專利名稱:使用組件目標在一個或多個分布和集成系統(tǒng)中定義角色的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及分布式計算機系統(tǒng)�����,具體地說�����,本發(fā)明涉及用于在 此類系統(tǒng)中定義角色的方法和系統(tǒng)����。
背景技術(shù):
在服務(wù)器聯(lián)合環(huán)境的分布或集成計算機系統(tǒng)中�,如計算機集群或
BladeCenter或大型計算機集群內(nèi)的BladeCenter,由于各種行業(yè)實踐和管 制要求�,需要對職能進行分離。當構(gòu)建中央管理服務(wù)器或模塊時�,這種職 能分離經(jīng)常被折衷。在當前實踐中����,業(yè)內(nèi)通常為各種認證用戶定義角色或 在整個集群中的身份。經(jīng)由中央管理服務(wù)器的集群管理操作提供了跨整個 集群中的所有組件的訪問并能夠執(zhí)行集群范圍的授權(quán)任務(wù)�。
集群被認為是大部分任務(wù)的安全領(lǐng)域。業(yè)內(nèi)利用不定義用戶的實例或 在特定組件上的身份的概念來解決這個問題�。這需要大量的管理任務(wù)來由 客戶從期望的組件上移除身份�,并且在有些情況下限制了對系統(tǒng)的使用�����。 例如�����,用戶可能需要對整個集群的每個組件中的每個獨立資源生成訪問控 制列表(ACL)或保護機制�����,以限制對目標子集上的特定資源的訪問��。
發(fā)明內(nèi)容
本發(fā)明的一個方面是改進分布式計算機系統(tǒng)�����。
本發(fā)明的另 一個方面是通過執(zhí)行數(shù)量更少的命令來允許減少服務(wù)器和 計算機網(wǎng)絡(luò)資源消耗��。
本發(fā)明的另 一個方面是允許在分布式計算機系統(tǒng)的中央管理服務(wù)器或 模塊上的一個角色定義來實施對系統(tǒng)的各組件的訪問����。
本發(fā)明的一個方面是通過構(gòu)建是授權(quán)任務(wù)和任務(wù)目標的交集的角色來
提供對分布式計算機系統(tǒng)中的一些組件的子集訪問的能力。
根據(jù)本發(fā)明��,通過在包括用于給定身份的一對多授權(quán)以及將被授權(quán)的 組件目標的中央管理服務(wù)器上創(chuàng)建角色,來實現(xiàn)這些和其他方面�。才艮據(jù)任 務(wù)和任務(wù)將在其上完成的組件的交集來定義所述授權(quán)。然后將此組合授權(quán)
與特定身份關(guān)聯(lián)����。當啟動任務(wù)時,中央管理服務(wù)器確定是否已為該任務(wù)授 權(quán)身份以及它可以針對哪些組件執(zhí)行該任務(wù)��?��;A(chǔ)結(jié)構(gòu)然后生成適合的子
子命令���。對于與請求身份關(guān)聯(lián)的任務(wù),不會對沒有包括在授權(quán)列表中的請 求組件做出任何執(zhí)行嘗試��。
與客戶必需對整個集群的每個組件中的每個獨立資源生成ACL (訪問 控制列表)或保護機制相對��,通過構(gòu)建是授權(quán)任務(wù)和任務(wù)目標的交集的角 色來提供對一些組件的子集訪問的能力���,允許在中央管理服務(wù)器或模塊上 的一個角色定義來實施訪問。
現(xiàn)在將參考附圖僅通過實例的方式描述本發(fā)明的優(yōu)選實施例��,這些附 圖是
圖1示出了其中可以實現(xiàn)本發(fā)明的實施例的集群計算機系統(tǒng)環(huán)境�; 圖2顯示了根據(jù)本發(fā)明的優(yōu)選實施例的用于節(jié)點和圖1的計算機集群 的中央管理服務(wù)器的功能棧��;
圖3顯示了在本發(fā)明的優(yōu)選實施例的第一部分中執(zhí)行的安全職員任
務(wù)�����;
圖4和圖5示出了可在本發(fā)明的優(yōu)選實施例的第二部分執(zhí)行的管理任 務(wù)的示例�����;以及
圖6和圖7示出了可在本發(fā)明的優(yōu)選實施例的第二部分執(zhí)行的管理任 務(wù)的另一個示例��。
具體實施例方式
