IntroducciónalaadministracióndeTivoli Kernel...

Introducción a la administración de TivoliKernel ServicesVersión 1.2

Introducción a la administración de Tivoli Kernel Services

Aviso de copyright

© Copyright IBM Corporation 2000, 2001 Reservados todos los derechos. Sólo se puede utilizar conforme a un Acuerdo de licencia de software de Tivoli Systems, unAcuerdo de licencia de software de IBM o un Suplemento para productos de Tivoli del Acuerdo de licencia o de cliente de IBM. Ninguna parte de esta publicación sepuede reproducir, transmitir, transcribir, almacenar en un sistema de recuperación ni convertir a cualquier lenguaje de sistema, de ninguna forma ni mediante ningún medioelectrónico, mecánico, magnético, óptico, químico, manual ni de ningún otro modo, sin el permiso previo por escrito de IBM Corporation. IBM Corporation le otorga unpermiso limitado para realizar copias impresas u otras reproducciones de cualquier documentación legible por máquina para su propio uso, a condición de que dichareproducción lleve el aviso de copyright de IBM Corporation. No se otorga ningún otro derecho bajo copyright sin el permiso previo por escrito de IBM Corporation. Eldocumento no está destinado a la producción y se entrega “tal cual” sin garantía de ninguna clase.Por la presente se renuncia a todas las garantías de este documento,incluidas las garantías de comercialización e idoneidad para un propósito determinado.

Derechos restringidos de los usuarios del Gobierno de EE.UU. — La utilización, duplicación o revelación está restringida por el GSA ADP Schedule Contract con IBMCorporation.

Marcas registradas

IBM, el logotipo de IBM, Tivoli, el logotipo de Tivoli, AIX, NetView, RS/6000 y TME son marcas registradas de International Business Machines Corporation o TivoliSystems Inc. en EE.UU. y/o en otros países.

Microsoft, Windows, Windows NT y el logotipo de Windows son marcas registradas de Microsoft Corporation en EE.UU. y/o en otros países.

UNIX es una marca registrada de The Open Group en EE.UU. y en otros países.

Java y todas las marcas registradas basadas en Java son marcas registradas de Sun Microsystems, Inc. en EE.UU. y/o en otros países.

Otros nombres de compañías, productos y servicios pueden ser marcas registradas o marcas de servicio de otras compañías.

Avisos

Las referencias hechas en esta publicación a productos, programas o servicios de Tivoli Systems o de IBM no implican que dichos productos, programas oservicios vayana estar disponibles en todos los países en los que Tivoli Systems o IBM realizan operaciones comerciales. Cualquier referencia a dichos productos, programas o serviciosno pretende implicar que sólo se puedan utilizar los productos, programas o servicios de Tivoli Systems o de IBM. En su lugar, se puede utilizar cualquier producto,programa o servicio funcionalmente equivalente que no infrinja los derechos de propiedad intelectual válidos de Tivoli Systems o de IBM ni ningún otro derechoprotegido por la ley. La evaluación y verificación del funcionamiento conjunto con otros productos, excepto aquéllos expresamente designados por Tivoli Systems o IBM,son responsabilidad del usuario. Tivoli Systems o IBM puede tener patentes o solicitudes de patentes pendientes que cubran el tema principal tratadoen este documento.La entrega de este documento no le otorga ninguna licencia sobre dichas patentes. Puede enviar consultas sobre licencias, por escrito, al IBM Director of Licensing, IBMCorporation, North Castle Drive, Armonk, New York 10504-1785, EE.UU. Consulte también el apartado “Avisos adicionales” en la página ix.

Contenido

Prefacio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vQuién debe leer esta guía. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v

Requisito previo y documentos relacionados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v

Qué contiene esta guía. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vi

Convenios utilizados en esta guía. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vi

Acceso a las publicaciones en línea. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

Solicitud de publicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

Cómo proporcionar su opinión acerca de las publicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

Cómo ponerse en contacto con el Soporte al cliente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

Avisos adicionales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ixLicencia de OpenSSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

Licencia original de SSLeay. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix

Apache y Apache Tomcat. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi

Capítulo 1. Visión general de Tivoli Kernel Services . . . . . . . . . . . . . . . . . . . . . . 1Componentes y servicios de Tivoli Kernel Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Administración de Tivoli Kernel Services utilizando Tivoli Console. . . . . . . . . . . . . . . . . . . . . . . . . . 3

Administración de Tivoli Kernel Services utilizando la interfaz de línea de comandos (CLI). . . . . . . . 4

Capítulo 2. Una Tivoli Console nueva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Diseño de Tivoli Console. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Localización y realización de tareas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Ayuda de usuario incorporada. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Visita guiada de Tivoli Console. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Capítulo 3. Administrar seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Adición de usuarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Asociación de usuarios con cuentas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Métodos de inicio de sesión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Adición de una cuenta Kernel a un usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Adición de una cuenta nativa a un usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Superadministradores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Creación de roles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Asignación de roles a un usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Roles de Tivoli Kernel Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

iiiIntroducción a Tivoli Kernel Services

Visualización de las propiedades de usuario. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Visualización de usuarios, recursos y roles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Administración del registro de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Copia de objetos en el registro de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Búsqueda de objetos en el registro de seguridad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Capítulo 4. Administrar registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Visualización de registros. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Configuración de anotadores, manejadores y máscaras. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Capítulo 5. Administrar software de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Gestión de ORB y conjuntos de ORB. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Gestión y despliegue de componentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Gestión del directorio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

Gestión de eventos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Gestión de comunicaciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Gestión de gateways. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Gestión de configuración de dispositivo SNMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Apéndice A. Roles definidos por el sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Apéndice B. Utilización del Servicio NEL y Gateway en un entornoseguro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Acceso a una instancia del Servicio NEL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Acceso a una instancia de Gateway. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Acceso a un dispositivo de red (Endpoint). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Ejemplo 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Solución 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Solución 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Solución 3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

Ejemplo 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Solución 1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Solución 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Ejemplo 3. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

iv Versión 1.2

Prefacio

La publicaciónIntroducción a la administración de Tivoli Kernel Servicesproporciona unaintroducción a la utilización de Tivoli Console para llevar a cabo las funcionesadministrativas de Tivoli Kernel Services. Este documento no proporciona instrucciones pasoa paso para realizar tareas específicas. Para obtener detalles de las tareas, consulte la ayudade usuario incorporada que se proporciona con Tivoli Console.

Quién debe leer esta guíaEste documento está escrito para el administrador de Tivoli Kernel Services que utilizaTivoli Console.

Requisito previo y documentos relacionadosTivoli Kernel Services proporciona la documentación relacionada siguiente:

¶ Planificación de Tivoli Kernel Services

Explica cómo realizar la planificación para desplegar Tivoli Kernel Services en elentorno operativo.

¶ Instalación de Tivoli Kernel Services

Proporciona información sobre cómo instalar, desplegar y configurar Tivoli KernelServices.

¶ Tivoli Kernel Services Command Reference

Proporciona información sobre la interfaz de la línea de comandos en Tivoli KernelServices.

¶ Tivoli Kernel Services Tarjeta de consulta rápida

Consulta rápida que muestra un resumen de la interfaz de la línea de comandos paraTivoli Kernel Services.

¶ Resolución de problemas de Tivoli Kernel Services

Proporciona información sobre la resolución de problemas y el mantenimiento de losservicios, los componentes y las bases de datos que componen Tivoli Kernel Services.

¶ README de Tivoli Kernel Services

Proporciona información de última hora, por ejemplo problemas y soluciones alternativasasí como disponibilidad de parches.

¶ Guided Tour of the Tivoli Console

Introducción basada en HTML a Tivoli Console, la interfaz gráfica de usuario utilizadapara administrar Tivoli Kernel Services.

La documentación de Tivoli Kernel Services, a excepción de la ayuda en línea integrada y elREADME del producto, está ubicada en el subdirectorio tivolidocs del CD-ROM deinstalación de Tivoli Kernel Services y del CD-ROM de Bootprint, en formatos HTML yPDF. El README del producto está ubicado en el directorio raíz del CD-ROM deinstalación.

vIntroducción a Tivoli Kernel Services

Qué contiene esta guíaLa publicaciónIntroducción a la administración de Tivoli Kernel Servicescontiene lassecciones siguientes:

¶ “Visión general de Tivoli Kernel Services” en la página 1

Proporciona una visión general breve de Tivoli Kernel Services.

¶ “Una Tivoli Console nueva” en la página 5

Presenta detalles acerca de Tivoli Console, una interfaz gráfica de usuario (GUI) basadaen roles en la que se organizan las tareas para dar soporte a roles específicos.

¶ “Administrar seguridad” en la página 9

Proporciona detalles acerca de la gestión de la seguridad, incluyendo información sobrecómo añadir y editar usuarios y gestionar los roles de seguridad.

¶ “Administrar registro” en la página 27

Explica cómo gestionar los mensajes y los datos creados desde dentro de un componenteo una aplicación y enviados a un destino de salida.

¶ “Administrar software de gestión” en la página 31

Proporciona información sobre la administración del sistema Tivoli Kernel Services,incluyendo la gestión de los ORB y los conjuntos de ORB, la configuración decomponentes y la gestión de la base de datos y del directorio.

¶ “Roles definidos por el sistema” en la página 43

Proporciona descripciones de todos los roles definidos por el sistema que seproporcionan con Tivoli Kernel Services.

¶ “Utilización del Servicio NEL y Gateway en un entorno seguro” en la página 47

Proporciona consideraciones sobre la seguridad para acceder a dispositivos de red o aEndpoint.

Convenios utilizados en esta guíaEl documento utiliza varios convenios de tipo de letra para términos y acciones especiales.Estos convenios tienen el significado siguiente:

Negrita Los comandos, las palabras clave, los roles de autorización u otrainformación que se debe utilizar literalmente aparecenasí, ennegrita. Losnombres de las ventanas, los diálogos y otros controles aparecen tambiénasí, ennegrita.

Cursiva Las variables y los valores que se deben proporcionar aparecenasí, encursiva. Las palabras y las frases en las que se hace hincapié aparecenasí,en cursiva.

MonoespaciadoLos ejemplos de código, la salida, los mensajes del sistema, losidentificadores XML y los nombres de clases, métodos e interfaces de Javaaparecenasí, en un fontmonoespaciado.

Este documento utiliza el convenio de UNIX para especificar variables de entorno y para laanotación de directorios. Cuando utilice la línea de comandos de Windows NT, sustituya$variable por %variable% para las variables de entorno y sustituya cada barra inclinada (/)por una barra inclinada invertida (\) en las rutas de directorio.

vi Versión 1.2

Nota: Cuando utilice el shell bash en un sistema Windows NT, puede utilizar los conveniosde UNIX.

Acceso a las publicaciones en líneaEl sitio Web de Soporte al cliente de Tivoli (http://www.tivoli.com/support/) ofrece una guíade los servicios de soporte (la publicaciónCustomer Support Handbook), preguntasfrecuentes (FAQ) e información técnica, que incluye notas del release, guías del usuario,manuales técnicos e informes oficiales. Puede acceder a las publicaciones en línea de Tivolien http://www.tivoli.com/support/documents/. La documentación para algunos productos estádisponible en formatos PDF y HTML. Para algunos productos también hay documentostraducidos disponibles.

Para acceder a la mayor parte de la documentación, necesita un ID y una contraseña. Sidesea obtener un ID para utilizarlo en el sitio Web de soporte, vaya ahttp://www.tivoli.com/support/getting/.

Los distribuidores deberán consultar http://www.tivoli.com/support/smb/index.html si deseanmás información sobre cómo obtener soporte y documentación técnica de Tivoli.

Los Business Partners deberán consultar el apartado “Solicitud de publicaciones” paraobtener más información sobre cómo obtener documentación técnica de Tivoli.

Solicitud de publicacionesPuede solicitar publicaciones en línea de Tivoli enhttp://www.tivoli.com/support/Prodman/html/pub_order.html o llamando a uno de losnúmeros de teléfono siguientes:

¶ Clientes de EE.UU.: (800) 879-2755

¶ Clientes de Canadá: (800) 426-4968

Cómo proporcionar su opinión acerca de las publicacionesEstamos muy interesados en conocer su opinión sobre los productos y la documentación deTivoli y agradeceremos que nos envíe sus sugerencias con el fin de realizar mejoras. Sidesea hacernos comentarios o sugerencias acerca de nuestros productos y nuestradocumentación, puede ponerse en contacto con nosotros de uno de los modos siguientes:

¶ Envíe un mensaje de correo electrónico a [email protected].

¶ Rellene el cuestionario de opinión del cliente que se encuentra enhttp://www.tivoli.com/support/survey/.

Cómo ponerse en contacto con el Soporte al clienteLa publicaciónTivoli Customer Support Handbookque se encuentra enhttp://www.tivoli.com/support/handbook/ proporciona información sobre todos los aspectosdel Soporte al cliente de Tivoli, incluyendo lo siguiente:

¶ Registro y elegibilidad.

¶ Cómo ponerse en contacto con el soporte, en función de la gravedad del problema.

viiIntroducción a Tivoli Kernel Services

¶ Números de teléfono y direcciones de correo electrónico, en función del país en el quese encuentre.

¶ La información que se debe reunir antes de ponerse en contacto con el soporte.

viii Versión 1.2

Avisos adicionales

Licencia de OpenSSLCopyright (c) 1998-2000 The OpenSSL Project. Reservados todos los derechos.

Se permiten la redistribución y la utilización en formatos fuente y binario, con o sinmodificaciones, a condición de que se cumplan las condiciones siguientes:

1. Las redistribuciones de código fuente deben contener el aviso de copyright anterior, estalista de condiciones y la renuncia siguiente.

2. Las redistribuciones en formato binario deben reproducir el aviso de copyright anterior,esta lista de condiciones y la renuncia siguiente en la documentación y/u otros materialesproporcionados con la distribución.

3. Todos los materiales de publicidad que mencionen características o el uso de estesoftware deben mostrar la siguiente certificación:″Este producto incluye softwaredesarrollado por The OpenSSL Project para utilizarse en el OpenSSL Toolkit.(http://www.openssl.org/)″

4. Los nombres″OpenSSL Toolkit″ y ″OpenSSL Project″ no deben utilizarse como endosoo promoción de productos derivados de este software sin el permiso previo por escrito.Para obtener el permiso por escrito, póngase en contacto con [email protected].

5. Los productos derivados de este software no pueden llamarse″OpenSSL″ ni puedeaparecer″OpenSSL″ en los nombres de los mismos sin el permiso previo por escrito deThe OpenSSL Project.

6. Las redistribuciones de cualquier formato de cualquier clase deben contener lacertificación siguiente:″Este producto incluye software desarrollado por The OpenSSLProject para utilizarse en el OpenSSL Toolkit (http://www.openssl.org/)″

THE OpenSSL PROJECT PROPORCIONA ESTE SOFTWARE″TAL CUAL ″ Y SERENUNCIA A CUALQUIER GARANTÍA EXPRESA O IMPLÍCITA, INCLUYENDO,PERO SIN LIMITARSE A, LAS GARANTÍAS IMPLÍCITAS DE COMERCIALIZACIÓNE IDONEIDAD PARA UN PROPÓSITO DETERMINADO. EN NINGÚN CASO THEOpenSSL PROJECT O SUS COLABORADORES SERÁN RESPONSABLES DE NINGÚNDAÑO DIRECTO, INDIRECTO, INCIDENTAL, ESPECIAL, EJEMPLAR OCONSECUENTE (INCLUYENDO, PERO SIN LIMITARSE A, LA OBTENCIÓN DEMERCANCÍAS O SERVICIOS DE SUSTITUCIÓN, LA PÉRDIDA DE USO, DATOS OBENEFICIOS O LA INTERRUPCIÓN COMERCIAL) CAUSADO DE CUALQUIERMODO Y EN BASE A CUALQUIER TEORÍA DE RESPONSABILIDAD, YA SEA ENCONTRATO, OBLIGACIÓN ESTRICTA O EN AGRAVIO (INCLUIDA LANEGLIGENCIA O DE OTRO MODO) QUE SURJA DE CUALQUIER MODO DE LAUTILIZACIÓN DE ESTE SOFTWARE, INCLUSO SI SE HA ADVERTIDO DE LAPOSIBILIDAD DE DICHO DAÑO.

