提供了方法、系统、制品和计算机程序产品,其中第一指示符为第一实体存储,而且其中第一指示符识别第一实体所属的组和与该组关联的操作。第一实体从第二实体接收第二指示符,其中第二指示符指示对至少一个组上至少一个操作授予第二实体的权限。根据第二指示符与第一指示符的比较,由第一实体本地确定第二实体所请求的操作是否要由第一实体执行。
【技术实现步骤摘要】
本公开内容涉及用于在管理代理中提供安全性和授权的方法、系统与制品。
技术介绍
在管理环境中,集中式管理应用程序可以使用安装在被管理系统上的代理来远程执行被管理系统上的操作。管理应用程序的单个操作可以同时以无数个代理为目标,每个代理支持具有完全相同语义的操作。具有执行类似操作的能力的多个代理的存在允许管理应用程序的单个操作调用被复制并发送到多个代理。但是,管理服务器上所选管理应用程序可能不具有在每个代理上执行操作的相同权限。在特定的管理环境中,每个代理可以在代理所管理环境的本地安全域中运行。管理应用程序对目标代理上操作的每次调用可能需要特定于该目标代理的安全域的凭证。这种方案在代理存在于许多安全域的异类管理环境中会造成困难。但是,这种方案在期望所有目标代理都共享如Microsoft Windows*域的本地安全域的管理环境中可能是有用的。在特定的管理环境中,代理可以建立与管理服务器的受托关系。一旦建立了受托关系,管理服务器就被授予了对代理所暴露的操作的完全访问。当代理功能和管理服务器之间有紧耦合时,这种模型可以实现,而且这种模型可以用在特定的异类管理环境中。但是,因为每个管理服务器都在由该管理服务器管理的系统上安装了受托代理,所以这种模型造成被管理系统上代理的激增。对于为管理服务器的任意集合安置管理功能的代理,这种模型可能会造成困难。
技术实现思路
提供了方法、系统、制品和计算机程序产品,其中为第一实体存储第一指示符,而且其中第一指示符识别第一实体所属的组及与该组关联的操作。第一实体从第二实体接收第二指示符,其中第二指示符指示对至少一个组上的至少一个操作授予第二实体的权限。基于第二指示符与第一指示符的比较,由第一实体本地确由第二实体所请求的操作是否要由第一实体执行。在特定的附加实施方式中,第一实体是具有子代理的代理,其中第二实体是管理应用程序,其中第一指示符是组分配,其中第二指示符是访问控制票,而且其中有比管理应用程序多的代理。在另外的附加实施方式中,第一实体接收第二实体密码验证的身份。第一实体根据第二实体密码验证的身份认证第二实体。响应于第二实体被成功认证并响应于确定出第二实体所请求的操作要由第一实体执行,第二实体所请求的操作被执行。在另外其它的实施方式中,第二指示符是由第一实体通过由中央访问控制服务器生成的组分配票接收的组分配,其中组分配票列出了第一实体是其成员的组的所有组标识符,而且其中组分配票是由受托认证服务器密码签名的。在还有另外的实施方式中,唯一标识符表示组的组名,而且其中第二实体可以改变表示组名的唯一标识符。第二实体向中央访问控制数据库服务器请求第二指示符。第二实体从中央访问控制服务器接收第二指示符,其中第二指示符已经由受托认证服务器密码签名。在其它实施方式中,多个第一实体都在包括该多个第一实体的计算平台上本地确定第二实体所请求的操作是否可以执行,而且其中中央服务器不由确定第二实体所请求的操作是否可以执行的多个第一实体访问。附图说明现在参考附图,其中相同的标号始终表示对应的部件 图1说明了根据特定实施方式的计算环境的方框图;图2说明了根据特定实施方式显示代理如何分配给组的方框图;图3说明了根据特定实施方式说明用于代理的组分配如何分发的方框图;图4说明了根据特定实施方式说明代理是否允许管理应用程序所请求的操作被执行的第一流程图;图5说明了根据特定实施方式说明第一实体是否允许第二实体所请求的操作被执行的第二流程图;及图6说明了根据特定实施方式的其中实现特定实施方式的系统。具体实施例方式在以下描述中,参考构成本专利技术的一部分并说明了几种实施方式的附图。应当理解其它实施方式也可以使用,而且可以进行结构上和操作上的改变。图1说明了根据特定实施方式的计算环境100的方框图。