugar donde se debe ir para encontrar las respuestas a las preguntas. El Tivoli Assistant se abre mediante el signo de interrogación ubicado en el extremo derecho de la barra de tareas o en la parte superior derecha de cualquier ventana separada.
Cuando está abierto, Tivoli Assistant se visualiza dentro de Tivoli Console a la derecha del área de trabajo. Proporciona información de ayuda según contexto para la tarea que se está realizando, así como información de consulta.
Localización y realización de tareas
Las tareas están ordenadas en grupos de tareas, que organizan las tareas en categorías lógicas. Estos grupos de tareas se visualizan en el portafolio de Tivoli Console.
Para ver la lista de tareas bajo un grupo de tareas determinado, haga clic en el grupo de tareas para expandirlo. Cuando el grupo de tareas se haya expandido, haga clic en la tarea que desea iniciar en ese grupo. Al hacer clic en una tarea se abre un diálogo que le guía durante una actividad o se le muestra una lista de recursos en los que puede realizar acciones.
Cuando aparezca una lista de recursos, puede hacer clic con el botón derecho del ratón en un recurso para abrir un menú de contexto. El menú de contexto sólo visualiza las acciones que son pertinentes para dicho recurso.
El menú y la barra de herramientas son específicos de tarea y contienen los menús y las herramientas disponibles para la tarea que está activa en el área de trabajo. Sin embargo, algunos elementos de menú y algunas herramientas son las mismas para todas las tareas.
Además de los elementos listados aquí, algunas de las aplicaciones que utilizan Tivoli Console emplean un área de descripción de campo, que visualiza texto descriptivo e instrucciones en la interfaz y que se actualiza automáticamente a medida que un usuario se mueve de un campo a otro. Sin embargo, en este release Tivoli Kernel Services no utiliza dicha área.
Ayuda de usuario incorporada
Tivoli Console ofrece una característica nueva importante, la ayuda de usuario incorporada mediante el uso de Tivoli Assistant.
Tivoli Assistant puede abrirse realizando una de las acciones siguientes:
¶ Haga clic en el signo de interrogación ubicado en el extremo derecho de la barra de herramientas de Tivoli Console o en la parte superior derecha de una ventana separada.
¶ Seleccione Abrir Tivoli Assistant en el elemento de menú Ayuda.
¶ Pulse F1.
Tivoli Assistant sustituye la Guía del usuario que acompaña a la mayoría de los productos de software. Tivoli Assistant incluye información acerca de Tivoli Kernel Services, Tivoli Console y del propio Tivoli Assistant. Cuando se instala una aplicación, la información de la aplicación también se integra sin interrupciones en Tivoli Assistant.
La información contenida en Tivoli Assistant está organizada por temas. El tema pertinente a la tarea que está realizando se visualiza a la derecha del área de trabajo cuando se abre inicialmente Tivoli Assistant, como se ilustra en la Figura 3.
Figura 3. Tivoli Console con Tivoli Assistant abierto
2.UnaTivoliConsolenueva
Puede realizar búsquedas en la información disponible, revisar la información de visión general o ver la tabla de contenido y el índice para localizar la información que desea. Una vez que haya localizado la información, puede ajustar el tamaño de la ventana Tivoli Assistant para facilitar la visualización, separar totalmente la ventana del área de trabajo o imprimir la información.
Estas tareas pueden llevarse a cabo utilizando la barra de herramientas de Tivoli Assistant, que se muestra en la Figura 4.
Desde la barra de herramientas de Tivoli Assistant, puede acceder a un Índice de mensajes que contiene punteros a temas de ayuda de mensajes para todas las aplicaciones instaladas.
Éste se clasifica alfanuméricamente por identificador de mensaje y tiene una función de búsqueda. Generalmente, estos mensajes se visualizan en diálogos emergentes que necesitan la acción del usuario, como se muestra en la Figura 5. Puede obtener información de ayuda para diálogos de mensajes igual que para cualquier otro diálogo, haciendo clic en el signo de interrogación situado en la parte superior derecha del recuadro de diálogo.