Este producto incluye software criptográfico escrito por Eric Young ([email protected]).Este producto incluye software escrito por Tim Hudson ([email protected]).

Licencia original de SSLeayCopyright (C) 1995-1998 Eric Young ([email protected]) Reservados todos los derechos.

ixIntroducción a Tivoli Kernel Services

Este paquete es una implementación de SSL escrita por Eric Young ([email protected]). Laimplementación se ha escrito de modo que se ajustara al SSL de Netscape.

Esta biblioteca es gratuita para el uso comercial y no comercial a condición de que secumplan las condiciones siguientes. Las condiciones siguientes se aplican a todo el códigoque se encuentra en esta distribución, ya sea código RC4, RSA, lhash, DES, etc., no sólocódigo SSL. La documentación de SSL incluida en esta distribución está cubierta por losmismos términos de copyright excepto en que el titular es Tim Hudson ([email protected]).

El copyright sigue siendo de Eric Young y, por lo tanto, los avisos de Copyright del códigono deberán eliminarse. Si este paquete se utiliza en un producto, se deberá atribuir a EricYoung la autoría de las partes de la biblioteca utilizadas. Esto puede realizarse en forma demensaje de texto en el arranque del programa o en la documentación (en línea o de texto)proporcionada con el paquete.

Se permiten la redistribución y la utilización en formatos fuente y binario, con o sinmodificaciones, a condición de que se cumplan las condiciones siguientes:

1. Las redistribuciones de código fuente deben contener el aviso de copyright, esta lista decondiciones y la renuncia siguiente.

2. Las redistribuciones en formato binario deben reproducir el aviso de copyright anterior,esta lista de condiciones y la renuncia siguiente en la documentación y/u otros materialesproporcionados con la distribución.

3. Todos los materiales de publicidad que mencionen características o el uso de estesoftware deben mostrar la siguiente certificación:″Este producto incluye softwarecriptográfico escrito por Eric Young ([email protected]).″ La palabra ’criptográfico’puede omitirse si las rutinas de la biblioteca que se está utilizando no están relacionadascon la criptografía.

4. Si incluye cualquier código específico de Windows (o un derivado de éste) del directorioapps (código de aplicación) deberá incluir una certificación:″Este producto incluyesoftware escrito por Tim Hudson ([email protected])″

ERIC YOUNG PROPORCIONA ESTE SOFTWARE″TAL CUAL ″ Y SE RENUNCIA ACUALQUIER GARANTÍA EXPRESA O IMPLÍCITA, INCLUYENDO, PERO SINLIMITARSE A, LAS GARANTÍAS IMPLÍCITAS DE COMERCIALIZACIÓN EIDONEIDAD PARA UN PROPÓSITO DETERMINADOS. EN NINGÚN CASO ELAUTOR O LOS COLABORADORES SERÁN RESPONSABLES DE NINGÚN DAÑODIRECTO, INDIRECTO, INCIDENTAL, ESPECIAL, EJEMPLAR O CONSECUENTE(INCLUYENDO, PERO SIN LIMITARSE A, LA OBTENCIÓN DE MERCANCÍAS OSERVICIOS DE SUSTITUCIÓN, LA PÉRDIDA DE USO, DATOS O BENEFICIOS O LAINTERRUPCIÓN COMERCIAL) CAUSADO DE CUALQUIER MODO Y EN BASE ACUALQUIER TEORÍA DE RESPONSABILIDAD, YA SEA EN CONTRATO,OBLIGACIÓN ESTRICTA O EN AGRAVIO (INCLUIDA LA NEGLIGENCIA O DEOTRO MODO) QUE SURJA DE CUALQUIER MODO DE LA UTILIZACIÓN DE ESTESOFTWARE, INCLUSO SI SE HA ADVERTIDO DE LA POSIBILIDAD DE DICHODAÑO.

No se pueden modificar los términos de la licencia y distribución para cualquier versióndisponible públicamente o derivado de este código. Es decir, este código no puedesimplemente copiarse y ponerse bajo otra licencia de distribución [incluida la Licenciapública GNU.]

x Versión 1.2

Apache y Apache TomcatEste producto incluye software desarrollado por The Apache Group para utilizarse en elproyecto Apache HTTP Server (http://www.apache.org/).

Este producto incluye software desarrollado por Greg Stein <[email protected]> para utilizarseen el módulo mod_dav para Apache (http://www.webdav.org/mod_dav/).

Este producto incluye software derivado del software desarrollado por Henry Spencer.

Este producto incluye software derivado de RSA Data Security, Inc. MD5 Message-DigestAlgorithm.

Partes de determinados componentes del Programa son copyright de MERANT, 1991-1999.

xiIntroducción a Tivoli Kernel Services

xii Versión 1.2

Visión general de Tivoli Kernel Services

Tivoli Kernel Services proporciona a las aplicaciones un conjunto de componentes yfunciones para gestionar una amplia variedad de usuarios, dispositivos y servicios. Basadoen las comunicaciones comunes, la mensajería, el almacenamiento de datos y los serviciosde registro y ampliado con seguridad y una nueva interfaz de usuario basada en roles, TivoliKernel Services proporciona:

¶ Escalabilidad muy extendida. Con Tivoli Kernel Services, puede gestionar másdispositivos de lo que es posible con cualquier otro producto de gestión de sistemasTivoli actual.

¶ Una sola infraestructura de gestión alrededor de la cual puede desarrollar el entorno degestión de sistemas.

¶ Un entorno optimizado para la gestión de múltiples clientes (en lugar de una solaempresa).

¶ Soluciones de despliegue flexibles que pueden encargarse de empresas enormes conmuchos dispositivos para gestionar o pequeñas tiendas con menos dispositivos. TivoliKernel Services crece con su empresa. La interfaz gráfica de usuario de la siguientegeneración de Tivoli.

¶ Un entorno seguro tolerante con los errores. Disponibilidad continua medianteactualizaciones modulares que no necesitan desactivar toda la empresa para realizar lasactualizaciones.

¶ Servicios integrados para sistemas, aplicaciones y gestión de redes

Muy parecido a un sistema operativo, Tivoli Kernel Services proporciona las siguientesfunciones principales de un sistema distribuido (como se muestra en la Figura 1 en lapágina 2):

¶ Servicios base, por ejemplo comunicaciones, almacenamiento de datos y seguridad

¶ Tivoli Console, una interfaz gráfica de usuario intuitiva basada en roles

¶ Gestión de dispositivos, por ejemplo dispositivos SNMP y dispositivos dealmacenamiento

1

1Introducción a Tivoli Kernel Services

1.V

isióngeneralde

laadm

inistración

Componentes y servicios de Tivoli Kernel ServicesTivoli Kernel Services consta de los tipos siguientes de componentes y servicios:

Servicios básicosLos servicios básicos de Tivoli Kernel Services proporcionan capacidades básicasque son fundamentales para el funcionamiento del sistema distribuido o queproporcionan servicios que todos los demás componentes deben utilizar de formacoherente en todo el sistema. Este grupo de componentes incluye el ORB (elcomponente de control y direccionamiento central de Tivoli Kernel Services) y losservicios para validar la identidad y los derechos de acceso de un usuario, elcompartimiento y el almacenamiento de datos, así como la entrega de mensajes entodo el sistema distribuido.

Componentes de nivel de componenteLos componentes de nivel de componente de Tivoli Kernel Services proporcionan unmedio mediante el cual se pueden gestionar partes de las aplicaciones y los serviciosen todo el sistema Tivoli Kernel Services. Este grupo de componentes incluyeservicios para desplegar componentes para la operación más eficiente de TivoliKernel Services, la instalación del software y el despliegue del software en lasubicaciones correctas.

Componentes de nivel de recursoLos componentes de nivel de recurso de Tivoli Kernel Services son los queproporcionan el acceso directo a los recursos del sistema distribuido. Este grupo decomponentes incluye los gateways, el servicio de localizador que determina quégateway se debe utilizar para un recurso determinado y las pilas de protocolos y losmetadatos utilizados para comunicarse con los recursos.

Componentes de nivel de aplicaciónAdemás de las funciones base proporcionadas por Tivoli Kernel Services, seproporcionan unos cuantos componentes que se pueden considerar aplicaciones porderecho propio o al menos partes de una aplicación en lugar de una parte de TivoliKernel Services. Este grupo de componentes incluye Tivoli Console y la interfaz delínea de comandos (CLI) que permiten la operación del propio Tivoli KernelServices.

Figura 1. Entorno de sistema distribuido

2 Versión 1.2

Administración de Tivoli Kernel Services utilizando Tivoli ConsoleTivoli Console es la interfaz gráfica de usuario (GUI) para la Administración de TivoliKernel Services. Tivoli Console es la interfaz principal utilizada para realizar tareas degestión de usuarios y sistemas para Tivoli Kernel Services y las aplicaciones que se ejecutanen Tivoli Kernel Services. Tivoli Console proporciona una sola interfaz en la que se debenrealizar las tareas de administración del sistema, independientemente de las aplicaciones olos componentes instalados. Para obtener detalles que describen Tivoli Console y suscaracterísticas, consulte el apartado “Una Tivoli Console nueva” en la página 5.

Utilizando la Administración de Tivoli Kernel Services, puede gestionar los componentes yservicios siguientes de Tivoli Kernel Services:

Conexiones de datosProporcionan el acceso uniforme a un amplio rango de almacenes de datos.

Directorio Correlaciona objetos con su ubicación en el sistema. También almacenaalgunos de los atributos para dichos objetos, proporcionando un almacén dedatos jerárquico distribuido en todo el sistema.

Despliegue Deja los componentes y los servicios disponibles en todo el sistemadistribuido.

Gateway Gestiona las comunicaciones y las conexiones entre un grupo de Endpoints yTivoli Kernel Services. Gateway convierte los protocolos de servidor enprotocolos de Endpoint y viceversa.

Registro Gestiona el registro de mensajes de componentes y datos de rastreo en elsistema distribuido.

Servicio de mensajeríaProporciona el fundamento para los mensajes entre los componentes y lasaplicaciones. Estos mensajes incluyen elementos tales como eventos delsistema y la notificación de cambios de configuración.

Servicio NEL (Network Endpoint Locator Service)Comprueba el acceso de seguridad a un recurso y establece el mejor gatewayposible para que una aplicación pase comandos y datos a y desde unEndpoint.

Seguridad Proporciona la autorización y la autenticación en una instalación TivoliKernel Services.

Configuración de dispositivo SNMPGestiona la información de configuración de SNMP para recursos IP en unainstalación Tivoli Kernel Services.

La Administración de Tivoli Kernel Services está organizada en los tres grupos de tareas,que incluyen la administración general del sistema, la administración del sistema deseguridad y la administración de registro del sistema. Consulte los capítulos siguientes paraobtener más detalles que describen las tareas proporcionadas en cada uno de los grupos detareas:

¶ “Administrar seguridad” en la página 9

¶ “Administrar registro” en la página 27

¶ “Administrar software de gestión” en la página 31


1.V

isióngeneralde

laadm

inistración

Administración de Tivoli Kernel Services utilizando la interfaz delínea de comandos (CLI)

Tivoli Kernel Services también proporciona una CLI que le permite realizar operaciones delsistema desde una línea de comandos en lugar de utilizar Tivoli Console. La interfaz de líneade comandos puede ejecutarse sin que se ejecute la GUI o en una ventana independientemientras la GUI también está en ejecución.

La CLI proporciona el control completo del entorno gestionado y los scripts de shell lapueden utilizar fácilmente para realizar secuencias complejas de comandos.

Este documento se centra en la administración de Tivoli Kernel Services utilizando TivoliConsole. Para obtener detalles acerca de la CLI y la sintaxis de los comandos, consulte lapublicaciónTivoli Kernel Services Command Reference.

4 Versión 1.2

Una Tivoli Console nueva

Tivoli Console es la interfaz gráfica de usuario (GUI) basada en roles para realizar tareasutilizando software de gestión de Tivoli. Sólo presenta las tareas que son pertinentes al rolen particular y le permite realizar tareas sin tener que comprender los detalles del softwaresubyacente. Tivoli Console también proporciona controles y comportamientos coherentes enlas tareas e incluye ayuda de usuario incorporada.

Un rol es una función de trabajo, por ejemplo “distribuidor de software,” que identifica lastareas que puede realizar y los recursos a los que tiene acceso. Puede que se le asignen unoo más roles en función de los cargos que desempeñe. Unatarea representa uno o máscomponentes de software de Tivoli que se ejecutan como una entidad independiente parallevar a cabo el trabajo.

Diseño de Tivoli ConsoleLa Figura 2 muestra un ejemplo de Tivoli Console en Tivoli Kernel Services.

Los componentes clave de Tivoli Console incluyen lo siguiente:

Área de cabeceraÁrea entre la barra de títulos y la barra de menús que puede servir de navegadorWeb. Un administrador del sistema puede personalizar esta área opcional para incluirinformación pertinente para una organización determinada. Por ejemplo, puede que

Figura 2. Componentes clave de Tivoli Console

2


2.U

naTivoliC

onsolenueva

una organización desee incluir en dicha área la descripción de rol para un usuariodeterminado, el logotipo de la compañía o enlaces a sitios de Internet y de intranet.

PortafolioContenedor de las tareas que son pertinentes para un rol determinado. Cuando estáabierto, el portafolio se visualiza en Tivoli Console a la izquierda del área detrabajo. Cuando está cerrado, el portafolio se indica mediante un asa de portafolio.

Barra de estadoBarra situada debajo del área de trabajo que está dividida en dos secciones. Lasección de la izquierda contiene información acerca del objeto sobre el cual seencuentra el puntero del ratón. La sección de la derecha contiene un indicador deprogreso o información de estado acerca de la tarea que se está ejecutando. Paraalargar una sección de la barra de estado y acortar la otra, arrastre el separador desección hacia la izquierda o hacia la derecha.

Barra de tareasBarra ubicada en la parte inferior de la ventana que contiene un botón, llamadobotón de tarea, para cada tarea que se está ejecutando. Cuando se hace clic con elbotón derecho del ratón en el fondo de la barra de tareas, se abre el menú decontexto para la barra de tareas.

Botón de tareaBotón situado en la barra de tareas que representa una tarea que se está ejecutando.Una tarea puede tener asociadas a ella múltiples ventanas. Cuando se hace clic en unbotón de tarea, la ventana asociada con la tarea se abre en el área de trabajo. Cuandose hace clic con el botón derecho del ratón en un botón de tarea, se abre el menú decontexto para dicha tarea. Cada botón de tarea incluye también un pequeño iconoque comunica el estado actual de la tarea.

Área de trabajoÁrea en la que se visualiza la GUI para una tarea. Esta área no incluye el portafolioni Tivoli Assistant.

Tivoli AssistantLugar donde se debe ir para encontrar las respuestas a las preguntas. El TivoliAssistant se abre mediante el signo de interrogación ubicado en el extremo derechode la barra de tareas o en la parte superior derecha de cualquier ventana separada.Cuando está abierto, Tivoli Assistant se visualiza dentro de Tivoli Console a laderecha del área de trabajo. Proporciona información de ayuda según contexto parala tarea que se está realizando, así como información de consulta.

Localización y realización de tareasLas tareas están ordenadas engrupos de tareas, que organizan las tareas en categoríaslógicas. Estos grupos de tareas se visualizan en el portafolio de Tivoli Console.