至少一个管理服务器102在网络106上耦合到多个被管理系统104a、104b、...、104n。在特定的实施方式中,管理服务器102包括一个或多个管理应用程序108,而被管理系统104a、104b、...、104n分别包括代理110a、110b、...、110n。例如,被管理系统104a可以包括代理110a,被管理系统104b可以包括代理110b,而被管理系统104n可以包括代理110n。每个代理可以包括多个子代理。例如,代理110a可以包括多个子代理112a...112m,代理110b可以包括多个子代理113a...113p,而代理110n可以包括多个子代理114a...114q。在特定的实施方式中,代理110a...110n可以将管理操作作为web服务向管理应用程序108暴露。在可选实施方式中,代理110a...110n可以通过不同于web服务的其它协议暴露管理操作。管理服务器102可以调用如代理110a的任何代理上的任何操作。对于代理,如代理110a,为了成功地安置来自多个管理应用程序108的管理功能,用于代理的访问控制解决方案可以允许代理110a基于代理的身份、被调用操作的身份和调用者的身份作出访问决定。中央访问控制服务器116、受托认证服务器118和远端客户120也可以耦合到网络106。中央访问控制服务器116包括可以存储关于多个代理如何分组到多个组中的信息的中央访问控制数据库122,其中操作可以由管理应用程序108在多个组上进行尝试。受托认证服务器118可以充当被管理系统104a...104n和管理服务器102委托的认证授权。例如,受托认证服务器118可以提供由受托认证服务器118数码签名的受托身份124,其中受托身份124对应于管理服务器102的身份。由于被管理系统104a...104n委托受托认证服务器118m来签名认证,因此被管理系统104a...104n可以通过检查管理服务器102的受托身份124来认证管理服务器102。可选实施方式可以使用用于密码提供系统身份的其它机制,如Kerberos。在特定的实施方式中,远端客户端120可以使用管理应用程序108尝试在代理110a...110n上执行操作。在特定的实施方式中,由远端客户120执行的操作可以由管理应用程序108执行。关于将代理分组成组的信息存储在称为组分配126a、126b、...、126n的数据结构中。组分配126a、...、126n可以通过中央访问控制数据库122分发到被管理系统104a...104n中。在特定的实施方式中,管理服务器102、被管理系统104a...104n、中央访问控制服务器116、受托认证服务器118和远端客户端120可以包括任何合适的计算平台,包括目前本领域已知的那些平台,如个人计算机、工作站、大型机、中型计算机、网络设备、掌上计算机、电话设备、片(blade)计算机、手持计算机等。网络106可以包括本领域已知的任何网络,如存储区域网络(SAN)、局域网(LAN)、广域网(WAN)、因特网、内联网等。在特定的实施方式中,管理应用程序108、代理110a...110n和子代理112a...112m、113a...113p、114a...114q可以包括在软件、硬件、固件或其任何组合中体现的应用程序。在特定的实施方式中,比图1所说明更多或更少的组件可以用于执行由图1所示组件执行的操作。特定的实施方式允许代理110a...11本文档来自技高网...
【技术保护点】
一种方法,包括:存储用于第一实体的第一指示符,其中第一指示符识别第一实体所属的组和与所述组关联的操作;在第一实体从第二实体接收第二指示符,其中第二指示符指示对至少一个组上的至少一个操作授予第二实体的权限;及根据第二指示符与第一指示符的比较,由第一实体本地确定第二实体所请求的操作是否要由第一实体执行。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:道格拉斯A伍德,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。