Visita guiada de Tivoli Console
Antes de empezar a utilizar Tivoli Console, puede que esté interesado en realizar una visita guiada basada en Web para reforzar los conceptos presentados en este capítulo. El visita guiada se incluye en el CD-ROM de instalación en el subdirectorio tivolidocs. También puede bajar la visita guiada del sitio Web siguiente:
http://www.tivoli.com/products/demos
Figura 4. Barra de herramientas de Tivoli Assistant
Figura 5. Ventana de mensaje
Administrar seguridad
El grupo de tareas Administrar seguridad incluye tareas para administrar la seguridad del sistema. Estas tareas proporcionan servicios de autenticación y autorización para los componentes, las aplicaciones, los servicios y los usuarios.
El subsistema de seguridad consta del Servicio de autenticación, que valida la identidad de un usuario y del Servicio de autorización, que determina si un usuario tiene derecho a ejecutar una acción específica o a acceder a un recurso específico. Estos dos servicios se ejecutan en objetos contenidos en el registro de seguridad. El registro de seguridad es un servidor de gestión de datos que proporciona una representación y un repositorio coherentes de información relacionada con los usuarios y el control de accesos de los recursos. Para obtener más información sobre el registro de seguridad, su organización y los aspectos de planificación de la seguridad, consulte la publicación Planificación de Tivoli Kernel Services.
El primer paso en la seguridad del sistema distribuido consiste en crear usuarios. Un usuario es una persona que va a utilizar Tivoli Kernel Services para realizar tareas. Para acceder al sistema, este usuario necesita una o más cuentas. Estas cuentas contienen las credenciales del usuario, por ejemplo el nombre de usuario y la contraseña. Cuando un usuario inicia la sesión en el sistema, el Servicio de autenticación comprueba que el nombre de usuario y la contraseña que se han entrado coincidan con la información contenida en la cuenta de dicho usuario. (Consulte el apartado “Asociación de usuarios con cuentas” en la página 11 para obtener más información sobre cuentas.)
Una vez que el usuario tiene acceso al sistema, las tareas que dicho usuario puede realizar las determinarán los roles que se le hayan asignado. Un rol es una función de trabajo que define las condiciones de acceso que un usuario tiene en un conjunto de recursos.
Figura 6. Grupo de tareas Administrar seguridad
3
3.Administrarseguridad
Adición de usuarios
Para crear un usuario nuevo en Tivoli Kernel Services, seleccione la tarea Añadir usuario en el grupo de tareas Administrar seguridad del portafolio. Desde la ventana Usuario, que se muestra en la Figura 7, puede crear usuarios.
Nota: Al crear un usuario nuevo utilizando la tarea Añadir usuario, se visualiza una ventana Opciones de directorio que le permite elegir el directorio de registro de seguridad en el que se ubicará el nuevo usuario. Alternativamente, puede seleccionar un directorio en el registro de seguridad donde desea que se ubique el usuario y, a continuación, hacer clic en el icono Añadir usuario ( ) para crear el nuevo usuario en el directorio seleccionado.
Una vez que se ha creado el usuario, se visualiza la ventana Propiedades de usuario. Desde esta ventana, que se muestra en la Figura 8 en la página 11, puede ver y editar las
propiedades de usuario y crear, editar o suprimir las cuentas del usuario. Consulte los temas de ayuda en línea de Tivoli Assistant si desea obtener instrucciones paso a paso para realizar estas tareas.
Figura 7. Ventana Usuario
Asociación de usuarios con cuentas
Después de haber creado un usuario en Tivoli Kernel Services, puede asociar una o varias cuentas a dicho usuario. Un usuario necesita una cuenta para entrar en el sistema. Existen dos tipos principales de cuentas en Tivoli Kernel Services:
¶ Cuentas Kernel
Este tipo de cuenta se define en el registro de seguridad de Tivoli Kernel Services y necesita un nombre de usuario y una contraseña con los que iniciar la sesión. El tipo de cuenta se denomina Cuenta Kernel.
¶ Cuentas nativas
Este tipo de cuenta se define en un sistema operativo nativo, por ejemplo las plataformas Windows o UNIX, y necesita un nombre de usuario, un nombre de host y una
contraseña con los que iniciar la sesión. Los tipos de cuentas nativas incluyen los siguientes:
v Cuenta NT v Cuenta Unix
Cuando cree una cuenta nativa, deberá asegurarse de que el nombre de cuenta sea exclusivo en la instalación. Si se crean dos cuentas con el mismo nombre, se invalidarán ambas cuentas.