圖1顯示了通用集群系統(tǒng)環(huán)境�。該環(huán)境包括中央管理服務(wù)器100,優(yōu) 選為IBM集群管理服務(wù)器(CMS)�,以及集群中的一組節(jié)點101、 102��、 103�,優(yōu)選地,這些節(jié)點是IBM的P-Series服務(wù)器���。這些節(jié)點通常是管理 任務(wù)的目標����。圖l還顯示了網(wǎng)絡(luò)交換機、電纜線路和協(xié)議棧��,標為110�, 其被各種節(jié)點和CMS使用來進行通信,還顯示了永久性存儲裝置130��,其 通常是類似于IBM 2107存儲系統(tǒng)的多個盤驅(qū)動器�����。
參考圖2�,在210、 211處表示了用戶或身份�����,其例如可以是具有如 UNIX開放組標準定義的UID結(jié)構(gòu)的UNIX用戶��。在220處表示了類似于 MIT Kerberos的認證機制�����,以及在231����、 232處表示了一組角色,該組角 色在集群中被定義為具有執(zhí)行一個到N個任務(wù)的能力�。圖2還顯示了對集 群中的所有定義節(jié)點進行可選執(zhí)行的遠程執(zhí)行機制。合適的遠程執(zhí)行機制 的示例是具有-a選項的IBM AIX CSM dsh命令��,該-a選項將作為自變量 執(zhí)行命令并將對集群數(shù)據(jù)庫235中定義的所有節(jié)點執(zhí)行該命令�����。
圖2還表示了集群管理軟件(其優(yōu)選地為AIX 230的IBM集群系統(tǒng)管 理器功能)���、在所有服務(wù)器上的操作系統(tǒng)240�����,以及安全職員或超級特權(quán) 用戶身份219���。在250表示了可被像文件系統(tǒng)那樣操作的一組資源,以及 在260表示了包含所有集群定義的集群管理數(shù)據(jù)庫�����。
在圖1中���,節(jié)點l�、 2和3即101、 102�、 103經(jīng)由網(wǎng)絡(luò)交換機110與中 央管理服務(wù)器100通信。中央管理服務(wù)器100從永久性存儲裝置130檢索 數(shù)據(jù)和在其中存儲數(shù)據(jù)�����。節(jié)點l��、 2��、 3即101��、 102�����、 103在特定實施方式 中可具有或不具有永久性存儲裝置���。所有節(jié)點和CMS服務(wù)器都具有存儲 器和至少一個處理器��,如在正常服務(wù)器和通用計算機中可以找到的那樣��。
在圖2中�����,左側(cè)的節(jié)點101的軟件棧包括操作系統(tǒng)240��,其同時提 供特權(quán)和非特^j艮務(wù)�;提供集群功能和接收來自CMS 100的任務(wù)的能力的 集群管理軟件層230; —個或多個集群管理者所希望操作的資源250;以及 對認證機制的訪問220,其目的在于驗逸用戶或來自CMS 100的任務(wù)的身 份�����。
同樣在圖2中���,右側(cè)的CMS 100的軟件棧與所述節(jié)點相同并添加了以
下項���。其包括任務(wù)請求身份,通常是具有一組給定分配角色的集群管理 者���;永久存儲的具有關(guān)聯(lián)授權(quán)的角色231����,其通常包含在集群管理數(shù)據(jù)庫 260中�����;以及可選地如MITKerberos的認證機制220��。應(yīng)當指出,此認證 機制可以并通常位于通過網(wǎng)絡(luò)連接到CMS 100的專用的通用計算機上�。
圖3-7示出了用于實施本發(fā)明的優(yōu)選實施例的過程。通常����,示出的過 程具有兩個部分。在圖3顯示的第一部分中��,安全職員在CMS100上執(zhí)行 各種任務(wù)�����;以及在第二部分中�����,其示例在圖4-7顯示�,集群管理者和集群 管理軟件執(zhí)行附加任務(wù)來對識別的目標執(zhí)行授權(quán)。
