Sentinel Rapid Deployment 伺服器的安裝作業會建立系統使用者與群組,此使用者與群組擁有安裝在 <安裝目錄> 中的檔案。如果該使用者不存在,系統將建立此使用者,並將其主目錄設定為 <安裝目錄>。如果建立了新使用者,預設不會設定該使用者的密碼,以便確保最高安全性。如果要以安裝期間建立的使用者身分登入系統,您必須在安裝後為該使用者設定密碼。
系統使用者的安全性層級會有所不同,具體視安裝了收集器管理員的作業系統而定。
Linux︰ 安裝程式會提示您指定擁有安裝之檔案的系統使用者名稱,以及要在何處建立其主目錄。依預設,系統使用者是 esecadm;但您可以變更此系統使用者名稱。如果該使用者不存在,系統會建立此使用者與其主目錄。如果建立了新使用者,安裝期間不會設定該使用者的密碼,以便確保最高安全性。如果要以使用者身分登入系統,您必須在安裝後為該使用者設定密碼。預設群組是 esec。
安裝用戶端期間,若該使用者已存在,則安裝程式不會再提示您指定該使用者。此運作方式與解除安裝或重新安裝軟體期間的運作方式相同。不過,您可以讓安裝程式再次提示使用者︰
刪除第一次安裝時建立的使用者與群組
從 /etc/profile 中清除環境變數 ESEC_USER
Windows: 不會建立任何使用者。
系統使用者的密碼規則是由使用的作業系統定義。
所有 Sentinel Rapid Deployment 應用程式使用者都是原生資料庫使用者,而且其密碼受原生資料庫平台所遵循的程序所保護。這些使用者只擁有資料庫中特定資料表的讀取權限,因此他們可以對資料庫執行查詢。
安裝程式會以下列使用者身分建立並設定 PostgreSQL 資料庫︰
admin: admin 使用者是所有 Sentinel 應用程式的管理員使用者,用於登入系統。
dbauser︰ dbauser 是可管理資料庫的進階使用者。dbauser 的密碼將在安裝 Sentinel Rapid Deployment 伺服器期間進行設定。此密碼儲存在 <user home directory>/.pgpass。系統會遵循 PostgreSQL 資料庫密碼規則。如需詳細資訊,請參閱節 5.3.3, 執行使用者的密碼規則。
appuser:
appuser 是 Sentinel 應用程式用於連接到資料庫的非進階使用者。依預設,appuser 會使用安裝期間隨機產生的密碼,該密碼儲存在 <安裝目錄>/config 目錄中的 XML 檔案 (das_core.xml、das_binary.xml 及 advisor_client.xml) 並於其中進行加密。若要變更 appuser 的密碼,請使用 <install_directory>/bin/dbconfig 公用程式。如需詳細資訊,請參閱《Sentinel Rapid Deployment Reference Guide》 (Sentinel Rapid Deployment 參考指南) 中的 DAS Container Files
(DAS 容器檔案)。
附註:此外,還有一個 PostgreSQL 資料庫使用者擁有整個資料庫 (包含系統資料庫表格)。依預設,該 PostgreSQL 資料庫使用者設定為 NOLOGIN,因此沒有任何使用者能以 PostgreSQL 使用者身分登入。
Sentinel Rapid Deployment 採用基於標準的機制,讓密碼規則的執行更為容易。
安裝程式會以下列使用者身分建立並設定 PostgreSQL 資料庫︰
dbauser: 資料庫擁有者 (資料庫管理員使用者)。密碼是在安裝期間設定。
appuser: 這是用於從 Sentinel Rapid Deployment 登入資料庫的應用程式使用者。密碼是在安裝期間隨機產生,而且僅適用於內部用途。
admin: 管理員身分證明可用於登入 Sentinel Rapid Deployment Web 介面。密碼是在安裝期間設定。
依預設,使用者密碼會儲存在內嵌於 Sentinel Rapid Deployment 的 PostgreSQL 資料庫中。PostgreSQL 可以採用多種基於標準的驗證機制,如 PostgreSQL 文件的「Client Authentication」(用戶端驗證)一章中所述。
採用這些機制會影響 Sentinel Rapid Deployment 中的所有使用者帳戶,包括 Web 應用程式的使用者以及僅用於後端服務的帳戶,例如 dbauser 與 appuser。
一個更為簡單的選項是使用 LDAP 目錄驗證 Web 應用程式使用者。若要在 Sentinel Rapid Deployment 伺服器上啟用此選項,請參閱節 3.7, LDAP 驗證。此選項對後端服務所使用的帳戶不會產生任何影響,除非您變更 PostgreSQL 組態設定,否則這些帳戶將繼續透過 PostgreSQL 進行驗證。
您可以使用這些基於標準的機制和您環境 (如 LDAP 目錄) 中的現有機制,來實現穩固的 Sentinel Rapid Deployment 密碼規則執行。