Nota: En Tivoli Kernel Services existen los tipos de cuentas siguientes, pero éstos no se utilizan actualmente:
v Cuenta Web v Cuenta DB2
Un usuario puede tener múltiples cuentas y múltiples tipos de cuentas. Por ejemplo, un usuario puede iniciar la sesión utilizando una cuenta NT, una cuenta Unix o una cuenta
Figura 8. Ventana Propiedades de usuario
3.Administrarseguridad
Kernel. Si desea iniciar la sesión en Tivoli Console utilizando una cuenta diferente de la que se ha utilizado originalmente para iniciar la sesión, cierre y reinicie Tivoli Console y, a continuación, entre el nombre de usuario y la contraseña en la ventana de inicio de sesión.
Métodos de inicio de sesión
Se pueden utilizar los métodos de inicio de sesión siguientes para iniciar la sesión en la interfaz de línea de comandos o la GUI de Tivoli Kernel Services. Cuando asocie cuentas con un usuario, tengan en cuenta el método de inicio de sesión que éste utilizará para realizar su trabajo.
¶ Método de inicio de sesión de cuenta Kernel
El método de inicio de sesión de cuenta Kernel le permite iniciar la sesión utilizando la GUI y la interfaz de línea de comandos con una cuenta Kernel. Este método requiere que los usuarios entren la opción –u con el comando wcmd. Las contraseñas de la cuenta Kernel se almacenan en el registro de seguridad.
¶ Método de inicio de sesión local nativo
El método de inicio de sesión local nativo sólo puede realizar la autenticación local nativa por medio de la interfaz de línea de comandos. Este tipo de inicio de sesión elimina la necesidad de entrar la opción –u con el comando wcmd y permite el proceso por lotes de los comandos.
¶ Método de inicio de sesión remoto nativo
El método de inicio de sesión remoto nativo puede utilizarse para iniciar la sesión utilizando la GUI y la interfaz de línea de comandos mediante la entrada de usuario@nombrehost para el nombre de usuario.
Notas:
1. El método de inicio de sesión remoto nativo requiere que se despliegue
RemoteAuthenticationService en el ORB de la máquina donde están definidos los usuarios que desea autenticar de forma remota. Si desea dar soporte a dominios Windows NT y a la autenticación remota nativa, no tienen que existir ningún conflicto de nombre de cuenta local con el dominio en esta máquina. (Para obtener más información sobre cómo desplegar componentes, consulte el apartado “Gestión y despliegue de componentes” en la página 33).
2. En un entorno Windows, el ORB debe iniciarse desde el Panel de control para utilizar el método de inicio de sesión remoto nativo en dicho ORB. Si en lugar de ello se utiliza la línea de comandos, el usuario que inicia el ORB debe tener asignado el derecho de usuario para ″funcionar como una parte del sistema operativo″ a fin de utilizar el método de inicio de sesión remoto nativo.
Para establecer los derechos de usuario en sistemas Windows 2000:
a. En el menú Inicio, seleccione Configuración → Panel de control →
Herramientas administrativas → Directiva de seguridad local → Directivas locales→ Asignación de derechos de usuario.
b. Haga clic con el botón derecho del ratón en la directiva Funcionar como parte del sistema operativo y seleccione Seguridad.
c. Añada el usuario.
a. En el menú Inicio, seleccione Programas → Herramientas administrativas → Administrador de usuarios.
b. En el menú Directivas, seleccione Derechos de usuario.
c. Seleccione el recuadro de selección Mostrar derechos de usuario avanzados.
d. En la lista desplegable Derecho, seleccione Funcionar como parte del sistema operativo.
e. En la lista Conceder a, seleccione el nombre de usuario o el grupo y haga clic en Aceptar.
Adición de una cuenta Kernel a un usuario
Los pasos siguientes muestran cómo añadir una cuenta Kernel a un usuario.
1. En el portafolio, seleccione Administrar seguridad→ Ver usuarios, recursos, roles.
2. En la ventana Registro de seguridad, localice el objeto de persona al que desea añadir la cuenta.
3. Haga doble clic en la persona.
4. En la ventana Propiedades de usuario (junto a la tabla Cuentas), haga clic en Nuevo.
5. Seleccione Cuenta Kernel y haga clic en Aceptar.
6. En la ventana Cuenta:
a. En el campo Nombre completo, escriba el nombre de usuario que utilizará esta persona para iniciar la sesión en el sistema. Por ejemplo, eap.
b. Deje vacío el campo Nombre de host del sistema. Para las cuentas Kernel no se utilizan nombres de host.
c. En el campo Contraseña, escriba una contraseña que utilizará dicha persona para iniciar la sesión en el sistema.
d. Haga clic en Aceptar para crear la cuenta.