Para ver la lista de tareas bajo un grupo de tareas determinado, haga clic en el grupo detareas para expandirlo. Cuando el grupo de tareas se haya expandido, haga clic en la tareaque desea iniciar en ese grupo. Al hacer clic en una tarea se abre un diálogo que le guíadurante una actividad o se le muestra una lista de recursos en los que puede realizaracciones.

6 Versión 1.2

Cuando aparezca una lista de recursos, puede hacer clic con el botón derecho del ratón enun recurso para abrir unmenú de contexto. El menú de contexto sólo visualiza las accionesque son pertinentes para dicho recurso.

El menú y la barra de herramientas son específicos de tarea y contienen los menús y lasherramientas disponibles para la tarea que está activa en el área de trabajo. Sin embargo,algunos elementos de menú y algunas herramientas son las mismas para todas las tareas.

Además de los elementos listados aquí, algunas de las aplicaciones que utilizan TivoliConsole emplean un área de descripción de campo, que visualiza texto descriptivo einstrucciones en la interfaz y que se actualiza automáticamente a medida que un usuario semueve de un campo a otro. Sin embargo, en este release Tivoli Kernel Services no utilizadicha área.

Ayuda de usuario incorporadaTivoli Console ofrece una característica nueva importante, la ayuda de usuario incorporadamediante el uso de Tivoli Assistant.

Tivoli Assistant puede abrirse realizando una de las acciones siguientes:

¶ Haga clic en el signo de interrogación ubicado en el extremo derecho de la barra deherramientas de Tivoli Console o en la parte superior derecha de una ventana separada.

¶ SeleccioneAbrir Tivoli Assistant en el elemento de menúAyuda.

¶ PulseF1.

Tivoli Assistant sustituye la Guía del usuario que acompaña a la mayoría de los productos desoftware. Tivoli Assistant incluye información acerca de Tivoli Kernel Services, TivoliConsole y del propio Tivoli Assistant. Cuando se instala una aplicación, la información de laaplicación también se integra sin interrupciones en Tivoli Assistant.

La información contenida en Tivoli Assistant está organizada por temas. El tema pertinente ala tarea que está realizando se visualiza a la derecha del área de trabajo cuando se abreinicialmente Tivoli Assistant, como se ilustra en la Figura 3.

Figura 3. Tivoli Console con Tivoli Assistant abierto


2.U

naTivoliC

onsolenueva

Puede realizar búsquedas en la información disponible, revisar la información de visióngeneral o ver la tabla de contenido y el índice para localizar la información que desea. Unavez que haya localizado la información, puede ajustar el tamaño de la ventana TivoliAssistant para facilitar la visualización, separar totalmente la ventana del área de trabajo oimprimir la información.

Estas tareas pueden llevarse a cabo utilizando la barra de herramientas de Tivoli Assistant,que se muestra en la Figura 4.

Desde la barra de herramientas de Tivoli Assistant, puede acceder a un Índice de mensajesque contiene punteros a temas de ayuda de mensajes para todas las aplicaciones instaladas.Éste se clasifica alfanuméricamente por identificador de mensaje y tiene una función debúsqueda. Generalmente, estos mensajes se visualizan en diálogos emergentes que necesitanla acción del usuario, como se muestra en la Figura 5. Puede obtener información de ayudapara diálogos de mensajes igual que para cualquier otro diálogo, haciendo clic en el signo deinterrogación situado en la parte superior derecha del recuadro de diálogo.

Visita guiada de Tivoli ConsoleAntes de empezar a utilizar Tivoli Console, puede que esté interesado en realizar una visitaguiada basada en Web para reforzar los conceptos presentados en este capítulo. El visitaguiada se incluye en el CD-ROM de instalación en el subdirectoriotivolidocs. Tambiénpuede bajar la visita guiada del sitio Web siguiente:

http://www.tivoli.com/products/demos

Figura 4. Barra de herramientas de Tivoli Assistant

Figura 5. Ventana de mensaje

8 Versión 1.2

http://www.tivoli.com/products/demos

Administrar seguridad

El grupo de tareasAdministrar seguridad incluye tareas para administrar la seguridad delsistema. Estas tareas proporcionan servicios de autenticación y autorización para loscomponentes, las aplicaciones, los servicios y los usuarios.

El subsistema de seguridad consta del Servicio de autenticación, que valida la identidad deun usuario y del Servicio de autorización, que determina si un usuario tiene derecho aejecutar una acción específica o a acceder a un recurso específico. Estos dos servicios seejecutan en objetos contenidos en el registro de seguridad. Elregistro de seguridades unservidor de gestión de datos que proporciona una representación y un repositorio coherentesde información relacionada con los usuarios y el control de accesos de los recursos. Paraobtener más información sobre el registro de seguridad, su organización y los aspectos deplanificación de la seguridad, consulte la publicaciónPlanificación de Tivoli Kernel Services.

El primer paso en la seguridad del sistema distribuido consiste en crear usuarios. Un usuarioes una persona que va a utilizar Tivoli Kernel Services para realizar tareas. Para acceder alsistema, este usuario necesita una o máscuentas. Estas cuentas contienen las credencialesdel usuario, por ejemplo el nombre de usuario y la contraseña. Cuando un usuario inicia lasesión en el sistema, el Servicio de autenticación comprueba que el nombre de usuario y lacontraseña que se han entrado coincidan con la información contenida en la cuenta de dichousuario. (Consulte el apartado “Asociación de usuarios con cuentas” en la página 11 paraobtener más información sobre cuentas.)

Una vez que el usuario tiene acceso al sistema, las tareas que dicho usuario puede realizarlas determinarán los roles que se le hayan asignado. Unrol es una función de trabajo quedefine las condiciones de acceso que un usuario tiene en un conjunto de recursos.

Figura 6. Grupo de tareas Administrar seguridad

3


3.A

dministrar

seguridad

Adición de usuariosPara crear un usuario nuevo en Tivoli Kernel Services, seleccione la tareaAñadir usuarioen el grupo de tareasAdministrar seguridad del portafolio. Desde la ventana Usuario, quese muestra en la Figura 7, puede crear usuarios.

Nota: Al crear un usuario nuevo utilizando la tareaAñadir usuario , se visualiza unaventana Opciones de directorio que le permite elegir el directorio de registro deseguridad en el que se ubicará el nuevo usuario. Alternativamente, puede seleccionarun directorio en el registro de seguridad donde desea que se ubique el usuario y, a

continuación, hacer clic en el iconoAñadir usuario ( ) para crear el nuevo usuarioen el directorio seleccionado.

Una vez que se ha creado el usuario, se visualiza la ventana Propiedades de usuario. Desdeesta ventana, que se muestra en la Figura 8 en la página 11, puede ver y editar laspropiedades de usuario y crear, editar o suprimir las cuentas del usuario. Consulte los temasde ayuda en línea de Tivoli Assistant si desea obtener instrucciones paso a paso para realizarestas tareas.

Figura 7. Ventana Usuario

10 Versión 1.2

Asociación de usuarios con cuentasDespués de haber creado un usuario en Tivoli Kernel Services, puede asociar una o variascuentas a dicho usuario. Un usuario necesita una cuenta para entrar en el sistema. Existendos tipos principales de cuentas en Tivoli Kernel Services:

¶ Cuentas Kernel

Este tipo de cuenta se define en el registro de seguridad de Tivoli Kernel Services ynecesita un nombre de usuario y una contraseña con los que iniciar la sesión. El tipo decuenta se denominaCuenta Kernel.

¶ Cuentas nativas

Este tipo de cuenta se define en un sistema operativo nativo, por ejemplo las plataformasWindows o UNIX, y necesita un nombre de usuario, un nombre de host y unacontraseña con los que iniciar la sesión. Los tipos de cuentas nativas incluyen lossiguientes:

v Cuenta NT

v Cuenta Unix

Cuando cree una cuenta nativa, deberá asegurarse de que el nombre de cuenta seaexclusivo en la instalación. Si se crean dos cuentas con el mismo nombre, se invalidaránambas cuentas.

Nota: En Tivoli Kernel Services existen los tipos de cuentas siguientes, pero éstos no seutilizan actualmente:

v Cuenta Web

v Cuenta DB2

Un usuario puede tener múltiples cuentas y múltiples tipos de cuentas. Por ejemplo, unusuario puede iniciar la sesión utilizando una cuenta NT, una cuenta Unix o una cuenta

Figura 8. Ventana Propiedades de usuario


3.A

dministrar

seguridad

Kernel. Si desea iniciar la sesión en Tivoli Console utilizando una cuenta diferente de la quese ha utilizado originalmente para iniciar la sesión, cierre y reinicie Tivoli Console y, acontinuación, entre el nombre de usuario y la contraseña en la ventana de inicio de sesión.

Métodos de inicio de sesiónSe pueden utilizar los métodos de inicio de sesión siguientes para iniciar la sesión en lainterfaz de línea de comandos o la GUI de Tivoli Kernel Services. Cuando asocie cuentascon un usuario, tengan en cuenta el método de inicio de sesión que éste utilizará pararealizar su trabajo.

¶ Método de inicio de sesión de cuenta Kernel

El método de inicio de sesión de cuenta Kernel le permite iniciar la sesión utilizando laGUI y la interfaz de línea de comandos con una cuenta Kernel. Este método requiereque los usuarios entren la opción–u con el comandowcmd. Las contraseñas de lacuenta Kernel se almacenan en el registro de seguridad.

¶ Método de inicio de sesión local nativo

El método de inicio de sesión local nativo sólo puede realizar la autenticación localnativa por medio de la interfaz de línea de comandos. Este tipo de inicio de sesiónelimina la necesidad de entrar la opción–u con el comandowcmd y permite el procesopor lotes de los comandos.

¶ Método de inicio de sesión remoto nativo

El método de inicio de sesión remoto nativo puede utilizarse para iniciar la sesiónutilizando la GUI y la interfaz de línea de comandos mediante la entrada deusuario@nombrehostpara el nombre de usuario.

Notas:

1. El método de inicio de sesión remoto nativo requiere que se despliegueRemoteAuthenticationService en el ORB de la máquina donde están definidos losusuarios que desea autenticar de forma remota. Si desea dar soporte a dominiosWindows NT y a la autenticación remota nativa, no tienen que existir ningúnconflicto de nombre de cuenta local con el dominio en esta máquina. (Para obtenermás información sobre cómo desplegar componentes, consulte el apartado “Gestión ydespliegue de componentes” en la página 33).

2. En un entorno Windows, el ORB debe iniciarse desde el Panel de control parautilizar el método de inicio de sesión remoto nativo en dicho ORB. Si en lugar deello se utiliza la línea de comandos, el usuario que inicia el ORB debe tenerasignado el derecho de usuario para″funcionar como una parte del sistemaoperativo″ a fin de utilizar el método de inicio de sesión remoto nativo.

Para establecer los derechos de usuario en sistemas Windows 2000:

a. En el menúInicio , seleccioneConfiguración → Panel de control→Herramientas administrativas → Directiva de seguridad local→ Directivaslocales→ Asignación de derechos de usuario.

b. Haga clic con el botón derecho del ratón en la directivaFuncionar como partedel sistema operativoy seleccioneSeguridad.

c. Añada el usuario.

Para establecer los derechos de usuario en sistemas Windows NT:

12 Versión 1.2

a. En el menúInicio , seleccioneProgramas → Herramientas administrativas →Administrador de usuarios.

b. En el menúDirectivas, seleccioneDerechos de usuario.

c. Seleccione el recuadro de selecciónMostrar derechos de usuario avanzados.

d. En la lista desplegableDerecho, seleccioneFuncionar como parte del sistemaoperativo.

e. En la listaConceder a, seleccione el nombre de usuario o el grupo y haga clicen Aceptar.

Adición de una cuenta Kernel a un usuarioLos pasos siguientes muestran cómo añadir una cuenta Kernel a un usuario.

1. En el portafolio, seleccioneAdministrar seguridad → Ver usuarios, recursos, roles.

2. En la ventana Registro de seguridad, localice el objeto de persona al que desea añadir lacuenta.

3. Haga doble clic en la persona.

4. En la ventana Propiedades de usuario (junto a la tabla Cuentas), haga clic enNuevo.

5. SeleccioneCuenta Kernel y haga clic enAceptar.

6. En la ventana Cuenta:

a. En el campoNombre completo, escriba el nombre de usuario que utilizará estapersona para iniciar la sesión en el sistema. Por ejemplo,eap.

b. Deje vacío el campoNombre de host del sistema. Para las cuentas Kernel no seutilizan nombres de host.

c. En el campoContraseña, escriba una contraseña que utilizará dicha persona parainiciar la sesión en el sistema.

d. Haga clic enAceptar para crear la cuenta.


3.A

dministrar

seguridad

Adición de una cuenta nativa a un usuarioLos pasos siguientes muestran cómo añadir una cuenta nativa nueva a un usuario.


2. En la ventana Registro de seguridad, localice el objeto de persona al que desea añadir lacuenta.

3. Haga doble clic en la persona.

4. En la ventana Propiedades de usuario (junto a la tabla Cuentas), haga clic enNuevo.

5. Seleccione laCuenta NT o Cuenta Unix correspondiente al tipo de sistema operativonativo y haga clic enAceptar.

6. En la ventana Cuenta:

a. En el campoNombre completo, escriba el nombre de usuario con el que el usuarioinicia la sesión en el sistema operativo nativo. Por ejemplo,epresley.

b. En el campoNombre de host del sistema, escriba el nombre de host totalmentecalificado de la máquina con la que el usuario inicia la sesión. Por ejemplo,máquina1.dev.tivoli.com.

c. Deje vacío el campoContraseña.

14 Versión 1.2

La contraseña de sistema operativo nativo se utiliza para autenticar al usuario. Si noentra la contraseña se evitará tener que mantener la contraseña que se almacena en elregistro de seguridad en sincronismo con la contraseña del sistema operativo.

d. Haga clic enAceptar para crear la cuenta.

Para comprobar la cuenta nueva, el usuario puede entrarwcmd list en un indicador decomandos. Si la cuenta se ha creado satisfactoriamente, el comando no necesitará la opción–u para especificar un nombre de usuario.

Si desea utilizar la misma cuenta para iniciar la sesión en Tivoli Console, asegúrese de quese ha desplegado RemoteAuthenticationService en el ORB donde están definidos losusuarios que desea autenticar de forma remota. En la ventana de inicio de sesión, el usuariodebe entrar su nombre de usuario con el formatousuario@nombrehostcomo se muestra enla Figura 9 y entrar la contraseña de sistema operativo para la contraseña.

SuperadministradoresTivoli Kernel Services proporciona un usuario y una cuenta especiales que se denominansuperadministrador. Este superadministrador tiene acceso a la instalación Tivoli KernelServices entera incluido el registro de seguridad y se le asignan automáticamente todos losroles, predefinidos o recién creados, del sistema. El usuario está ubicado en el directoriosecurity/SuperAdministrators/ del registro de seguridad y el nombre de usuario esJohn D.

Figura 9. Método de inicio de sesión remoto nativo


3.A

dministrar

seguridad

Super. De forma predeterminada este usuario está asociado con una cuenta Kernel llamadasuperadmin. Para crear superadministradores adicionales, deberá copiar este usuario,redenominarlo asegurándose de mantenerlo en el directorio SuperAdministrators y asignarleuna nueva cuenta de inicio de sesión con un ID de usuario y una contraseña actualizados.Para obtener instrucciones paso a paso, consulte el apartado “Copia de objetos en el registrode seguridad” en la página 24. A cualquier superadministrador adicional creado en eldirectorio SuperAdministrators se le asignan automáticamente todos los roles, predefinidos orecién creados, del sistema.

