公开了在中央管理服务器上创建角色的方法和系统,该服务器包括用于给定身份的一对多授权以及将被授权的组件目标。根据任务和任务将在其上完成的组件的交集来定义所述授权。然后将此组合授权与特定身份关联。当启动任务时,中央管理服务器确定是否已为该任务授权身份以及它可以针对哪些组件执行该任务。基础结构然后生成适合的子命令并且仅对包含在来自发起请求的请求组件列表中的授权组件执行这些子命令。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般地涉及分布式计算机系统,具体地说,本专利技术涉及用于在 此类系统中定义角色的方法和系统。
技术介绍
在服务器联合环境的分布或集成计算机系统中,如计算机集群或BladeCenter或大型计算机集群内的BladeCenter,由于各种行业实践和管 制要求,需要对职能进行分离。当构建中央管理服务器或模块时,这种职 能分离经常被折衷。在当前实践中,业内通常为各种认证用户定义角色或 在整个集群中的身份。经由中央管理服务器的集群管理操作提供了跨整个 集群中的所有组件的访问并能够执行集群范围的授权任务。集群被认为是大部分任务的安全领域。业内利用不定义用户的实例或 在特定组件上的身份的概念来解决这个问题。这需要大量的管理任务来由 客户从期望的组件上移除身份,并且在有些情况下限制了对系统的使用。 例如,用户可能需要对整个集群的每个组件中的每个独立资源生成访问控 制列表(ACL)或保护机制,以限制对目标子集上的特定资源的访问。
技术实现思路
本专利技术的一个方面是改进分布式计算机系统。本专利技术的另 一个方面是通过执行数量更少的命令来允许减少服务器和 计算机网络资源消耗。本专利技术的另 一个方面是允许在分布式计算机系统的中央管理服务器或 模块上的一个角色定义来实施对系统的各组件的访问。本专利技术的一个方面是通过构建是授权任务和任务目标的交集的角色来提供对分布式计算机系统中的一些组件的子集访问的能力。根据本专利技术,通过在包括用于给定身份的一对多授权以及将被授权的 组件目标的中央管理服务器上创建角色,来实现这些和其他方面。才艮据任 务和任务将在其上完成的组件的交集来定义所述授权。然后将此组合授权与特定身份关联。当启动任务时,中央管理服务器确定是否已为该任务授 权身份以及它可以针对哪些组件执行该任务。基础结构然后生成适合的子子命令。对于与请求身份关联的任务,不会对没有包括在授权列表中的请 求组件做出任何执行尝试。与客户必需对整个集群的每个组件中的每个独立资源生成ACL (访问 控制列表)或保护机制相对,通过构建是授权任务和任务目标的交集的角 色来提供对一些组件的子集访问的能力,允许在中央管理服务器或模块上 的一个角色定义来实施访问。附图说明现在将参考附图仅通过实例的方式描述本专利技术的优选实施例,这些附 图是图1示出了其中可以实现本专利技术的实施例的集群计算机系统环境; 图2显示了根据本专利技术的优选实施例的用于节点和图1的计算机集群 的中央管理服务器的功能栈;图3显示了在本专利技术的优选实施例的第一部分中执行的安全职员任务;图4和图5示出了可在本专利技术的优选实施例的第二部分执行的管理任 务的示例;以及图6和图7示出了可在本专利技术的优选实施例的第二部分执行的管理任 务的另一个示例。具体实施例方式图1显示了通用集群系统环境。该环境包括中央管理服务器100,优 选为IBM集群管理服务器(CMS),以及集群中的一组节点101、 102、 103,优选地,这些节点是IBM的P-Series服务器。这些节点通常是管理 任务的目标。图l还显示了网络交换机、电缆线路和协议栈,标为110, 其被各种节点和CMS使用来进行通信,还显示了永久性存储装置130,其 通常是类似于IBM 2107存储系统的多个盘驱动器。参考图2,在210、 211处表示了用户或身份,其例如可以是具有如 UNIX开放组标准定义的UID结构的UNIX用户。在220处表示了类似于 MIT Kerberos的认证机制,以及在231、 232处表示了一组角色,该组角 色在集群中被定义为具有执行一个到N个任务的能力。图2还显示了对集 群中的所有定义节点进行可选执行的远程执行机制。