3.Administrarseguridad
Adición de una cuenta nativa a un usuario
Los pasos siguientes muestran cómo añadir una cuenta nativa nueva a un usuario.
1. En el portafolio, seleccione Administrar seguridad → Ver usuarios, recursos, roles.
2. En la ventana Registro de seguridad, localice el objeto de persona al que desea añadir la cuenta.
3. Haga doble clic en la persona.
4. En la ventana Propiedades de usuario (junto a la tabla Cuentas), haga clic en Nuevo.
5. Seleccione la Cuenta NT o Cuenta Unix correspondiente al tipo de sistema operativo nativo y haga clic en Aceptar.
6. En la ventana Cuenta:
a. En el campo Nombre completo, escriba el nombre de usuario con el que el usuario inicia la sesión en el sistema operativo nativo. Por ejemplo, epresley.
b. En el campo Nombre de host del sistema, escriba el nombre de host totalmente
La contraseña de sistema operativo nativo se utiliza para autenticar al usuario. Si no entra la contraseña se evitará tener que mantener la contraseña que se almacena en el registro de seguridad en sincronismo con la contraseña del sistema operativo.
d. Haga clic en Aceptar para crear la cuenta.
Para comprobar la cuenta nueva, el usuario puede entrar wcmd list en un indicador de comandos. Si la cuenta se ha creado satisfactoriamente, el comando no necesitará la opción –u para especificar un nombre de usuario.
Si desea utilizar la misma cuenta para iniciar la sesión en Tivoli Console, asegúrese de que se ha desplegado RemoteAuthenticationService en el ORB donde están definidos los
usuarios que desea autenticar de forma remota. En la ventana de inicio de sesión, el usuario debe entrar su nombre de usuario con el formato usuario@nombrehost como se muestra en la Figura 9 y entrar la contraseña de sistema operativo para la contraseña.
Superadministradores
Tivoli Kernel Services proporciona un usuario y una cuenta especiales que se denominan superadministrador. Este superadministrador tiene acceso a la instalación Tivoli Kernel Services entera incluido el registro de seguridad y se le asignan automáticamente todos los roles, predefinidos o recién creados, del sistema. El usuario está ubicado en el directorio security/SuperAdministrators/ del registro de seguridad y el nombre de usuario es John D.
Figura 9. Método de inicio de sesión remoto nativo
3.Administrarseguridad
Super. De forma predeterminada este usuario está asociado con una cuenta Kernel llamada superadmin. Para crear superadministradores adicionales, deberá copiar este usuario, redenominarlo asegurándose de mantenerlo en el directorio SuperAdministrators y asignarle una nueva cuenta de inicio de sesión con un ID de usuario y una contraseña actualizados.
Para obtener instrucciones paso a paso, consulte el apartado “Copia de objetos en el registro de seguridad” en la página 24. A cualquier superadministrador adicional creado en el
directorio SuperAdministrators se le asignan automáticamente todos los roles, predefinidos o recién creados, del sistema.
Creación de roles
Tivoli Kernel Services utiliza el concepto de control de acceso basado en rol para gestionar la seguridad del sistema. En lugar de especificar permisos de seguridad para usuarios o grupos individuales, se crean capacidades que un usuario asignado al rol puede realizar en un conjunto de destinos. Las capacidades son un conjunto de condiciones de acceso, que son permisos para realizar determinadas acciones, en un grupo de recursos (destinos). Una capacidad puede agrupar varias condiciones tales como LEER, GRABAR y SUPRIMIR.
Tenga en cuenta estas directrices cuando cree sus propios roles:
¶ El nombre de rol debe reflejar la función de trabajo. Un rol corresponde a una función de trabajo y tiene un nombre que debe describir dicha función de trabajo. Parece natural que el acceso de una persona (o una aplicación) a los recursos se base en la función o las funciones de dicha persona (o dicha aplicación) dentro de la organización.
Un usuario puede tener cero roles, un rol o más de un rol.
¶ Cada rol contiene un conjunto de capacidades. Cada capacidad tiene un identificador que es exclusivo en el rol. Cada capacidad otorga un conjunto de condiciones de acceso a un conjunto de recursos.