Creación de rolesTivoli Kernel Services utiliza el concepto de control de acceso basado en rol para gestionarla seguridad del sistema. En lugar de especificar permisos de seguridad para usuarios ogrupos individuales, se crean capacidades que un usuario asignado al rol puede realizar enun conjunto de destinos. Las capacidades son un conjunto de condiciones de acceso, que sonpermisos para realizar determinadas acciones, en un grupo de recursos (destinos). Unacapacidad puede agrupar varias condiciones tales como LEER, GRABAR y SUPRIMIR.Tenga en cuenta estas directrices cuando cree sus propios roles:

¶ El nombre de rol debe reflejar la función de trabajo. Un rol corresponde a unafunción de trabajo y tiene un nombre que debe describir dicha función de trabajo. Parecenatural que el acceso de una persona (o una aplicación) a los recursos se base en lafunción o las funciones de dicha persona (o dicha aplicación) dentro de la organización.Un usuario puede tener cero roles, un rol o más de un rol.

¶ Cada rol contiene un conjunto de capacidades.Cada capacidad tiene un identificadorque es exclusivo en el rol. Cada capacidad otorga un conjunto de condiciones de accesoa un conjunto de recursos.

¶ Un rol es una combinación de derechos más condiciones.Cada condición de accesorepresenta una acción que se permite realizar a un usuario en un recurso. Cada tipo derecurso puede soportar un conjunto diferente de acciones, por consiguiente el conjuntode derechos válidos dependerá del tipo de recurso.

¶ Los usuarios se asignan de forma dinámica o estática a los roles.Después de crearun usuario y determinar qué roles son apropiados para el mismo, puede asignar de formaestática los roles al usuario o crear filtros para asignar de forma dinámica los roles a losusuarios.

¶ Los recursos se asignan de forma dinámica o estática a las capacidades.Después dehaber creado una capacidad y de determinar qué recursos son apropiados para dichacapacidad, puede asignar de forma estática recursos a la capacidad o crear filtros paraasignar de forma dinámica recursos a la capacidad.

Para crear un rol nuevo en Tivoli Kernel Services, seleccione la tareaAñadir rol en elgrupo de tareasAdministrar seguridad del portafolio. Desde la ventana Rol, que se muestraen la Figura 10 en la página 17, puede crear y editar roles.

Nota: Cuando se crea un nuevo rol utilizando la tareaAñadir rol , se visualiza la ventanaOpciones de directorio que le permite elegir el directorio de registro de seguridad enel que se ubicará el nuevo rol. Alternativamente, puede seleccionar el directorio en elregistro de seguridad donde desea que se ubique el nuevo rol y luego hacer clic en el

icono Añadir rol ( ) para crear el nuevo rol en el directorio seleccionado.

16 Versión 1.2

Una vez creado el rol, se visualiza la ventana Propiedades de rol. Desde esta ventana, que semuestra en la Figura 11, puede ver y editar propiedades de rol y crear, editar o suprimir lascapacidades y las condiciones de acceso de un rol. Consulte los temas de ayuda en línea deTivoli Assistant si desea obtener instrucciones paso a paso para realizar estas tareas.

Figura 10. Ventana Rol

Figura 11. Ventana Propiedades de rol


3.A

dministrar

seguridad

Asignación de roles a un usuarioLos usuarios pueden estar asociados con roles de formaestáticao dinámica.

Los pasos siguientes muestran cómo asociar de forma estática un usuario con un rol.


2. En la ventana Registro de seguridad, haga doble clic en un usuario. Se visualiza laventana Propiedades de usuario.

3. En la ventana Propiedades de usuario, haga clic enEditar .

4. En la ventana Usuario, seleccioneRoles asignados estáticamente. Se visualizan losroles que están asignados actualmente de forma estática al usuario.

5. Haga clic enNuevo para visualizar los roles adicionales que están disponibles paraasignarse al usuario.

6. Seleccione los roles deseados y haga clic enAceptar.

7. En la ventana Usuario, haga clic enAceptar para guardar los cambios.

Los usuarios pueden asociarse dinámicamente con un rol por medio de un filtro demiembros de rol. Para añadir un filtro de miembros a un rol:


2. En la ventana Registro de seguridad, haga doble clic en el rol.

3. En la ventana Propiedades de rol, haga clic enEditar .

4. En la ventana Rol, seleccioneFiltro de miembros.

18 Versión 1.2

5. Seleccione una propiedad en la lista desplegablePropiedad. Por ejemplo,Departamento.

6. Escriba un valor para la propiedad en el campo de texto. Por ejemplo,123.

7. Haga clic enAceptar para guardar el filtro de miembros.

En este ejemplo, se asignarán dinámicamente a este rol todos los usuarios añadidos alsistema (además de los usuarios existentes) con el atributo″Departamento=123″.

Después de haber configurado los usuarios, los roles, las cuentas y las capacidades en elsistema, el Servicio de autorización utiliza dicha información cuando un usuario intentarealizar una acción en un recurso y comprueba si dicho usuario tiene el rol, la capacidad ylas condiciones de acceso adecuados para efectuar las acciones especificadas en o para elrecurso. Una vez que el usuario ha sido autenticado y autorizado a realizar las acciones, sele denominadirector.

Roles de Tivoli Kernel ServicesEn Tivoli Kernel Services existen dos tipos de roles:

¶ Roles de Tivoli Kernel Services, que controlan las acciones que un usuario puederealizar al utilizar las tareas del portafolio. Estos roles están ubicados en los directoriossecurity/roles/, system/services/roles/ o system/roles/ del registro de seguridad.

¶ Roles de Administración de Tivoli Kernel Services, que indican qué tareas del portafolioestán disponibles para un usuario asignado a dicho rol. Estos roles están ubicados en eldirectorio PS/PSServer/Roles/MACImpl/5.2.0/ del registro de seguridad.


3.A

dministrar

seguridad

Debe asignar ambos tipos de roles a un usuario para que los usuarios tengan acceso a lastareas de portafolio apropiadas y puedan realizar las acciones correctas con dichas tareas delportafolio. Para obtener una lista completa de los roles definidos por el sistema disponiblesen Tivoli Kernel Services, consulte el apartado “Roles definidos por el sistema” en lapágina 43.

La Tabla 1, la Tabla 2, la Tabla 3 en la página 21 y la Tabla 4 en la página 21 muestran laubicación en el registro de seguridad y una descripción de los roles de Tivoli KernelServices y de Administración de Tivoli Kernel Services necesarios para proporcionar a unusuario el acceso a las tareas del portafolio.

Tabla 1. Roles ubicados en el directorio PS/PSServer/Roles/ del registro deseguridadPS/PSServer/Roles/

MACImpl/5.2.0/MACInstallUser Rol que permite a los usuarios realizar todas lasfunciones de administración del sistema.Proporciona acceso a todas las tareas de todos losgrupos de tareas.

MACImpl/5.2.0/MACLimitedSecurityUser Rol que permite a los usuarios ver informaciónde seguridad para el usuario y la cuenta con laque el usuario ha iniciado la sesión en la consolaasí como buscar recursos de seguridad.Proporciona acceso a las tareasVer propiedadesdel usuario y Buscar seguridaden el grupo detareasAdministrar seguridad .

MACImpl/5.2.0/MACLoggingUser Rol que permite a los usuarios realizar funcionesde administración de registro. Proporciona accesoa todas las tareas del grupo de tareasAdministrar registro .

MACImpl/5.2.0/MACOrbUser Rol que permite a los usuarios realizar funcionesde administración de conexión de datos,componentes, conjuntos de ORB y ORB.Proporciona acceso a las tareasGestionar losORB, Ver conexiones de datosy Verconfiguración de SNMP.

MACImpl/5.2.0/MACResourceUser Rol que permite a los usuarios realizar funcionesde administración de directorio. Proporcionaacceso a la tareaVer directorio .

MACImpl/5.2.0/MACSecurityUser Rol que permite a los usuarios realizar funcionesde administración de seguridad. Proporcionaacceso a todas las tareas del grupo de tareasAdministrar seguridad .

MACImpl/5.2.0/MACSeniorUser Rol que permite a los usuarios realizar todas lasfunciones de administración del sistema.Proporciona acceso a todas las tareas de todos losgrupos de tareas.

Tabla 2. Roles ubicados en el directorio security/roles/ del registro de seguridadsecurity/roles/

Administrador Rol que proporciona acceso completo a todos losobjetos del registro de seguridad.

20 Versión 1.2

Tabla 2. Roles ubicados en el directorio security/roles/ del registro deseguridad (continuación)security/roles/

Administrador de usuarios Rol que otorga autorización para trabajar sólocon cuentas y personas, no tiene autorizaciónpara trabajar con roles. Puede añadir, suprimir yeditar cuentas y personas en cualquier lugar delregistro de seguridad excepto en el directorio deseguridad. No tiene autorización para utilizar loscomandos CLI de seguridad.

Tabla 3. Roles ubicados en el directorio system/services/roles/ del registro deseguridadsystem/services/roles/

DirectoryService Rol que otorga acceso completo al Servicio dedirectorios. No suprima este rol porque lo utilizanlos servicios internos.

Tabla 4. Roles ubicados en el directorio system/roles/ del registro de seguridadsystem/roles/

Administrador de registro Rol que otorga autorización para gestionaranotadores, manejadores y filtros (máscaras).

Administrador del sistema Rol que proporciona acceso de usuario final a latotalidad de Tivoli Kernel Services excepto alregistro de seguridad. Proporciona acceso a todoslos comandos CLI excepto a los comandos deseguridad.

La Tabla 5 muestra la combinación de roles de Administración de Tivoli Kernel Services yde roles de Tivoli Kernel Services necesaria para proporcionar a un usuario el acceso a lastareas del portafolio. Por ejemplo, si desea proporcionar a alguien la autorización paratrabajar con cuentas y personas en el registro de seguridad, pero desea limitar la capacidadde dicha persona de editar o asignar roles, puede asignarle el rol MACLimitedSecurityUser yel rol de Administrador de usuarios. El primer rol otorga a un usuario el acceso a unconjunto limitado de tareas del portafolio y el segundo rol proporciona al usuario lospermisos necesarios para trabajar con cuentas y personas en el registro de seguridad.

Tabla 5. Roles y acceso a las tareas del portafolioRol de Administración de

Tivoli Kernel ServicesRol de Tivoli Kernel

ServicesAcceso disponible

MACSeniorUser Administrador del sistema yAdministrador

¶ Están disponibles todas las tareas

¶ Otorga autorización completa parala totalidad de Tivoli KernelServices y el registro de seguridad


3.A

dministrar

seguridad

Tabla 5. Roles y acceso a las tareas del portafolio (continuación)Rol de Administración de

Tivoli Kernel ServicesRol de Tivoli Kernel

ServicesAcceso disponible

MACInstallUser Administrador del sistema yAdministrador

¶ Están disponibles todas las tareas

¶ Otorga autorización completa parala totalidad de Tivoli KernelServices y el registro de seguridad

MACLoggingUser Administrador de registro ¶ Acceso a todas las tareas del grupode tareasAdministrar registro

¶ Otorga autorización para gestionaranotadores, manejadores, filtros(máscaras)

MACOrbUser Administrador del sistema ¶ Acceso a las tareasGestionar losORB, Ver conexiones de datosyVer configuración de SNMP

¶ Puede realizar funciones deadministración de conexión dedatos, componentes, conjuntos deORB y ORB

¶ Otorga el acceso completo a TivoliKernel Services excepto al registrode seguridad

MACResourceUser DirectoryService ¶ Acceso a la tareaVer directorio

¶ Otorga acceso completo al Serviciode directorios

MACLimitedSecurityUser Administrador de usuarios ¶ Acceso a las tareasVerpropiedades de usuarioy Buscarseguridad

¶ Otorga autorización para trabajarsólo con cuentas y personas

¶ Puede añadir, suprimir y editarcuentas y personas en cualquierlugar del registro de seguridadexcepto en el directorio deseguridad

MACSecurityUser Administrador ¶ Acceso a todas las tareas del grupode tareasAdministrar seguridad

¶ Otorga acceso completo a todos losobjetos del registro de seguridad

22 Versión 1.2

Visualización de las propiedades de usuarioPara visualizar información de cuenta y usuario para la cuenta y el usuario con los que hainiciado la sesión, seleccione la tareaVer propiedades de usuariodel grupo de tareasAdministrar seguridad del portafolio. Desde esta ventana, que se muestra en la Figura 12,puede ver y actualizar información de usuario y cuenta. Consulte los temas de ayuda enlínea de Tivoli Assistant si desea obtener instrucciones paso a paso para realizar estas tareas.

Visualización de usuarios, recursos y rolesPara visualizar la ventana de navegación principal para el registro de seguridad, seleccione latareaVer usuarios, recursos, rolesen el grupo de tareasAdministrar seguridad delportafolio. Desde esta ventana, que se muestra en la Figura 13 en la página 24, puede movero redenominar objetos y crear o editar cuentas, usuarios, roles, directores, unidadesorganizativas y capacidades. Consulte los temas de ayuda en línea de Tivoli Assistant sidesea obtener instrucciones paso a paso para realizar estas tareas.

Figura 12. Ventana Ver propiedades de usuario


3.A

dministrar

seguridad

Administración del registro de seguridadUna vez que se han creado, los usuarios, las cuentas y los roles pueden organizarse en parteslógicas. En el registro de seguridad, puede crear unidades organizativas, que soncontenedores para todos los objetos de seguridad. Estos contenedores pueden utilizarse paraorganizar los objetos de seguridad de acuerdo con los departamentos o unidades de empresadentro de una organización o cualquier otro división lógica.

Después de definir las unidades organizativas, puede asociar esos objetos de seguridad entresí. Puede formar y mantener manualmente estas asociaciones o puede crear filtros para creardinámicamente dichas asociaciones. Estos filtros, o consultas, asocian los usuarios con losroles y las cuentas o las capacidades y las condiciones de acceso con los destinos, etc.

Las consultas se crean utilizando tipos de clases de objeto, que son entradas de datos uobjetos del registro de seguridad. Las consultas que utilizan tipos de clases de objeto puedenser muy generales y de alto nivel, por ejemplo filtrar todos los usuarios o roles, así comomás detalladas, por ejemplo filtrar basándose en el apellido o el número de teléfono de unusuario. A medida que cambian los datos, cambian las asociaciones entre objetos.

Para obtener más información sobre el registro de seguridad, su organización y los aspectosde planificación de la seguridad, consulte la publicaciónPlanificación de Tivoli KernelServices.

Copia de objetos en el registro de seguridadExisten varias razones por las cuales puede desear copiar objetos en el registro de seguridad.Por ejemplo, puede que desee crear un rol que es sólo ligeramente diferente de otro rol.Puedeclonar, o copiar y redenominar, el rol del modo siguiente:


Figura 13. Ventana Registro de seguridad

24 Versión 1.2

2. En la ventana Registro de seguridad, localice el rol que desea copiar.

3. Haga clic con el botón derecho del ratón en el rol y seleccioneCopiar en el menú decontexto.

4. Seleccione el directorio donde desea que se ubique el nuevo rol.

5. En el menúEditar , seleccionePegar.

6. Haga clic con el botón derecho del ratón en el nuevo rol y seleccioneRenombrar en elmenú de contexto.

7. Entre un nombre significativo para el nuevo rol.

Los objetos de persona de la carpetaSuperadministradoresse tratan de forma especial. Amedida que se van añadiendo roles nuevos al sistema, a cualquier objeto de persona de lacarpetaSuperadministradoresse le asignará el nuevo rol. La persona acumulará todos losroles añadidos después de añadirse. Por esta razón si desea crear personas que tengan todoslos roles del sistema, deberá copiar y redenominar la persona. Por ejemplo:


2. En la ventana Registro de seguridad, abra la carpetaseguridad →Superadministradores.

3. Haga clic con el botón derecho del ratón en la personaJohn D. Supery seleccioneCopiar en el menú de contexto.

4. Seleccione la carpetaSuperadministradores.

5. En el menúEditar , seleccionePegar para realizar una copia del objeto de persona. Deforma predeterminada el nuevo nombre seráJohn D. Super1.

