Sentinel Rapid Deployment 服务器安装过程中会创建一个系统用户和一个拥有 <安装目录> 中所安装的文件的组。如果该用户不存在,则将创建此用户,并将其用户主目录设置为 <安装目录>。如果创建了新用户,则默认不会为该用户设置口令,以最大限度地确保安全性。如果希望以安装过程中创建的用户身份登录系统,您必须在安装完成后为其设置一个口令。
根据安装了收集器管理器的操作系统的不同,系统用户的安全性级别也有所不同。
Linux: 安装程序会提示您指定拥有安装的文件的系统用户名,以及要创建其用户主目录的位置。默认情况下,系统用户为 esecadm;但是,您可以更改此系统用户名。如果该用户不存在,则将创建用户及其主目录。如果创建了新用户,安装过程中将不为该用户设置口令,以最大限度地确保安全性。如果希望以该用户身份登录系统,您必须在安装完成后为其设置一个口令。默认组为 esec。
在客户端安装期间,如果用户已经存在,则安装程序将不会再次提示指定用户。此行为与卸装或重新安装软件时的行为类似。不过,您可以让安装程序再次提示用户:
删除第一次安装时创建的用户和组
从 /etc/profile 中清除 ESEC_USER 环境变量
Windows: 没有创建用户。
系统用户的口令策略由所使用的操作系统定义。
所有的 Sentinel Rapid Deployment 应用程序用户都为本机数据库用户,并且其口令通过使用本机数据库平台遵循的过程进行保护。这些用户拥有对数据库中特定表的只读权限,这样他们可以在数据库中执行查询操作。
安装程序会使用以下用户身份创建并配置 PostgreSQL 数据库:
admin: admin 用户是所有 Sentinel 应用程序的管理员用户,用于登录系统。
dbauser: dbauser 是可管理数据库的超级用户。dbauser 的口令在 Sentinel Rapid Deployment 服务器的安装过程中设置。此口令存储在 <用户主目录>/.pgpass 中。系统会遵循 PostgreSQL 数据库口令策略。有关详细信息,请参见部分 5.3.3, 实施用户的口令策略。
appuser:
appuser 是 Sentinel 应用程序用于连接数据库的非超级用户。默认情况下,appuser 使用在安装过程中随机生成的口令,该口令以加密方式存储在 <安装目录>/config 目录下的 XML 文件(das_core.xml、das_binary.xml 和 advisor_client.xml)中。要更改 appuser 的口令,请使用 <install_directory>/bin/dbconfig 实用工具。有关详细信息,请参见《Sentinel Rapid Deployment 参考指南》中的 DAS 容器文件
。
注:系统还有一个拥有整个数据库(包括系统数据库表)的 PostgreSQL 数据库用户。默认情况下,该 PostgreSQL 数据库用户设置为 NOLOGIN,这样就无人能以该 PostgreSQL 用户身份登录。
Sentinel Rapid Deployment 采用了基于标准的机制,让口令策略的实施更加容易。
安装程序会使用以下用户身份创建并配置 PostgreSQL 数据库:
dbauser: 数据库拥有者(数据库管理员用户)。口令在安装过程中设置。
appuser: 这是用于从 Sentinel Rapid Deployment 登录数据库的应用程序用户。口令在安装过程中随机生成,仅供内部使用。
admin: 管理员身份凭证可用于登录 Sentinel Rapid Deployment Web 界面。口令在安装过程中设置。
默认情况下,用户口令存储在 Sentinel Rapid Deployment 内嵌入的 PostgreSQL 数据库中。PostgreSQL 允许您使用多种基于标准的鉴定机制,详情请参见 PostgreSQL 文档的“客户端鉴定”部分的说明。
使用这些机制将会影响 Sentinel Rapid Deployment 中的所有用户帐户,包括 Web 应用程序的用户以及仅用于后端服务的帐户,例如 dbauser 和 appuser。
一个更简单的选项是使用 LDAP 目录来鉴定 Web 应用程序用户。要在 Sentinel Rapid Deployment 服务器上启用此选项,请参见部分 3.7, LDAP 鉴定。此选项不会影响用于后端服务的帐户,这些帐户将仍会通过 PostgreSQL 进行鉴定,除非您更改了 PostgreSQL 配置设置。
通过使用这些基于标准的机制以及您环境中现有的机制(如 LDAP 目录),您可以实现理想的 Sentinel Rapid Deployment 口令策略实施。