¶ Un rol es una combinación de derechos más condiciones. Cada condición de acceso representa una acción que se permite realizar a un usuario en un recurso. Cada tipo de recurso puede soportar un conjunto diferente de acciones, por consiguiente el conjunto de derechos válidos dependerá del tipo de recurso.
¶ Los usuarios se asignan de forma dinámica o estática a los roles. Después de crear un usuario y determinar qué roles son apropiados para el mismo, puede asignar de forma estática los roles al usuario o crear filtros para asignar de forma dinámica los roles a los usuarios.
¶ Los recursos se asignan de forma dinámica o estática a las capacidades. Después de haber creado una capacidad y de determinar qué recursos son apropiados para dicha capacidad, puede asignar de forma estática recursos a la capacidad o crear filtros para asignar de forma dinámica recursos a la capacidad.
Para crear un rol nuevo en Tivoli Kernel Services, seleccione la tarea Añadir rol en el grupo de tareas Administrar seguridad del portafolio. Desde la ventana Rol, que se muestra en la Figura 10 en la página 17, puede crear y editar roles.
Nota: Cuando se crea un nuevo rol utilizando la tarea Añadir rol, se visualiza la ventana Opciones de directorio que le permite elegir el directorio de registro de seguridad en el que se ubicará el nuevo rol. Alternativamente, puede seleccionar el directorio en el registro de seguridad donde desea que se ubique el nuevo rol y luego hacer clic en el
Una vez creado el rol, se visualiza la ventana Propiedades de rol. Desde esta ventana, que se muestra en la Figura 11, puede ver y editar propiedades de rol y crear, editar o suprimir las capacidades y las condiciones de acceso de un rol. Consulte los temas de ayuda en línea de Tivoli Assistant si desea obtener instrucciones paso a paso para realizar estas tareas.
Figura 10. Ventana Rol
Figura 11. Ventana Propiedades de rol
3.Administrarseguridad
Asignación de roles a un usuario
Los usuarios pueden estar asociados con roles de forma estática o dinámica.
Los pasos siguientes muestran cómo asociar de forma estática un usuario con un rol.
1. En el portafolio, seleccione Administrar seguridad → Ver usuarios, recursos, roles.
2. En la ventana Registro de seguridad, haga doble clic en un usuario. Se visualiza la ventana Propiedades de usuario.
3. En la ventana Propiedades de usuario, haga clic en Editar.
4. En la ventana Usuario, seleccione Roles asignados estáticamente. Se visualizan los roles que están asignados actualmente de forma estática al usuario.
5. Haga clic en Nuevo para visualizar los roles adicionales que están disponibles para asignarse al usuario.
6. Seleccione los roles deseados y haga clic en Aceptar.
7. En la ventana Usuario, haga clic en Aceptar para guardar los cambios.
Los usuarios pueden asociarse dinámicamente con un rol por medio de un filtro de miembros de rol. Para añadir un filtro de miembros a un rol:
1. En el portafolio, seleccione Administrar seguridad → Ver usuarios, recursos, roles.
2. En la ventana Registro de seguridad, haga doble clic en el rol.
3. En la ventana Propiedades de rol, haga clic en Editar.
4. En la ventana Rol, seleccione Filtro de miembros.
5. Seleccione una propiedad en la lista desplegable Propiedad. Por ejemplo, Departamento.
6. Escriba un valor para la propiedad en el campo de texto. Por ejemplo, 123.
7. Haga clic en Aceptar para guardar el filtro de miembros.
En este ejemplo, se asignarán dinámicamente a este rol todos los usuarios añadidos al sistema (además de los usuarios existentes) con el atributo″Departamento=123″.
Después de haber configurado los usuarios, los roles, las cuentas y las capacidades en el sistema, el Servicio de autorización utiliza dicha información cuando un usuario intenta realizar una acción en un recurso y comprueba si dicho usuario tiene el rol, la capacidad y las condiciones de acceso adecuados para efectuar las acciones especificadas en o para el recurso. Una vez que el usuario ha sido autenticado y autorizado a realizar las acciones, se le denomina director.
Roles de Tivoli Kernel Services
En Tivoli Kernel Services existen dos tipos de roles:
¶ Roles de Tivoli Kernel Services, que controlan las acciones que un usuario puede realizar al utilizar las tareas del portafolio. Estos roles están ubicados en los directorios security/roles/, system/services/roles/ o system/roles/ del registro de seguridad.