6. Haga doble clic enJohn D. Super1y edite la información de usuario para identificar deforma correcta a la persona.

7. Asigne al usuario una cuenta de inicio de sesión nueva con un nombre de usuario y unacontraseña actualizados.

Búsqueda de objetos en el registro de seguridadPara crear una consulta de filtrado que busque objetos coincidentes en el registro deseguridad, seleccione la tareaBuscar seguridaden el grupo de tareasAdministrarseguridad del portafolio. Desde esta ventana, que se muestra en la Figura 14 en lapágina 26, puede buscar usuarios, roles, cuentas, capacidades y destinos del registro deseguridad. Consulte los temas de ayuda en línea de Tivoli Assistant si desea obtenerinstrucciones paso a paso para realizar estas tareas.


3.A

dministrar

seguridad

Figura 14. Búsqueda en el registro de seguridad

26 Versión 1.2

Administrar registro

El grupo de tareasAdministrar registro visualiza tareas administrativas de registro delsistema.Registrohace referencia a los mensajes y los datos creados desde dentro de uncomponente o una aplicación y enviados a un destino de salida como, por ejemplo, unarchivo, una base de datos, una pantalla de consola, etc. Tivoli Kernel Services soporta dostipos de registro:

¶ Local, que es el registro en un entorno individual

¶ Distribuido, que es el registro en múltiples entornos.

El subsistema de Registro de Tivoli Kernel Services utiliza varios objetos para registrareventos del sistema. Estos objetos incluyen anotadores, manejadores y filtros (tambiénconocidos como máscaras). Losanotadoresson objetos de software que registran eventosque se producen mientras está operando un componente. El subsistema de Registro soportados tipos de anotadores: anotadores de mensajes y anotadores de rastreo.

Los Anotadores de mensajesse utilizan para registrar mensajes textuales de un componentede Tivoli Kernel Services. Estos mensajes se internacionalizan para los entornos nacionalesindividuales. El tipos de mensajes asociados con un anotador de mensajes, que estánhabilitados de forma predeterminada, incluyen:

Mensajes informativosIndican condiciones que merece la pena tener en cuenta pero que norequieren que un usuario tome ninguna precaución o realice ninguna acción.

Mensajes de avisoInforma a un usuario que se ha detectado una condición que debe conocer,pero que no requiere necesariamente que el usuario realice ninguna acción.Por ejemplo, este tipo de mensaje puede indicar que algún aspecto de unprograma no se ha ejecutado como se pretendía, pero se han aplicado los

Figura 15. Grupo de tareas Administrar registro

4


4.A

dministrar

registro

valores predeterminados para que el programa pudiera continuarfuncionando, aunque se debe examinar la validez de la salida.

Mensajes de errorInforman a un usuario sobre eventos graves, por ejemplo un componente noha podido grabar una entrada de base de datos.

Mensajes muy gravesIndican los errores más graves, por ejemplo errores que requieren que sereinicie un ORB o que indican que un componente se ha cerrado porque hanfallado los intentos de recuperación de un error.

Los anotadores de rastreose utilizan para capturar información acerca del entorno operativocuando el código de componente no opera como se pretende. El personal de Soporte alcliente de Tivoli utiliza la información capturada por los anotadores de rastreo para rastrearun problema hasta su origen o determinar por qué se ha producido un error. Generalmente,esta información no está habilitada de forma predeterminada. Dado que los mensajes derastreo están destinados al personal de soporte, se graban generalmente en un archivo quepuede verse durante un examen efectuado a posteriori.

Los manejadoresson objetos de software que dirigen los mensajes registrados por unanotador a un destino. Los mensajes pueden dirigirse a un archivo, una base de datos, unapantalla de consola u otros destinos. Asocie manejadores con anotadores para enviarinformación registrada por un anotador al destino deseado.

Los filtros pueden aplicarse a los anotadores, a los manejadores o a ambos. Cuando se aplicaa un anotador, el filtro determina qué tipos de registros de mensaje y de rastreo procesa elanotador. Cuando se aplica a un manejador, el filtro determina qué tipos de registros demensaje y rastreo envía el manejador a un destino. Los filtros funcionan mediante lacomparación de un tipo de registro de anotación con un conjunto de criterios, o unaconsulta, contenidos en el filtro.

El hecho de tener numerosos anotadores, manejadores y filtros puede hacer que tenga querealizar una cantidad indebida de administración de registro. Para reducir la carga deadministración, puede crear grupos. Ungrupo contiene anotadores, manejadores o máscarasque tienen propiedades comunes. Mediante la creación de grupos, un anotador, un manejadoro una máscara recién creado con propiedades no establecidas puede heredar valores delgrupo para dichas propiedades. Si un anotador, un manejador o una máscara pertenece a ungrupo y se actualizan sus propiedades, también se actualizará dicha propiedad de todos losdemás anotadores, manejadores o máscaras de dicho grupo. Esto elimina la necesidad deactualizar manualmente las propiedades de anotador, manejador o máscara individuales.

Visualización de registrosPara ver todos los registros del sistema, seleccione la tareaVer todos los registrosdel grupode tareasAdministrar registro del portafolio. Para ver información detallada sobre losregistros del sistema que se pueden traducir, seleccione la tareaVer registros traducidos delgrupo de tareasAdministrar registro del portafolio. La ventana Ver registros traducidos esigual que la ventana Ver todos los registros. En la ventana Ver todos los registros, que semuestra en la Figura 16 en la página 29, puede seleccionar una entrada de registrodeterminada y ver su contenido más detalladamente. Consulte los temas de ayuda en línea deTivoli Assistant si desea obtener instrucciones paso a paso para realizar dichas tareas.

28 Versión 1.2

Configuración de anotadores, manejadores y máscarasPara ver, configurar y acceder a los anotadores, los manejadores y las máscaras del sistemade una instalación Tivoli Kernel Services, seleccione la tareaConfigurar registro del grupode tareasAdministrar registro del portafolio. En la ventana Configurar registro, que semuestra en la Figura 17 en la página 30, puede gestionar anotadores, manejadores ymáscaras, por ejemplo editar sus propiedades, listar los objetos de registro asociados osuprimiéndolos. Consulte los temas de ayuda en línea de Tivoli Assistant si desea obtenerinstrucciones paso a paso para realizar dichas tareas. Antes de realizar estas tareas, consultela publicaciónResolución de problemas de Tivoli Kernel Servicespara obtener informaciónsobre cómo configurar y preparar el registro, incluyendo la configuración de manejadores debase de datos.

Figura 16. Ventana Ver todos los registros


4.A

dministrar

registro

Figura 17. Ventana Configurar registro

30 Versión 1.2

Administrar software de gestión

En un sistema distribuido a gran escala como Tivoli Kernel Services, las aplicacionesnecesitan datos de preferencia y configuración para adaptarse a diferentes entornos. Lasaplicaciones también necesitan un modo de almacenar, recuperar y modificar estos datos,independientemente de dónde estén ubicados los datos. Esto se lleva a cabo configurando ygestionando los objetos del sistema y las comunicaciones del sistema. El grupo de tareasAdministrar software de gestión proporciona estas tareas administrativas generales delsistema, incluidas las tareas para gestionar y desplegar componentes, además de las tareaspara gestionar el directorio, los eventos, las comunicaciones, los ORB y los conjuntos deORB.

Gestión de ORB y conjuntos de ORBUn ORB (intermediario para peticiones de objetos) de Tivoli Kernel Services proporcionaacceso remoto y comunicaciones a componentes, servicios y objetos gestionados del sistema.Los ORB también manejan un objeto durante todo su ciclo de vida, direccionando objetos entodo el sistema distribuido. Cada ORB proporciona mecanismos de comunicación, que otroscomponentes del sistema utilizan para comunicarse. Cuando se ejecuta un ORB, secomunican varios servicios y componentes de forma remota, con o desde el ORB. Paramanejar este acceso remoto, el ORB generaproxies, objetos especiales que sirven desustitutos de los objetos remotos.

En Tivoli Kernel Services, existe una agrupación lógica de ORB que contienen componentesque juntos realizan una función determinada (por ejemplo, seguridad). Estos grupos lógicosse denominandominiosy se implementan utilizando conjuntos de ORB. La agrupación deORB en conjuntos de ORB reduce la carga de configuración al asociar datos de

Figura 18. Grupo de tareas Administrar software de gestión

5


5.A

dministrar

software

degestión

configuración específicos de un recurso con un grupo de ORB que se representa medianteun conjunto de ORB. A medida que se mantienen o actualizan los componentes, o a medidaque se añaden máquinas y ORB al sistema distribuido, los ORB reúnen automáticamente lainformación de configuración del conjunto de ORB en el que coloca los ORB.

Se ha creado un conjunto de ORB predeterminado, llamado.allorbs, al instalar TivoliKernel Services. Este conjunto de ORB permite al usuario establecer datos de configuraciónque leerá cada ORB del sistema. Otro conjunto de ORB predeterminado, que incluye losdatos de configuración de sólo lectura predeterminados para todos los ORB y componentesde Tivoli Kernel Services, es.orbdefaults.

Puede crear otros conjuntos de ORB como ayuda para gestionar las aplicaciones de TivoliKernel Services. Los conjuntos de ORB que cree proporcionan los datos de configuraciónespecíficos y prevalecen sobre los valores predeterminados proporcionados por.allorbs y.orbdefaults. Adicionalmente, los datos de configuración que establezca para los ORBindividuales de ese conjunto de ORB prevalecen sobre los valores proporcionados para elconjunto de ORB al que pertenecen. Esta clase de herencia inversa se denominacoalescencia(enlace). El orden para aplicar datos de configuración es el siguiente:

1. Datos de configuración específicos de ORB

2. Datos de configuración de conjunto de ORB

3. Datos de configuración de.allorbs

4. Datos de configuración de.orbdefaults

Adicionalmente, se crean automáticamente los siguientes conjuntos de ORB al desplegarTivoli Kernel Services:

¶ DefaultRegion, que anida todos los ORB que forman parte de la región predeterminada,definidos actualmente como todos los ORB de la instalación, del modo siguiente:

v orbsInDefaultRegion, que son todos los ORB que forman parte de la regiónpredeterminada, que anida los siguientes conjuntos de ORB:

– endpointsInDefaultRegion, que es un conjunto de ORB de todos los servidoresde Endpoint gestionados por esta instalación Tivoli Kernel Services.

– consolesInDefaultRegion, que es un conjunto de ORB de todas las máquinasdonde Tivoli Console se ha habilitado para ejecutarse en esta instalación TivoliKernel Services.

– serversInDefaultRegion, que es un conjunto de ORB de todos los servidores deesta instalación Tivoli Kernel Services que se han dedicado para ejecutar elcódigo de Tivoli Kernel Services. Los servidores Tivoli Kernel Server puedendefinirse como gateways o servidores de uso general.

¶ installationDepotOrbset, que es un conjunto de ORB de un ORB, el almacén deinstalación, desde el cual se sirven todos los componentes de Tivoli Kernel Services.

¶ default_nat, que es un conjunto de ORB que se utiliza para almacenar la configuraciónpara la NAT (network address translation - conversión de dirección de red)predeterminada de una instalación. No modifique este conjunto de ORB ni desplieguecomponentes en este conjunto de ORB.

Para ver, configurar y acceder a los ORB, los conjuntos de ORB y los componentesdesplegados en una instalación Tivoli Kernel Services, seleccione la tareaGestionar los

32 Versión 1.2

ORB del grupo de tareasAdministrar software de gestión del portafolio. La ventanaGestionar los ORB, que se muestra en la Figura 19, visualiza los ORB, los conjuntos deORB y los componentes desplegados (incluyendo los conjuntos de ORB predeterminadosdescritos anteriormente) en una estructura en árbol.

Desde esta ventana, puede navegar por los ORB, conjuntos de ORB y componentes,redenominar objetos, actualizar componentes y crear conjuntos de ORB nuevos. Consulte lostemas de ayuda en línea de Tivoli Assistant si desea obtener instrucciones paso a paso pararealizar dichas tareas.

Gestión y despliegue de componentesTodo lo que hay en Tivoli Kernel Services se considera uncomponente, que es una parte decódigo o datos que se puede instalar, ejecutar y actualizar. Un componente puede ser unservicio o puede ser un conjunto de código utilizado para implementar la función utilizadadirectamente por otra parte del sistema distribuido. También lo pueden utilizar otroscomponentes para formar un sistema distribuido totalmente funcional. Toda la instalación yel mantenimiento del sistema se maneja en términos de componentes.

El almacén de componenteses el repositorio de todos los componentes que se puedendesplegar en todo el sistema distribuido. Para ver información detallada acerca de loscomponentes que se instalan en el almacén de componentes, seleccione la tareaVer almacénde componentesdel grupo de tareasAdministrar software de gestión del portafolio. Desdela ventana Ver almacén de componentes, que se muestra en la Figura 20 en la página 34,puede configurar y eliminar componentes. Consulte los temas de ayuda en línea de TivoliAssistant si desea obtener instrucciones paso a paso para realizar dichas tareas.

Figura 19. Ventana Gestionar los ORB


5.A

dministrar

software

degestión

Para ver información detallada acerca de los espacios de nombres, los conjuntos de ORB ylos componentes desplegados en los conjuntos de ORB, seleccione la tareaDesplegar enconjuntos de ORBdel grupo de tareasAdministrar software de gestión del portafolio.Desde la ventana Desplegar en conjuntos de ORB, que se muestra en la Figura 21 en lapágina 35, puede desplegar componentes en los conjuntos de ORB existentes. Tambiénpuede gestionar espacios de nombres y conjuntos de ORB y realizar diversas tareasrelacionadas con los componentes, tales como configurar, actualizar, eliminar y retrotraercomponentes. Consulte los temas de ayuda en línea de Tivoli Assistant si desea obtenerinstrucciones paso a paso para realizar dichas tareas.

Figura 20. Ventana Ver almacén de componentes

34 Versión 1.2

Una instalación Tivoli Kernel Services consta de un gran número de componentes, que sevisualizan en la ventana Ver almacén de componentes. Sin embargo, sólo hay un pequeñonúmero de estos componentes que puede ser necesario pensar en desplegar, o dejardisponibles, en un ORB o conjunto de ORB específico. Estos componentes incluyen losiguiente:

¶ Componentes del Gestor de componentes

v ComponentDistributionService

v PndScheduler

Nota: Los componentes ComponentDistributionService y PndScheduler debendesplegarse juntos (en el mismo conjunto de ORB utilizando la misma acción dedespliegue).

¶ Componentes del directorio

v slash

v dirservice

¶ Componentes de gateway

v GatewayIPService

v GatewaySNMPService

v NelService

¶ Componentes de registro

Figura 21. Ventana Desplegar en conjuntos de ORB


5.A

dministrar

software

degestión

v logging

¶ Componentes de seguridad

v AuthenticationService

v SecurityDirectoryService

v RemoteAuthenticationService

¶ Componentes del Gestor de componentes

v dsm

Gestión del directorioEl directorio de Tivoli Kernel Services se utiliza principalmente como punto de anclaje paraacceder a la información del sistema distribuido. Todos los ORB tienen acceso al directorio;por consiguiente, cada componente que se ejecuta en un ORB tiene acceso al directorio. Eldirectorio proporciona acceso a la información mediante el uso de contextos. Uncontextoesun contenedor que contiene objetos a un determinado nivel del directorio. Existen dos tiposde contextos: contexto local del ORB y contexto de slash.

El contexto local del ORBrepresenta el contexto de nivel superior de un ORB y es el objetoprincipal en el que se realizan todas las operaciones del servicio de directorios. Elcontextode slashproporciona y mantiene los servicios de directorios a través de los límites de sesiónpara una instalación Tivoli Kernel Services entera. El contexto de slash está contenido en labase de datos de directorio, una base de datos relacional cuya ubicación se define durante lainstalación. Esta base de datos se utiliza para almacenar información de configuración. Elservicio de directorios también depende de la base de datos para el almacenamiento seguro yla información de fuente de datos. El contexto de slash se ejecuta como un servicio (llamadoslash) y lo inicia el Gestor de servicios cuando el servicio slash está configurado paraejecutarse en un ORB.

