SCOM Security 介绍 [SCOM 中文系列之七]
SCOM 的Security分两个部分,
- 一个是SCOM本身的用户角色,这个定义了谁可以使用SCOM,有什么样的权限。
- 一个是SCOM里面Workflow执行权限相关的用户角色,决定了SCOM里面的Workflow运行在什么权限之下。
关于SCOM本身的用户角色我们可以在管理版面下面找到:
我们可以看到有管理员角色,高级操作角色,只读权限角色等。每个角色打开后可以添加用户,对应用户就有了对应的权限。
关于Workflow执行权限的用户角色比较复杂,下面详细讲解。
由于Workflow大部分定义在MP里面,大部分workflow工作在Agent运行的账号下。如果有特殊情况需要特殊的权限,我们不推荐将账号之类的信息写入MP里面,原因有以下两点:
- 这样账号会随MP明文存放在各个机器上的。
- 这样做不利于MP的传播和通用,也即是说换个地方就需要更改MP。
SCOM里面的策略是这样的,写MP时候Workflow不直接引用账号信息,而是引用Profile,这个Profile往往包含账号信息和MonitoringObject的对应关系。也就是说根据workflow引用的Profle能为workflow找到对应的账号信息。
Profile不直接包含Account信息,而是包含Account和MonitoringObject的对应关系。账号信息有专门的Account功能来管理,里面可以存储各种账号,如Windows账号,snmp账号,CommunityString账号,Simple Authentication, Digest Authentication, Binary Authentication,以及Action Account。
ActionAccount:SCOM内置的Workflow,或者是某些基础的workflow使用的账号类型,包含LocalSystem,NetworkService等账号,不哟功能输入密码。
WindowsAccount:某些workflow需要另外的WindowsAccount时用这个账号类型。
Simple Authentication:简单账号密码验证时使用。
CommunityString 和 SNMPv3:一些SNMP协议使用。
Digest Authentication 和 Binary Authentication我也不了解,需要自己查查。
正常的用法是定义MP时候workflow要用账号时引用Profile,有必要的话需要定义Profile,MP导入后使用时给创建Account,然后关联到相关的Profile上面,这个时候Workflow就能引用到正确的账号了。