¶ Roles de Administración de Tivoli Kernel Services, que indican qué tareas del portafolio están disponibles para un usuario asignado a dicho rol. Estos roles están ubicados en el directorio PS/PSServer/Roles/MACImpl/5.2.0/ del registro de seguridad.
3.Administrarseguridad
Debe asignar ambos tipos de roles a un usuario para que los usuarios tengan acceso a las tareas de portafolio apropiadas y puedan realizar las acciones correctas con dichas tareas del portafolio. Para obtener una lista completa de los roles definidos por el sistema disponibles en Tivoli Kernel Services, consulte el apartado “Roles definidos por el sistema” en la página 43.
La Tabla 1, la Tabla 2, la Tabla 3 en la página 21 y la Tabla 4 en la página 21 muestran la ubicación en el registro de seguridad y una descripción de los roles de Tivoli Kernel Services y de Administración de Tivoli Kernel Services necesarios para proporcionar a un usuario el acceso a las tareas del portafolio.
Tabla 1. Roles ubicados en el directorio PS/PSServer/Roles/ del registro de seguridad
PS/PSServer/Roles/
MACImpl/5.2.0/MACInstallUser Rol que permite a los usuarios realizar todas las funciones de administración del sistema.
Proporciona acceso a todas las tareas de todos los grupos de tareas.
MACImpl/5.2.0/MACLimitedSecurityUser Rol que permite a los usuarios ver información de seguridad para el usuario y la cuenta con la que el usuario ha iniciado la sesión en la consola así como buscar recursos de seguridad.
Proporciona acceso a las tareas Ver propiedades del usuario y Buscar seguridad en el grupo de tareas Administrar seguridad.
MACImpl/5.2.0/MACLoggingUser Rol que permite a los usuarios realizar funciones de administración de registro. Proporciona acceso a todas las tareas del grupo de tareas
Administrar registro.
MACImpl/5.2.0/MACOrbUser Rol que permite a los usuarios realizar funciones de administración de conexión de datos,
componentes, conjuntos de ORB y ORB.
Proporciona acceso a las tareas Gestionar los ORB, Ver conexiones de datos y Ver configuración de SNMP.
MACImpl/5.2.0/MACResourceUser Rol que permite a los usuarios realizar funciones de administración de directorio. Proporciona acceso a la tarea Ver directorio.
MACImpl/5.2.0/MACSecurityUser Rol que permite a los usuarios realizar funciones de administración de seguridad. Proporciona acceso a todas las tareas del grupo de tareas Administrar seguridad.
MACImpl/5.2.0/MACSeniorUser Rol que permite a los usuarios realizar todas las funciones de administración del sistema.
Proporciona acceso a todas las tareas de todos los grupos de tareas.
Tabla 2. Roles ubicados en el directorio security/roles/ del registro de seguridad security/roles/
Tabla 2. Roles ubicados en el directorio security/roles/ del registro de seguridad (continuación)
security/roles/
Administrador de usuarios Rol que otorga autorización para trabajar sólo con cuentas y personas, no tiene autorización para trabajar con roles. Puede añadir, suprimir y editar cuentas y personas en cualquier lugar del registro de seguridad excepto en el directorio de seguridad. No tiene autorización para utilizar los comandos CLI de seguridad.
Tabla 3. Roles ubicados en el directorio system/services/roles/ del registro de seguridad
system/services/roles/
DirectoryService Rol que otorga acceso completo al Servicio de directorios. No suprima este rol porque lo utilizan los servicios internos.
Tabla 4. Roles ubicados en el directorio system/roles/ del registro de seguridad system/roles/
Administrador de registro Rol que otorga autorización para gestionar anotadores, manejadores y filtros (máscaras).
Administrador del sistema Rol que proporciona acceso de usuario final a la totalidad de Tivoli Kernel Services excepto al registro de seguridad. Proporciona acceso a todos los comandos CLI excepto a los comandos de seguridad.
La Tabla 5 muestra la combinación de roles de Administración de Tivoli Kernel Services y de roles de Tivoli Kernel Services necesaria para proporcionar a un usuario el acceso a las tareas del portafolio. Por ejemplo, si desea proporcionar a alguien la autorización para trabajar con cuentas y personas en el registro de seguridad, pero desea limitar la capacidad de dicha persona de editar o asignar roles, puede asignarle el rol MACLimitedSecurityUser y el rol de Administrador de usuarios. El primer rol otorga a un usuario el acceso a un
conjunto limitado de tareas del portafolio y el segundo rol proporciona al usuario los permisos necesarios para trabajar con cuentas y personas en el registro de seguridad.