Para ver y acceder a los objetos de directorio de una instalación Tivoli Kernel Services,seleccione la tareaVer directorio del grupo de tareasAdministrar software de gestión delportafolio. La ventana Ver directorio, que se muestra en la Figura 22 en la página 37,visualiza objetos de directorio en una estructura en árbol.

36 Versión 1.2

Desde esta ventana, puede navegar por el directorio, acceder a los contextos local de ORB yde slash, crear carpetas de directorio nuevas, redenominar carpetas de directorio existentes yver y configurar atributos de directorio. Consulte el sistema de ayuda en línea de TivoliAssistant para obtener instrucciones paso a paso sobre cómo llevar a cabo estas tareas.

Gestión de eventosEl Servicio de mensajería proporciona un servicio de eventos genérico. Realiza dicha tareautilizando el modelo de comunicación de edición/suscripción. En este modelo un editor esun componente que edita mensajes para un tema. La edición para un tema hace que el editorgenere un mensaje y éste se envíe al tema. Un tema es un objeto de software que definecriterios de mensaje. Los temas se organizan de forma jerárquica para que los componentesy los servicios puedan suscribirse a temas de alto o de bajo nivel. Un suscriptor es uncomponente que solicita información acerca de un tema. Los suscriptores utilizan filtros pararecibir mensajes específicos permanentes.

Para ver los componentes del sistema utilizando el Servicio de mensajería, seleccione latareaGestionar los ORBdel grupo de tareasAdministrar software de gestión delportafolio. En la ventana Gestionar los ORB, que se muestra en la Figura 19 en la página 33,haga clic con el botón derecho del ratón en un ORB y seleccioneMostrar estadísticas delservicio de mensajería. Desde la ventana Estadísticas del servicio de mensajería, que semuestra en Figura 23 en la página 38, puede ver o cambiar las estadísticas del Servicio demensajería. Consulte el sistema de ayuda en línea de Tivoli Assistant para obtenerinstrucciones paso a paso sobre cómo llevar a cabo estas tareas.

Figura 22. Ventana Ver directorio


5.A

dministrar

software

degestión

Gestión de comunicacionesUna instalación Tivoli Kernel Services consta de lo siguiente:

¶ Un conjunto de servidores, que soportan la infraestructura de gestión y las aplicaciones

¶ Un conjunto de dispositivos, que representan los recursos físicos que se deben gestionar.

Los dispositivos, o Endpoints, se gestionan y controlan medianteagentes, que son entidadesde software que se ejecutan en los Endpoints y proporcionan la capacidad de gestión paraotro software o hardware. Tivoli Kernel Services soporta agentes SNMP mediante el gatewayapropiado y se comunica con ellos utilizando el protocolo correcto.

Nota: Cada objeto de la ruta de acceso a un dispositivo de red — Servicio NEL, Gateway yel propio dispositivo — está sujeto a las comprobaciones de autorización. Si deseaobtener información que describe los requisitos de seguridad para utilizar estoscomponentes, consulte el “Utilización del Servicio NEL y Gateway en un entornoseguro” en la página 47.

Gestión de gatewaysEl Servicio de gateway gestiona las comunicaciones y las conexiones entre un grupo deEndpoints y Tivoli Kernel Services. El gateway recibe eventos de los recursos y pasa dichoseventos a las partes interesadas del sistema distribuido. El Servicio NEL (Network EndpointLocator Service) es el componente de Tivoli Kernel Services que comprueba el acceso deseguridad a un recurso y establece el mejor gateway posible para que una aplicación se

Figura 23. Ventana Estadísticas del servicio de mensajería

38 Versión 1.2

comunique con el Endpoint utilizando un objeto de acción. Un objeto de acción representa laconexión entre una aplicación y un recurso. Los objetos de acción los crean los componentesy viajan a la ubicación (generalmente un gateway) donde se puede llevar a cabo la operaciónsubyacente. Los objetos de acción pasan comandos y datos a y desde el recurso mediante lasrutas que necesitan.

Para ver y editar el Servicio NEL, seleccione la tareaVer almacén de componentesdelgrupo de tareasAdministrar software de gestión del portafolio. En la ventana Ver almacénde componentes, que se muestra en la Figura 20 en la página 34, haga clic con el botónderecho del ratón en el componenteNelServicey seleccioneEditar propiedades. Desde laventana Editar configuración de NelService, que se muestra en la Figura 24, se visualizan losgateways predeterminados y definidos por el usuario.

Desde esta ventana, puede navegar por la lista de gateways definidos por el usuario, creargateways nuevos y configurar gateways. Consulte el sistema de ayuda en línea de TivoliAssistant para obtener instrucciones paso a paso sobre cómo llevar a cabo estas tareas.

Para ver y editar el Gateway IP o el Gateway SNMP, seleccione la tareaVer almacén decomponentesdel grupo de tareasAdministrar software de gestión del portafolio. Desde laventana Ver almacén de componentes, haga clic con el botón derecho del ratón en elcomponenteGatewayIPServiceo el componenteGatewaySNMPServicey seleccioneEditar propiedades. En la ventana Editar configuración de GatewayIPService window, quese muestra en la Figura 25, (o la ventana Editar configuración de GatewaySNMPService), sevisualiza la información de configuración de gateway IP.

Figura 24. Editar propiedades de NelService

Figura 25. Editar propiedades de GatewayIPService


5.A

dministrar

software

degestión

Desde esta ventana puede configurar un gateway IP. Consulte el sistema de ayuda en líneade Tivoli Assistant para obtener instrucciones paso a paso sobre cómo llevar a cabo estastareas.

Gestión de configuración de dispositivo SNMPPuede configurar información de dispositivo SNMP, por ejemplo nombre de comunidad delectura y grabación, número de puerto SNMP, contadores de reintentos y umbrales de tiempode espera. La información, que se almacena como datos de configuración y se utiliza alestablecer sesiones con los agentes SNMP, puede configurarse para un solo recurso, ungrupo de recursos o una subred entera, basándose en la dirección de red especificada.

También puede crear y asociar configuraciones SNMP con una conversión de dirección dered (NAT). Una NAT representa un espacio de nombres en el cual las direcciones de red sonexclusivas. Mediante la creación de una NAT, puede particionar la instalación en espacios denombres de red IP privados para asegurar un destino exclusivo para los datos enviados a unadirección IP que puede existir en más de un espacio de nombres de red IP.

Antes de poder utilizar las vistas GUI de configuración SNMP, deberá desplegar el servicioIpConfigImpl en orb.1 o en orb.2. Para desplegar el servicio desde la línea de comandos,utilice el comando siguiente, dondeoid_orb y oid_conjuntoorbrepresentan el identificadorde objeto del ORB o del conjunto de ORB en el que desea desplegar el servicio:

wcmd cds deploy [email protected]{ oid_orb | oid_conjuntoorb}

Por ejemplo:wcmd cds deploy [email protected]

2.d3b096df447cef5f.1.2c27b7076f1e5965

Nota: Este comando de despliegue debe emitirse desde orb.1.

Para ver y configurar información de dispositivo SNMP, seleccione la tareaVerconfiguración de dispositivo SNMPdel grupo de tareasAdministrar software de gestióndel portafolio. La ventana Ver configuración de dispositivo SNMP, que se muestra en laFigura 26 en la página 41, visualiza la información de configuración en una estructura enárbol organizada por NAT.

40 Versión 1.2

Desde esta ventana puede crear NAT nuevas, gestionar la configuración de dispositivoSNMP predeterminada para una NAT y gestionar la configuración de dispositivo SNMP paradirecciones IP individuales o un rango de direcciones IP. Consulte los temas de ayuda enlínea de Tivoli Assistant si desea obtener instrucciones paso a paso para realizar dichastareas.

Figura 26. Ventana Ver configuración de dispositivo SNMP


5.A

dministrar

software

degestión

42 Versión 1.2

Roles definidos por el sistema

En Tivoli Kernel Services se han definido diversos roles de seguridad para que los utilice.Estos roles tienen un conjunto predefinido de condiciones de acceso y se proporcionan paraayudarle a otorgar a los usuarios el acceso correcto al sistema. Estos roles pueden copiarse omodificarse para satisfacer sus necesidades. Algunos roles los utiliza internamente TivoliKernel Services y deberán modificarse.

Las tablas siguientes listan y describen todos los roles del sistema. Los roles se dividen enlas diferentes rutas de directorio donde existen en el registro de seguridad.

Tabla 6. Roles ubicados en el directorio Applications/ del registro de seguridadApplications/

TES/01/roles/MetaTESAdmin Rol de administrador para el recurso MetaTES.

Tabla 7. Roles ubicados en el directorio PS/PSServer/Roles/ del registro deseguridadPS/PSServer/Roles/

com.Tivoli.pf.pfconsole.Impl/1.2.0/ConsoleUsers Rol base que se asigna automáticamente acualquier usuario del registro de seguridad.Proporciona acceso para iniciar la sesión enTivoli Console.

com.Tivoli.pf.pfconsole.Impl/1.2.0/MCFulRole Rol base que se asigna automáticamente acualquier usuario del registro de seguridad.Proporciona acceso a los usuarios para realizartareas en Tivoli Console.

MACImpl/5.2.0/MACInstallUser Rol que permite a los usuarios realizar todas lasfunciones de administración del sistema.Proporciona acceso a todas las tareas de todos losgrupos de tareas.

MACImpl/5.2.0/MACLimitedSecurityUser Rol que permite a los usuarios ver informaciónde seguridad para el usuario y la cuenta con laque se ha iniciado la sesión en la consola ybuscar recursos de seguridad. Proporciona accesoa las tareas Ver propiedades de usuario y Buscarseguridad del grupo de tareas Administrarseguridad.

MACImpl/5.2.0/MACLoggingUser Rol que permite a los usuarios realizar funcionesde administración de registro. Proporciona accesoa todas las tareas del grupo de tareas Administrarregistro.

A


A.

Roles

definidospor

elsistem

a

Tabla 7. Roles ubicados en el directorio PS/PSServer/Roles/ del registro deseguridad (continuación)PS/PSServer/Roles/

MACImpl/5.2.0/MACOrbUser Rol que permite a los usuarios realizar funcionesde administración de conexión de datos,componentes, conjuntos de ORB y ORB.Proporciona acceso a las tareas Gestionar losORB, Ver conexiones de datos y Verconfiguración de SNMP.

MACImpl/5.2.0/MACResourceUser Rol que permite a los usuarios realizar funcionesde administración de directorio. Proporcionaacceso a la tarea Ver directorio.

MACImpl/5.2.0/MACSecurityUser Rol que permite a los usuarios realizar funcionesde administración de seguridad. Proporcionaacceso a todas las tareas del grupo de tareasAdministrar seguridad.

MACImpl/5.2.0/MACSeniorUser Rol que permite a los usuarios realizar todas lasfunciones de administración del sistema.Proporciona acceso a todas las tareas de todos losgrupos de tareas.

Tabla 8. Roles ubicados en el directorio security/roles/ del registro de seguridadsecurity/roles/

Administrador Rol que proporciona acceso completo a todos losobjetos del registro de seguridad.

Administrador de usuarios Rol que otorga autorización para trabajar sólocon cuentas y personas, no tiene autorizaciónpara trabajar con roles. Puede añadir, suprimir yeditar cuentas y personas en cualquier lugar delregistro de seguridad excepto en el directorio deseguridad. No tiene autorización para utilizar loscomandos CLI de seguridad.

wcmdRole Rol que otorga acceso a todos los comandos CLIde seguridad. Sólo se debe asignar a lossuperadministradores.

Tabla 9. Roles ubicados en el directorio system/roles/ del registro de seguridadsystem/roles/

Instalador de bootprint Rol que proporciona acceso para instalarbootprints.

Administrador de base de datos Rol que proporciona acceso para trabajar contodos los objetos SimpleDataSource del directoriodel sistema del registro de seguridad.

Administrador de registro Rol que otorga autorización para gestionaranotadores, manejadores y filtros (máscaras).

44 Versión 1.2

Tabla 9. Roles ubicados en el directorio system/roles/ del registro deseguridad (continuación)system/roles/

Administrador del sistema Rol que proporciona acceso de usuario final a latotalidad de Tivoli Kernel Services excepto alregistro de seguridad. Proporciona acceso a todoslos comandos CLI excepto los comandos deseguridad.

Ver datos de aplicación Rol que proporciona acceso para ver todos losobjetos de registro de seguridad en el directoriode aplicaciones del registro de seguridad.

Ver datos del sistema Rol que proporciona acceso para ver todos losobjetos de registro de seguridad del directorio delsistema del registro de seguridad.

Tabla 10. Roles ubicados en el directorio system/services/roles/ del registro deseguridadsystem/services/roles/

CfgUsingDirectory Rol de uso interno solamente utilizado por elservicio de configuración. No edite, suprima niasigne este rol.

DirectoryService Rol que otorga acceso completo al Servicio dedirectorios. No suprima este rol porque lo utilizanlos servicios internos.

gateway/JrDeviceAdmin Rol que otorga el acceso de deviceExe a losgrupos de dispositivos que un administrador deregistro de seguridad configura como destinos.

gateway/DeviceAdmin Rol que otorga acceso de deviceRead ydeviceExe a los grupos de dispositivos que unadministrador de registro de seguridad configuracomo destinos.

gateway/SrDeviceAdmin Rol que otorga acceso de deviceRead,deviceWrite y deviceExe a los grupos dedispositivos que un administrador del registro deseguridad configura como destinos.

gateway/SuperDeviceAdmin Rol que otorga acceso de deviceRead,deviceWrite y deviceExe a todos los dispositivos.

gateway/JrGatewayAdmin Rol que otorga acceso de lectura a las instanciasde Gateway que un administrador del registro deseguridad configura como destinos.

gateway/GatewayAdmin Rol que otorga acceso de lectura y ejecución alas instancias de Gateway que un administradordel registro de seguridad configura comodestinos.

gateway/SrGatewayAdmin Rol que otorga acceso de lectura, grabación yejecución a las instancias de Gateway que unadministrador de seguridad configura comodestinos.

gateway/SuperGatewayAdmin Rol que otorga acceso de lectura, grabación yejecución a todas las instancias de Gateway.


A.

Roles

definidospor

elsistem

a

Tabla 10. Roles ubicados en el directorio system/services/roles/ del registro deseguridad (continuación)system/services/roles/

KernelService Rol de uso interno solamente para Tivoli KernelServices. No modifique ni suprima este rol.

nels/JrNELSAdmin Rol que otorga acceso de lectura a las instanciasde Servicio NEL que un administrador delregistro de seguridad configura como destinos.

nels/NELSAdmin Rol que otorga acceso de lectura y grabación alas instancias del Servicio NEL que unadministrador del registro de seguridad configuracomo destinos.

nels/SrNELSAdmin Rol que otorga acceso de lectura, grabación yejecución a las instancias del Servicio NEL queun administrador del registro de seguridadconfigura como destinos.

nels/SuperNELSAdmin Rol que otorga acceso de lectura, grabación yejecución a las instancias de Servicio NEL.

46 Versión 1.2

Utilización del Servicio NEL y Gateway enun entorno seguro

Los componentes del Servicio NEL (Network Endpoint Locator Service) y Gateway estándiseñados para soportar un entorno de múltiples clientes, mientras protegen dispositivos dered individuales contra el acceso de personas no autorizadas. Cada objeto de la ruta deacceso a un dispositivo de red — Servicio NEL, Gateway y el propio dispositivo — estásujeto a las comprobaciones de autorización. Por consiguiente, un usuario que intentaacceder a un dispositivo determinado debe estar autorizado a acceder a tres elementos: (1) elServicio NEL que localiza el Gateway en el dispositivo, (2) el Gateway al dispositivo y (3)el dispositivo (Endpoint). El usuario obtiene los derechos de acceso autenticándose comodirector del registro de seguridad, que se ha configurado para tener las condiciones deacceso necesarias.