合适的远程执行机制 的示例是具有-a选项的IBM AIX CSM dsh命令,该-a选项将作为自变量 执行命令并将对集群数据库235中定义的所有节点执行该命令。图2还表示了集群管理软件(其优选地为AIX 230的IBM集群系统管 理器功能)、在所有服务器上的操作系统240,以及安全职员或超级特权 用户身份219。在250表示了可被像文件系统那样操作的一组资源,以及 在260表示了包含所有集群定义的集群管理数据库。在图1中,节点l、 2和3即101、 102、 103经由网络交换机110与中 央管理服务器100通信。中央管理服务器100从永久性存储装置130检索 数据和在其中存储数据。节点l、 2、 3即101、 102、 103在特定实施方式 中可具有或不具有永久性存储装置。所有节点和CMS服务器都具有存储 器和至少一个处理器,如在正常服务器和通用计算机中可以找到的那样。在图2中,左侧的节点101的软件栈包括操作系统240,其同时提 供特权和非特^j艮务;提供集群功能和接收来自CMS 100的任务的能力的 集群管理软件层230; —个或多个集群管理者所希望操作的资源250;以及 对认证机制的访问220,其目的在于验逸用户或来自CMS 100的任务的身 份。同样在图2中,右侧的CMS 100的软件栈与所述节点相同并添加了以下项。其包括任务请求身份,通常是具有一组给定分配角色的集群管理 者;永久存储的具有关联授权的角色231,其通常包含在集群管理数据库 260中;以及可选地如MITKerberos的认证机制220。应当指出,此认证 机制可以并通常位于通过网络连接到CMS 100的专用的通用计算机上。图3-7示出了用于实施本专利技术的优选实施例的过程。通常,示出的过 程具有两个部分。在图3显示的第一部分中,安全职员在CMS100上执行 各种任务;以及在第二部分中,其示例在图4-7显示,集群管理者和集群 管理软件执行附加任务来对识别的目标执行授权。更具体地说,在步骤301,在CMS 100上,安全职员219定义包括一 对多授权的角色231并且永久地存储此角色。 一个示例可以是文件系统管 理者。在步骤305,在CMS (100)上,安全职员219以一对多节点组的 形式定义节点的若干子集并且永久地存储此节点组信息。 一个示例可以是 组A-节点1和节点2,以及组B-节点3。在步骤310,在CMS 100上, 安全职员将授权、节点组和用户身份相关联并且永久地存储此关联。 一个 示例可以是用户adminA具有用于组A的文件系统授4又(231)以及用户 adminB具有用于组B的文件系统授权(232 )。参考图4,在步骤315,在CMS 100上,集群管理者adminA使用认 证机制220认证他们自身210以确保用户具有真实身份。如步骤320所表 示的,在CMS 100上,集群管理者adminA (210)可发出命令,如dsh-a chfs +100M/tmp235。此命令将在所述身份具有授权的集群中将所有/tmp 文件系统的大小增加IOOMB。在此情况下,是节点1 101和节点2 102。在步骤325,作为dsh -a 235执行流的一部分的集群管理软件230搜 索集群管理数据库,来确定此身份是否可执行请求的授权并且如果未找到, 则返回授权错误。在步骤330,软件230还从数据库中生成与此授权关联 的目标(节点)的列表。在图5显示的步骤335,继续作为dsh -a执行流一部分的集群管理软 件230规划命令的远程执行,并且如338和340表示的,针本文档来自技高网...
【技术保护点】
一种在具有一组节点的分布式计算系统中定义角色的方法,所述方法包括以下步骤: 创建包括一个或多个授权的定义角色; 定义所述节点的多个子集; 将一组用户中的每个用户与所述授权之一和节点的所述子集之一相关联;以及 在数据库中存储所述授权和与所述每个用户相关联的所述节点的所述子集之一。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:M布朗,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。