Tabla 5. Roles y acceso a las tareas del portafolio Rol de Administración de
Tivoli Kernel Services
Rol de Tivoli Kernel
Services Acceso disponible
MACSeniorUser Administrador del sistema y
Administrador ¶ Están disponibles todas las tareas
¶ Otorga autorización completa para la totalidad de Tivoli Kernel Services y el registro de seguridad
3.Administrarseguridad
Tabla 5. Roles y acceso a las tareas del portafolio (continuación) Rol de Administración de
Tivoli Kernel Services
Rol de Tivoli Kernel
Services Acceso disponible
MACInstallUser Administrador del sistema y
Administrador ¶ Están disponibles todas las tareas
¶ Otorga autorización completa para la totalidad de Tivoli Kernel Services y el registro de seguridad MACLoggingUser Administrador de registro
¶ Acceso a todas las tareas del grupo de tareas Administrar registro
¶ Otorga autorización para gestionar anotadores, manejadores, filtros (máscaras)
MACOrbUser Administrador del sistema
¶ Acceso a las tareas Gestionar los ORB, Ver conexiones de datos y Ver configuración de SNMP
¶ Puede realizar funciones de administración de conexión de datos, componentes, conjuntos de ORB y ORB
¶ Otorga el acceso completo a Tivoli Kernel Services excepto al registro de seguridad
MACResourceUser DirectoryService
¶ Acceso a la tarea Ver directorio
¶ Otorga acceso completo al Servicio de directorios
MACLimitedSecurityUser Administrador de usuarios
¶ Acceso a las tareas Ver
propiedades de usuario y Buscar seguridad
¶ Otorga autorización para trabajar sólo con cuentas y personas
¶ Puede añadir, suprimir y editar cuentas y personas en cualquier lugar del registro de seguridad excepto en el directorio de seguridad
MACSecurityUser Administrador
¶ Acceso a todas las tareas del grupo de tareas Administrar seguridad
¶ Otorga acceso completo a todos los objetos del registro de seguridad
Visualización de las propiedades de usuario
Para visualizar información de cuenta y usuario para la cuenta y el usuario con los que ha iniciado la sesión, seleccione la tarea Ver propiedades de usuario del grupo de tareas Administrar seguridad del portafolio. Desde esta ventana, que se muestra en la Figura 12, puede ver y actualizar información de usuario y cuenta. Consulte los temas de ayuda en línea de Tivoli Assistant si desea obtener instrucciones paso a paso para realizar estas tareas.
Visualización de usuarios, recursos y roles
Para visualizar la ventana de navegación principal para el registro de seguridad, seleccione la tarea Ver usuarios, recursos, roles en el grupo de tareas Administrar seguridad del
portafolio. Desde esta ventana, que se muestra en la Figura 13 en la página 24, puede mover o redenominar objetos y crear o editar cuentas, usuarios, roles, directores, unidades
organizativas y capacidades. Consulte los temas de ayuda en línea de Tivoli Assistant si desea obtener instrucciones paso a paso para realizar estas tareas.
Figura 12. Ventana Ver propiedades de usuario
3.Administrarseguridad
Administración del registro de seguridad
Una vez que se han creado, los usuarios, las cuentas y los roles pueden organizarse en partes lógicas. En el registro de seguridad, puede crear unidades organizativas, que son
contenedores para todos los objetos de seguridad. Estos contenedores pueden utilizarse para organizar los objetos de seguridad de acuerdo con los departamentos o unidades de empresa dentro de una organización o cualquier otro división lógica.
Después de definir las unidades organizativas, puede asociar esos objetos de seguridad entre sí. Puede formar y mantener manualmente estas asociaciones o puede crear filtros para crear dinámicamente dichas asociaciones. Estos filtros, o consultas, asocian los usuarios con los roles y las cuentas o las capacidades y las condiciones de acceso con los destinos, etc.
Las consultas se crean utilizando tipos de clases de objeto, que son entradas de datos u objetos del registro de seguridad. Las consultas que utilizan tipos de clases de objeto pueden ser muy generales y de alto nivel, por ejemplo filtrar todos los usuarios o roles, así como más detalladas, por ejemplo filtrar basándose en el apellido o el número de teléfono de un usuario. A medida que cambian los datos, cambian las asociaciones entre objetos.