Acceso a una instancia del Servicio NELExisten objetos en el registro de seguridad que representan cada instancia individual delServicio NEL en una instalación Tivoli Kernel Services. Los objetos del Servicio NEL tienenlos nombres siguientes, dondenombreorbestá en el formatomáquina_puerto.

system/services/nels/NELS_nombreorb

Además, existe un objeto que representa todas las instancias del Servicio NEL. Este objetodel Servicio NEL tiene el nombre siguiente:

system/services/nels/NELS

Existen tres derechos de acceso asociados con un objeto del Servicio NEL: lectura,grabación y ejecución. Cuando se realiza una acción del Servicio NEL se necesita uno deestos derechos. Por ejemplo, para visualizar los nombres de conversiones de dirección de red(NAT) en la instalación, el usuario debe tener acceso de lectura a la instancia del ServicioNEL y para resolver un Endpoint utilizando datos de configuración, el usuario debe teneracceso de ejecución.

El registro de seguridad contiene roles predefinidos con derechos de acceso específicos. Losroles predefinidos para el acceso del Servicio NEL son los siguientes:

system/services/roles/nels/SuperNELSAdminEste rol tiene acceso de lectura, grabación y ejecución a todas las instancias delServicio NEL.

B


B.

Seguridad

paraS

ervicioN

EL

yG

ateway

system/services/roles/nels/SrNELSAdminEste rol tiene acceso de lectura, grabación y ejecución a las instancias del ServicioNEL que un administrador de seguridad configura como destinos.

system/services/roles/nels/NELSAdminEste rol tiene acceso de lectura y ejecución a las instancias del Servicio NEL que unadministrador de seguridad configura como destinos.

system/services/roles/nels/JrNELSAdminEste rol tiene acceso de lectura a las instancias del Servicio NEL que unadministrador de seguridad configura como destinos.

Además, el rolsystem/services/roles/KernelServicetiene derechos de lectura, grabación yejecución en todas las instancias del Servicio NEL.

El rol SuperNELSAdmin se aplica al objeto Servicio NEL en general, lo que significa queel acceso se aplica a todas las instancias del Servicio NEL. Sin embargo, la mayoría de losroles no tienen ningún objeto de destino definido y el administrador de seguridad debeconfigurar a qué instancias del Servicio NEL se aplican los roles. Si desea configurar undestino para un rol, el administrador debe asociar un objeto protegible con una capacidad enel rol. Los roles predefinidos del Servicio NEL que necesitan que se configure un destinotienen las capacidades siguientes:

¶ SuperNELSAdmin tiene la capacidadsystem/services/roles/nels/SuperNELSAdmin/SuperNELSCapability.

¶ SrNELSAdmin tiene la capacidadsystem/services/roles/nels/SrNELSAdmin/SrNELSCapability.

¶ NELSAdmin tiene la capacidad system/services/roles/nels/NELSAdmin/NELSCapability.

¶ JrNELSAdmin tiene la capacidadsystem/services/roles/nels/JrNELSAdmin/JrNELSCapability.

Nota: Antes de atribuir destinos estáticos a un rol, se recomienda crear un rol nuevoclonandoo copiando y redenominando el rol predefinido.

Por ejemplo, suponga que desea configurar un rol que tiene acceso de lectura, grabación yejecución a la instancia del Servicio NEL que se ejecuta en la máquina sys1, puerto 9990.

El objeto del Servicio NEL en el registro de seguridad se llamarásystem/services/nels/NELS_sys1_9990y el rol aplicable seráSrNELSAdmin porque tieneacceso de lectura, grabación y ejecución.

Para asociar el destino deseado con la capacidad en el rol:


48 Versión 1.2

2. En la ventana Registro de seguridad, haga doble clic ensistema→ servicios→ roles →nels para visualizar los roles predefinidos del Servicio NEL.

3. Copie y redenomine el rolSrNELSAdmin como se describe en el apartado “Copia deobjetos en el registro de seguridad” en la página 24. En este ejemplo, el nuevo rol seredenominaSrNELSAdmin1.

4. Para editar el rol recién creado, haga doble clic en el rol.

5. En la ventana Propiedades de rol, seleccioneSrNELSCapability (en la tablaCapacidades) y haga clic enEditar .


B.

Seguridad

paraS

ervicioN

EL

yG

ateway

6. En la ventana Capacidad, seleccioneDestinos estáticosy haga clic enNuevo.

7. En la ventana Seleccionar miembros:

a. SeleccioneNombre completoen la lista desplegablePropiedad y escriba el nombrede recurso, por ejemploNELS_sys1_9990, en el recuadro de texto.

b. Haga clic enEjecutar para localizar el recurso. (El recurso se visualiza en la mitadinferior de la ventana, cuando se localiza.)

c. Seleccione el recurso y haga clic enAceptar para añadirlo a lista de destinosestáticos.

8. En la ventana Capacidad, haga clic enAceptar para guardar los cambios.

También puede utilizar la interfazwcmd ssmpara asociar el destino deseado con lacapacidad del rol del modo siguiente:

50 Versión 1.2

wcmd ssm modifyAttributes -p system/services/roles/nels/SrNELSAdmin/SrNELSCapability-op add staticTarget=system/services/nels/NELS_sys1_9990

Los roles sólo resultan útiles cuando se asignan a directorios de seguridad. Entonces unapersona puede iniciar la sesión como director y obtener accesos de cualquier rol que tenga eldirector.

Los directores son objetos del registro de seguridad y los pueden crear los administradoresde seguridad de la instalación según las necesidades. Suponga que se ha creado el directorUsuario1 con la ruta siguiente en el registro:applications/test/principals/Usuario1

Para asignar un rol a un director, puede utilizar el procedimiento descrito en el apartado“Asignación de roles a un usuario” en la página 18 o la interfaz de línea de comandoswcmdssmdel modo siguiente:wcmd ssm modifyAttributes -p applications/test/principals/Usuario1 -op addstaticRole=system/services/roles/nels/SrNELSAdmin

Entonces los usuarios que inician la sesión como director Usuario1 deberán tener acceso delectura, grabación y ejecución al Servicio NEL (Network Endpoint Locator Service) que seejecuta en sys1.

Acceso a una instancia de GatewayLos aspectos de seguridad del servicio Gateway son análogos a los del Servicio NEL.

Existen objetos en el registro de seguridad que representan cada instancia individual deGateway en una instalación Tivoli Kernel Services. Los objetos de Gateway tienen losnombres siguientes, dondetipo es SNMP o IP ynombreorbestá en el formatomáquina_puerto.

system/services/gateway/Gatewaytipo_nombreorb

Además, hay un objeto que representa todas las instancias de Gateway. Este objeto deGateway tiene el nombre siguiente:

system/services/gateway/Gateway

Hay tres derechos de acceso asociados con un objeto de Gateway: lectura, grabación yejecución. Es necesario uno de estos derechos al realizar cualquier acción de Gateway. Porejemplo, para obtener el estado del servicio Gateway, el usuario debe tener acceso de lecturaa la instancia de Gateway.

El registro de seguridad contiene roles predefinidos con derechos de acceso específicos. Losroles predefinidos para el acceso a Gateway son los siguientes:

system/services/roles/gateway/SuperGatewayAdminEste rol tiene acceso de lectura, grabación y ejecución a todas las instancias deGateway.

system/services/roles/gateway/SrGatewayAdminEste rol tiene acceso de lectura, grabación y ejecución a las instancias de Gatewayque un administrador de seguridad configura como destinos.


B.

Seguridad

paraS

ervicioN

EL

yG

ateway

system/services/roles/gateway/GatewayAdminEste rol tiene acceso de lectura y ejecución a las instancias de Gateway que unadministrador de seguridad configura como destinos.

system/services/roles/gateway/JrGatewayAdminEste rol tiene acceso de lectura a las instancias de Gateway que un administrador deseguridad configura como destinos.

Además, el rolsystem/services/roles/KernelServicetiene derechos de lectura, grabación yejecución a todas las instancias de Gateway.

El rol SuperGatewayAdmin se aplica al objeto Gateway en general, lo que significa que elacceso se aplica a todas las instancias de Gateway. Sin embargo, la mayoría de los roles notienen ningún objeto de destino definido y el administrador de seguridad debe configurar aqué instancias de Gateway se aplican los roles. Si desea configurar un destino para un rol, eladministrador debe asociar un objeto protegible con una capacidad en el rol. Los rolespredefinidos de Gateway que necesitan que se configure un destino tienen las capacidadessiguientes:

¶ SuperGatewayAdmin tiene la capacidadsystem/services/roles/gateway/SuperGatewayAdmin/SuperGatewayCapability.

¶ SrGatewayAdmin tiene la capacidadsystem/services/roles/gateway/SrGatewayAdmin/SrGatewayCapability.

¶ GatewayAdmin tiene la capacidadsystem/services/roles/gateway/GatewayAdmin/GatewayCapability.

¶ JrGatewayAdmin tiene la capacidadsystem/services/roles/gateway/JrGatewayAdmin/JrGatewayCapabilit.

Nota: Antes de atribuir destinos estáticos a un rol, se recomienda crear un rol nuevoclonandoo copiando y redenominando el rol predefinido.

Por ejemplo, suponga que desea configurar un rol que tiene sólo acceso de lectura a lainstancia GatewayIP que se ejecuta en la máquina sys1, puerto 9990.

El objeto Gateway del registro de seguridad se llamarásystem/services/gateway/GatewayIP_sys1_9990y el rol aplicable seráJrGatewayAdminporque sólo tiene acceso de lectura.



52 Versión 1.2

2. En la ventana Registro de seguridad, haga doble clic ensistema→ servicios→ roles →gatewaypara visualizar los roles predefinidos de Gateway.

3. Copie y redenomine el rolJrGatewayAdmin como se describe en el apartado “Copia deobjetos en el registro de seguridad” en la página 24. En este ejemplo, el nuevo rol seredenominaJrGatewayAdmin1.


5. En la ventana Propiedades de rol, seleccioneJrGatewayCapability (en la tablaCapacidades) y haga clic enEditar .


B.

Seguridad

paraS

ervicioN

EL

yG

ateway



a. SeleccioneNombre completoen la lista desplegablePropiedad y escriba el nombrede recurso, por ejemploGatewayIP_sys1_9990, en el recuadro de texto.




También puede utilizar la interfazwcmd ssmpara asociar el destino deseado con lacapacidad del rol del modo siguiente:wcmd ssm modifyAttributes -p system/services/roles/gateway/JrGatewayAdmin/JrGatewayCapability -opadd staticTarget=system/services/gateway/GatewayIP_sys1_9990

Los roles sólo resultan útiles cuando se asignan a directorios de seguridad. Entonces unusuario puede iniciar la sesión como director y obtener los accesos de los roles que tenga eldirector.

Los directores son objetos del registro de seguridad y los pueden crear los administradoresde seguridad de la instalación según las necesidades. Suponga que se ha creado el directorUsuario1 con la ruta siguiente en el registro de seguridad:applications/test/principals/Usuario1

Para asignar un rol a un director, puede utilizar el procedimiento descrito en el apartado“Asignación de roles a un usuario” en la página 18 o la interfaz de línea de comandoswcmdssmdel modo siguiente:wcmd ssm modifyAttributes -p applications/test/principals/Usuario1 -op addstaticRole=system/services/roles/gateway/JrGatewayAdmin

54 Versión 1.2

Los usuarios que inician la sesión como el director Usuario1 tendrán entonces acceso delectura al servicio GatewayIP que se ejecuta en sys1.

Acceso a un dispositivo de red (Endpoint)Dado que los dispositivos de red (Endpoints) no son objetos de Tivoli Kernel Services,tienen una implementación de la seguridad ligeramente diferente.

Sería imposible representar cada dispositivo de red individual mediante un objeto en elregistro de seguridad. Por consiguiente, cada dispositivo debe pertenecer a ungrupo deseguridad de dispositivo, que es un objeto protegible en el que se pueden realizarcomprobaciones de autorización. A cualquier dispositivo que no esté asociado con un grupode seguridad de dispositivo no se puede acceder mediante las interfaces del Servicio NEL oGateway a no ser que el usuario tenga el rol deSuperDeviceAdmin. (Los usuarios con esterol pueden acceder a cualquier dispositivo.) Los usuarios que desean acceder a dispositivosque están asociados con un grupo de seguridad de dispositivo deben tener el derecho deacceso correcto al grupo con el fin de acceder al dispositivo real.

Para crear un grupo de seguridad de dispositivo en el registro de seguridad, puede utilizar lainterfazwcmd ipconfig:

wcmd ipconfig createSecGroupnombregrupo propietariogrupo

Por ejemplo:wcmd ipconfig createSecGroup FordDevices Ford

Estos objetos de grupo de seguridad de dispositivo tienen nombres con el formato siguiente:

system/services/gateway/devices/dispositivo_nombregrupo

Además, hay un objeto que representa todos los dispositivos. Este objeto de dispositivo tieneel nombre siguiente:

system/services/gateway/devices/Devices

Para asociar un dispositivo o un grupo de dispositivos con un grupo de seguridad dedispositivo, puede utilizar de nuevo la interfazwcmd ipconfig del modo siguiente:

wcmd ipconfig addNodeEntry direcciónip deviceSecurityGroup=nombregrupo

Tenga en cuenta que la parte de dirección de host de la entradadirecciónippuede contenerun rango (por ejemplo 1-164) o el asterisco (*) para representar todos los hosts de unasubred determinada. La dirección también puede incluir un identificador de conversión dedirección de red (NAT). Consulte la publicaciónTivoli Kernel Services Command Referencepara obtener más información sobre la utilización de los comandoswcmd ipconfig.

Hay tres derechos de acceso asociados con un objeto de dispositivo: deviceExe, deviceReady deviceWrite. Para ejecutar ping o traceroute en un sistema, el usuario debe tener el accesode deviceExe al grupo de seguridad del dispositivo. Para emitir los comandos SNMP GET oGETNEXT en un sistema, el usuario debe tener el acceso de deviceRead. Para emitir loscomandos SNMP SET en un sistema, el usuario debe tener el acceso de deviceWrite. Elregistro de seguridad proporciona roles predefinidos con derechos de acceso de dispositivoespecíficos. Los roles predefinidos para el acceso de dispositivos son los siguientes:


B.

Seguridad

paraS

ervicioN

EL

yG

ateway

system/services/roles/gateway/SuperDeviceAdminEste rol tiene el acceso de deviceRead, deviceWrite y deviceExe a todos losdispositivos.

system/services/roles/gateway/SrDeviceAdminEste rol tiene acceso de deviceRead, deviceWrite y deviceExe a los grupos dedispositivos que un administrador de seguridad configura como destinos.

system/services/roles/gateway/DeviceAdminEste rol tiene acceso de deviceRead y deviceExe a los grupos de dispositivos que unadministrador de seguridad configura como destinos.

system/services/roles/gateway/JrDeviceAdminEste rol tiene acceso de deviceExe a los grupos de dispositivos que un administradorde seguridad configura como destinos.

Nota: Dado que los dispositivos de red no son recursos de Tivoli Kernel Service, el rolsystem/services/roles/KernelServiceno tiene acceso predeterminado a ningúndispositivo.

El rol SuperDeviceAdmin se aplica al objeto Dispositivos en general, lo que significa que elacceso se aplica a todos los dispositivos. Sin embargo, la mayoría de los roles no tienendefinido ningún objeto de destino y el administrador de seguridad debe configurar a quégrupos de seguridad de dispositivo se aplican los roles. Si desea configurar un destino paraun rol, el administrador debe asociar un objeto protegible con una capacidad en el rol. Losroles predefinidos de administrador de dispositivos que necesitan que se configure un destinotienen las capacidades siguientes:

¶ SuperDeviceAdmin tiene la capacidadsystem/services/roles/gateway/SuperDeviceAdmin/SuperDeviceCapability.

¶ SrDeviceAdmin tiene la capacidadsystem/services/roles/gateway/SrDeviceAdmin/SrDeviceCapability.

¶ DeviceAdmin tiene la capacidadsystem/services/roles/gateway/DeviceAdmin/DeviceCapability.

¶ JrDeviceAdmin tiene la capacidadsystem/services/roles/gateway/JrDeviceAdmin/JrDeviceCapability.

Nota: Dado que los dispositivos son recursos que probablemente necesitarán muchosadministradores diferentes, es una buena idea crear un rol de administradorindependiente para cada dominio de dispositivo antes de atribuir destinos estáticos alrol. En el ejemplo siguiente, el rol SrDeviceAdmin seclona, o se copia y seredenomina, en un rol Group1SrDeviceAdmin y entonces el grupo de seguridad dedispositivo group1 se asocia con el rol recién definido. Para obtener más informaciónsobre cómo copiar y redenominar roles, consulte el apartado “Copia de objetos en elregistro de seguridad” en la página 24.

Por ejemplo, suponga que desea configurar un rol que pueda emitir los comandos SNMPGET* y SET en el sistema 1.2.3.4. Suponga que el sistema 1.2.3.4 está asociado con elgrupo de seguridad de dispositivo llamadogroup1.

El objeto de seguridad de dispositivo del registro de seguridad se llamarásystem/services/gateway/devices/group1y el rol aplicable será SrDeviceAdmin porque tieneambos accesos de deviceRead y deviceWrite.

56 Versión 1.2



2. En la ventana Registro de seguridad, haga doble clic ensistema→ servicios→ roles →gatewaypara visualizar los roles predefinidos para el acceso de dispositivo.

3. Copie y redenomine el rolSrDeviceAdmin como se describe en el apartado “Copia deobjetos en el registro de seguridad” en la página 24. En este ejemplo, el nuevo rol seredenominaGroup1SrDeviceAdmin.


5. En la ventana Propiedades de rol, seleccioneSrDeviceCapability (en la tablaCapacidades) y haga clic enEditar .


B.

Seguridad

paraS

ervicioN

EL

yG

ateway



a. SeleccioneNombre completoen la lista desplegablePropiedad y escriba el nombrede recurso, por ejemplogroup1, en el recuadro de texto.




También puede utilizar la interfazwcmd ssmpara asociar el destino deseado con lacapacidad del rol del modo siguiente:wcmd ssm modifyAttributes -p system/services/roles/gateway/SrDeviceAdmin/SrDeviceCapability-op add staticTarget=system/services/gateway/devices/group1

Los roles sólo resultan útiles cuando se asignan a directorios de seguridad. Entonces unusuario puede iniciar la sesión como director y obtener los accesos de los roles que tenga eldirector.

Los directores son objetos del registro de seguridad y los pueden crear los administradoresde seguridad según las necesidades. Suponga que se ha creado el director Usuario1 con laruta siguiente en el registro de seguridad:applications/test/principals/Usuario1

Para asignar un rol a un director, puede utilizar el procedimiento descrito en el apartado“Asignación de roles a un usuario” en la página 18 o la interfaz de línea de comandoswcmdssmdel modo siguiente:wcmd ssm modifyAttributes -p applications/test/principals/Usuario1 -op addstaticRole=system/services/roles/gateway/SrDeviceAdmin

58 Versión 1.2

Suponiendo que el director Usuario1 también tenga los derechos necesarios para acceder alas instancias del Servicio NEL y Gateway que sirven al sistema 1.2.3.4, los usuarios queinicien la sesión como el director Usuario1 tendrán el derecho necesario para emitir loscomandos SNMP GET* y SET en el sistema 1.2.3.4.

Ejemplo 1Larry desea consultar en el Servicio NEL que se ejecuta en la máquina crazyhorse.acme.comNAT y otra información. El ORB en el que se ejecuta este Servicio NEL está en el puerto9993.

Solución 1Larry puede iniciar la sesión utilizando la cuenta predefinidasuperadmin. El directorasociado con esta cuenta tiene rol KernelService, que tiene todos los derechos en todas lasinstancias del Servicio NEL.

Observe que esta solución también proporciona a Larry todos los demás derechos deKernelService. Para ejecutar una consulta del Servicio NEL como superadmin:wcmd -u superadmin nelservice dumpNats

Solución 2Larry puede asumir el rol de un JrNELSAdmin que tiene el objeto de Servicio NEL generalconfigurado como destino para la capacidad del rol. Esto proporciona a Larry el acceso delectura a cualquier instancia del Servicio NEL.

Esta solución necesita configuración adicional para asociar un destino con un rol y un rolcon un director con el que Larry pueda iniciar la sesión.

Para asociar el destino del Servicio NEL con el rol JrNELSAdmin:wcmd ssm modifyAttributes -p system/services/roles/nels/JrNELSAdmin/JrNELSCapability-op add staticTarget=system/services/nels/NELS

Para asociar el rol JrNELSAdmin con un director definido por el usuario″Usuario″:wcmd ssm modifyAttributes -p ruta_a_Usuario -op addstaticRole=system/services/roles/nels/JrNELSAdmin

El director Usuario se asocia con una cuenta con la que la persona Larry inicia la sesión.Para ejecutar una consulta del Servicio NEL como el director Usuario:wcmd -u Usuario nelservice dumpNats

Nota: El rol JrNELSAdmin puede clonarse antes de asociarle con un recurso de destino.Para obtener información sobre cómo copiar y redenominar roles, consulte el apartado“Copia de objetos en el registro de seguridad” en la página 24.

Solución 3Larry puede asumir el rol de un JrNELSAdmin que tiene el Servicio NEL en crazyhorseconfigurado como destino para la capacidad del rol. Esto proporciona a Larry el acceso delectura a dicha instancia individual del Servicio NEL — el número mínimo de derechosnecesarios para completar las consultas del Servicio NEL.

Esta solución necesita configuración adicional para asociar un destino con un rol y un rolcon un director con el que Larry pueda iniciar la sesión.


B.

Seguridad

paraS

ervicioN

EL

yG

ateway

Para asociar el destino del Servicio NEL con el rol JrNELSAdmin:wcmd ssm modifyAttributes -p system/services/roles/nels/JrNELSAdmin/JrNELSCapability -opadd staticTarget=system/services/nels/NELS_crazyhorse.acme.com_9993


El director Usuario se asocia con una cuenta con la que la persona Larry inicia la sesión.Para ejecutar una consulta del Servicio NEL como el director Usuario:wcmd -u Usuario nelservice dumpNats

Nota: El rol JrNELSAdmin puede clonarse antes de asociarle con un recurso de destino.Para obtener información sobre cómo copiar y redenominar roles, consulte el apartado“Copia de objetos en el registro de seguridad” en la página 24.

Ejemplo 2Moe desea realizar cualquier acción de Gateway en cualquier Gateway de la instalación.

Solución 1Moe puede iniciar la sesión utilizando la cuenta de inicio de sesión predefinidasuperadmin.La cuentasuperadmin está asociada con un directorio que tiene el rol KernelService y elrol KernelService tiene todos los derechos a todas las instancias de Gateway.

Observe que esta solución también proporciona a Moe todos los demás derechos deKernelService.

Para ejecutar una consulta de Gateway comosuperadmin:wcmd -u superadmin gatewaysnmpservice getQueuedAOPs

Solución 2Moe puede asumir el rol de un SrNELSAdmin que tiene el objeto de Gateway en generalconfigurado como destino para la capacidad del rol. Esto proporciona a Moe todos losderechos en todo Gateway sin darle todos los derechos del rol KernelService.

Esta solución necesita configuración adicional para asociar un destino con un rol y un rolcon un director con el que Moe pueda iniciar la sesión. Para asociar el destino Gateway conel rol SrGatewayAdmin:wcmd ssm modifyAttributes -p system/services/roles/gateway/SrGatewayAdmin/SrGatewayCapability -op add staticTarget=system/services/gateway/Gateway

Para asociar el rol SrGatewayAdmin con un director definido por el usuario″Usuario″:cmd ssm modifyAttributes -p ruta_a_Usuario -opadd staticRole=system/services/roles/gateway/SrGatewayAdmin

El director principal está asociado con una cuenta con la que la persona Moe inicia lasesión. Para ejecutar una consulta de Gateway como el director Usuario:wcmd -u Usuario gatewaysnmpservice getQueuedAOPs

Nota: El rol SrGatewayAdmin se clonará antes de asociarle con un recurso de destino. Paraobtener información sobre cómo copiar y redenominar roles, consulte el apartado“Copia de objetos en el registro de seguridad” en la página 24.

60 Versión 1.2

Ejemplo 3Joe desea ejecutar ping en la máquina 1.2.3.4.

En la mayoría de los casos, la ejecución de ping en un sistema necesitará el acceso deejecución al Servicio NEL, el acceso de ejecución al GatewayIP que sirve al dispositivo y elacceso de deviceExe al propio dispositivo (o más concretamente, al grupo de seguridad deldispositivo).

Dado que no hay ningún modo de determinar (con certeza absoluta) qué instancia delServicio NEL se utilizará para resolver una dirección IP como parte de la operación ping,Joe deberá tener acceso de JrNELSAdmin a todas las instancias del Servicio NEL.Naturalmente, si existiera un modo de saber exactamente qué Servicio NEL se utilizará, Joedebería tener acceso de JrNELSAdmin sólo a dichas instancias del Servicio NEL. Dado quelos Gateways se configuran con un ámbito determinado, se puede determinar que instanciade GatewayIP se utilizará para direccionar la operación ping y Joe tendrá acceso deJrGatewayAdmin a dicha instancia de GatewayIP.

El sistema 1.2.3.4 debe asociarse con un grupo de seguridad de dispositivo del registro deseguridad y Joe deberá tener acceso de deviceExe a dicho grupo de seguridad de dispositivo.

Para asociar el objeto del Servicio NEL en general con el rol JrNELSAdmin:wcmd ssm modifyAttributes -p system/services/roles/nels/JrNELSAdmin/JrNELSCapability -op add staticTarget=system/services/nels/NELS


Para asociar un GatewayIP específico con el rol JrGatewayAdmin:-p system/services/roles/gateway/JrGatewayAdmin/JrGatewayCapability-op add staticTarget=system/services/gateway/GatewayIP_nombreorb

Para asociar el rol JrGatewayAdmin con un director definido por el usuario″Usuario″:wcmd ssm modifyAttributes -p ruta_a_Usuario -op addstaticRole=system/services/roles/gateway/JrGatewayAdmin

Para crear un grupo de seguridad de dispositivo (″joes_devices″ con el propietario″joe″) enel registro de seguridad:wcmd ipconfig createSecGroup joes_devices joe

Para asociar la máquina 1.2.3.4 con el grupo de seguridad de dispositivo″joes_devices″:wcmd ipconfig addNodeEntry 1.2.3.4 deviceSecurityGroup=joes_devices

Para asociar el grupo de seguridad″joes_devices″ con el rol JrDeviceAdmin:-p system/services/roles/gateway/JrDeviceAdmin/JrDeviceCapability -op addstaticTarget=system/services/gateway/devices/joes_devices

Para asociar el rol JrDeviceAdmin con un director definido por el usuario″Usuario″:wcmd ssm modifyAttributes -p ruta_a_Usuario -op addstaticRole=system/services/roles/gateway/JrDeviceAdmin

Para ejecutar ping en el sistema 1.2.3.4 como el director Usuario:wcmd -u Usuario gatewayipservice ping 1.2.3.4


B.

Seguridad

paraS

ervicioN

EL

yG

ateway

Nota: Los roles JrNELSAdmin, JrGatewayAdmin y JrDeviceAdmin se clonarán antes deasociarles con un recurso de destino. Para obtener información sobre cómo copiar yredenominar roles, consulte el apartado “Copia de objetos en el registro de seguridad”en la página 24.

62 Versión 1.2

Índice

Aagentes 38agentes SNMP 38almacén de componentes

finalidad 33ver 33

anotadoresgestionar 29mensaje 27rastreo 28

ayuda de usuario incorporada 7ayuda en línea, Tivoli Assistant 7

Bbase de datos de registro, crear y utilizar 29

Ccapacidades 16coalescencia 32componentes

actualizar 34configurar 33, 34definición 33desplegar 34ejecutar versión anterior 34eliminar 33, 34tomar decisiones de despliegue 35

comunicaciones, gestionar 38condiciones de acceso 9, 17conjuntos de ORB

.allorbs 32

.orbdefaults 32aplicar datos de configuración 32definidos por el sistema 32desplegar componentes en 34gestionar 31, 34

consultas, crear 24contexto de slash 36contexto local del ORB 36contextos

local de ORB 37slash 37

cuenta Kernel 11cuenta NT 11cuenta Unix 11cuentas

crear 13descripción 9

cuentas(continuación)tipos 11ver 23

cuentas de usuariocrear 10editar 10suprimir 10

Ddatos de configuración

aplicar a los ORB 32desplegar componentes 34directores

crear 23definición 19editar 23

directorioatributos 37gestionar 36ver objetos 36

dispositivos, gestionar 38dominios 31

Eeditores 37Endpoints

acceder 55consideraciones sobre la seguridad 55gestionar 38

espacios de nombres, gestionar 34eventos

gestionar 37utilizando el Servicio de mensajería 37

Ffiltros

elementos de registro 28objetos de seguridad 24

filtros de miembros de rol 18


Índice

GGateway IP

editar 39ver 39

Gateway SNMPeditar 39ver 39

gatewaysconfigurar 39consideraciones sobre la seguridad 51crear 39definidos por el usuario 39gestionar 38predeterminados 39

grupo de tareas Administrar registro 27grupo de tareas Administrar seguridad 9grupo de tareas Administrar software de gestión 31grupos, objetos de registro 28grupos de seguridad de dispositivo 55grupos de tareas 6

Administrar registro 27Administrar seguridad 9Administrar software de gestión 31

Iinformación de dispositivo SNMP, configurar 40interfaz de línea de comandos (CLI) 4

Mmanejadores

definición 28gestionar 29

máscaras, gestionar 29mensajes, tipos de gravedad 27menú de contexto 7métodos de inicio de sesión

cuenta Kernel 12local nativo 12remoto nativo 12

NNAT

añadir configuración de dispositivo SNMP 40crear 40

Network Endpoint Locator (NEL) Serviceeditar 39ver 39

Oobjetos de acción 39ORB

agrupación en conjuntos de ORB 31configurar 32descripción 31gestionar 31

Pportafolio

descripción 6proporcionar acceso a las tareas 20

propiedades de usuario, ver 23proxies 31

Rrecursos

ver 23registro

distribuido 27local 27

registro de seguridad 9administrar 24buscar objetos en 25

registros, ver 28roles 9

asignar 18copiar 24crear 16definidos por el sistema 43directrices para crear 16editar 16filtros de miembros 18propiedades 17ver 23

Sseguridad, administrar 9Servicio de autenticación 9Servicio de autorización 9Servicio de gateway 38Servicio de mensajería

cambiar estadísticas 37ver estadísticas 37visión general 37

servicio IpConfigImpldesplegar desde la línea de comandos 40

Servicio NEL (Network Endpoint Locator Service)consideraciones sobre la seguridad 47

superadministradores 15suscriptores 37

64 Versión 1.2

Ttareas

información de ayuda 6localizar y realizar 6

temas, editar y suscribir 37Tivoli Assistant 6, 7Tivoli Console

componentes clave de 5visita guiada 8

Uunidades organizativas

definir 24descripción 24editar 23

usuariosañadir 10crear 9ver 23

Vvariables

variables de entornoanotación para vii

variables de entornoanotación para vii


Índice

66 Versión 1.2

Impreso en España

IntroducciónalaadministracióndeTivoli Kernel...

Documents

Transcript of IntroducciónalaadministracióndeTivoli Kernel...