Para obtener más información sobre el registro de seguridad, su organización y los aspectos de planificación de la seguridad, consulte la publicación Planificación de Tivoli Kernel Services.
Copia de objetos en el registro de seguridad
Existen varias razones por las cuales puede desear copiar objetos en el registro de seguridad.
Figura 13. Ventana Registro de seguridad
2. En la ventana Registro de seguridad, localice el rol que desea copiar.
3. Haga clic con el botón derecho del ratón en el rol y seleccione Copiar en el menú de contexto.
4. Seleccione el directorio donde desea que se ubique el nuevo rol.
5. En el menú Editar, seleccione Pegar.
6. Haga clic con el botón derecho del ratón en el nuevo rol y seleccione Renombrar en el menú de contexto.
7. Entre un nombre significativo para el nuevo rol.
Los objetos de persona de la carpeta Superadministradores se tratan de forma especial. A medida que se van añadiendo roles nuevos al sistema, a cualquier objeto de persona de la carpeta Superadministradores se le asignará el nuevo rol. La persona acumulará todos los roles añadidos después de añadirse. Por esta razón si desea crear personas que tengan todos los roles del sistema, deberá copiar y redenominar la persona. Por ejemplo:
1. En el portafolio, seleccione Administrar seguridad→ Ver usuarios, recursos, roles.
2. En la ventana Registro de seguridad, abra la carpeta seguridad → Superadministradores.
3. Haga clic con el botón derecho del ratón en la persona John D. Super y seleccione Copiar en el menú de contexto.
4. Seleccione la carpeta Superadministradores.
5. En el menú Editar, seleccione Pegar para realizar una copia del objeto de persona. De forma predeterminada el nuevo nombre será John D. Super1.
6. Haga doble clic en John D. Super1 y edite la información de usuario para identificar de forma correcta a la persona.
7. Asigne al usuario una cuenta de inicio de sesión nueva con un nombre de usuario y una contraseña actualizados.
Búsqueda de objetos en el registro de seguridad
Para crear una consulta de filtrado que busque objetos coincidentes en el registro de seguridad, seleccione la tarea Buscar seguridad en el grupo de tareas Administrar seguridad del portafolio. Desde esta ventana, que se muestra en la Figura 14 en la página 26, puede buscar usuarios, roles, cuentas, capacidades y destinos del registro de seguridad. Consulte los temas de ayuda en línea de Tivoli Assistant si desea obtener instrucciones paso a paso para realizar estas tareas.
3.Administrarseguridad
Figura 14. Búsqueda en el registro de seguridad
Administrar registro
El grupo de tareas Administrar registro visualiza tareas administrativas de registro del sistema. Registro hace referencia a los mensajes y los datos creados desde dentro de un componente o una aplicación y enviados a un destino de salida como, por ejemplo, un archivo, una base de datos, una pantalla de consola, etc. Tivoli Kernel Services soporta dos tipos de registro:
¶ Local, que es el registro en un entorno individual
¶ Distribuido, que es el registro en múltiples entornos.
El subsistema de Registro de Tivoli Kernel Services utiliza varios objetos para registrar eventos del sistema. Estos objetos incluyen anotadores, manejadores y filtros (también conocidos como máscaras). Los anotadores son objetos de software que registran eventos que se producen mientras está operando un componente. El subsistema de Registro soporta dos tipos de anotadores: anotadores de mensajes y anotadores de rastreo.
Los Anotadores de mensajes se utilizan para registrar mensajes textuales de un componente de Tivoli Kernel Services. Estos mensajes se internacionalizan para los entornos nacionales individuales. El tipos de mensajes asociados con un anotador de mensajes, que están habilitados de forma predeterminada, incluyen:
Mensajes informativos
Indican condiciones que merece la pena tener en cuenta pero que no
requieren que un usuario tome ninguna precaución o realice ninguna acción.
Mensajes de aviso
Informa a un usuario que se ha detectado una condición que debe conocer, pero que no requiere necesariamente que el usuario realice ninguna acción.
Por ejemplo, este tipo de mensaje puede indicar que algún aspecto de un programa no se ha ejecutado como se pretendía, pero se han aplicado los
Figura 15. Grupo de tareas Administrar registro
4
4.Administrarregistro