更具體地說���,在步驟301����,在CMS 100上���,安全職員219定義包括一 對多授權(quán)的角色231并且永久地存儲此角色����。 一個示例可以是文件系統(tǒng)管 理者�。在步驟305,在CMS (100)上�,安全職員219以一對多節(jié)點組的 形式定義節(jié)點的若干子集并且永久地存儲此節(jié)點組信息。 一個示例可以是 組A-節(jié)點1和節(jié)點2��,以及組B-節(jié)點3���。在步驟310��,在CMS 100上����, 安全職員將授權(quán)����、節(jié)點組和用戶身份相關(guān)聯(lián)并且永久地存儲此關(guān)聯(lián)。 一個 示例可以是用戶adminA具有用于組A的文件系統(tǒng)授4又(231)以及用戶 adminB具有用于組B的文件系統(tǒng)授權(quán)(232 )���。
參考圖4��,在步驟315���,在CMS 100上���,集群管理者adminA使用認 證機制220認證他們自身210以確保用戶具有真實身份。如步驟320所表 示的��,在CMS 100上���,集群管理者adminA (210)可發(fā)出命令��,如dsh-a chfs +100M/tmp235��。此命令將在所述身份具有授權(quán)的集群中將所有/tmp 文件系統(tǒng)的大小增加IOOMB�。在此情況下����,是節(jié)點1 101和節(jié)點2 102。
在步驟325��,作為dsh -a 235執(zhí)行流的一部分的集群管理軟件230搜 索集群管理數(shù)據(jù)庫�����,來確定此身份是否可執(zhí)行請求的授權(quán)并且如果未找到, 則返回授權(quán)錯誤��。在步驟330��,軟件230還從數(shù)據(jù)庫中生成與此授權(quán)關(guān)聯(lián) 的目標(節(jié)點)的列表�。
在圖5顯示的步驟335,繼續(xù)作為dsh -a執(zhí)行流一部分的集群管理軟 件230規(guī)劃命令的遠程執(zhí)行��,并且如338和340表示的����,針對在先前步驟 中獲得的目標列表執(zhí)行該命令�����。然后在步驟342,目標節(jié)點回復成功完成 執(zhí)行條件或者皿條件�����;在步驟345����, adminA分析任何,條件信息并且 結(jié)束任務(wù)��。
圖6和7顯示了由AdminB執(zhí)行的任務(wù)。在步驟350���,在CMS (100 ) 上�,集群管理者adminB使用認證機制220認證他們自身211,以確保用 戶具有真實身份��。在步驟355��,在CMS 100上���,集群管理者adminB 211 可發(fā)出命令���,如dsh-a chfs+100M/tmp235。此命令將在所述身份具有授權(quán) 的集群中將所有/tmp文件系統(tǒng)的大小增加100MB����。在這種情況下,是節(jié) 點3 103����。在步驟360,作為dsh -a (235)執(zhí)行流一部分的集群管理軟件 230搜索集群管理數(shù)據(jù)庫�,以確定此身份是否可執(zhí)行請求的授權(quán)并且如果 未找到,則返回授權(quán)錯誤。在步驟365�,此管理軟件還從數(shù)據(jù)庫中生成與 該授權(quán)相關(guān)聯(lián)的目標(節(jié)點)的列表。
在步驟370����,繼續(xù)作為-a 235執(zhí)行流一部分的集群管理軟件230規(guī)劃 命令的遠程執(zhí)行,并且針對在先前步驟中獲得的目標列表執(zhí)行該命令���。然 后在步驟375�����,目標節(jié)點回復成功完成執(zhí)行條件或者錯誤條件����;在步驟380�����, adminB分析任何錯誤條件信息并且結(jié)束任務(wù)�。
本發(fā)明的實施例的一個重要優(yōu)點是通過執(zhí)行較少數(shù)量的命令���,允許減 少服務(wù)器和網(wǎng)絡(luò)資源消耗�����,并且還節(jié)省了集群管理者的工作時間���。詳細地 說���,在現(xiàn)有技術(shù)中,chfs命令(通過dsh -a)將由每個集群管理者在所有 節(jié)點(節(jié)點1�����、節(jié)點2和節(jié)點3 )上執(zhí)行�,且從沒有授岸又進行文件系統(tǒng)操作 的節(jié)點針對該節(jié)點上發(fā)出請求的身份回復餘溪返回條件。每個集群管理者 則必須檢查輸出并且確定哪些錯誤返回是由缺少授權(quán)引起的(在這種情況 下將是虛假錯誤)��,以及哪些g返回實際上是有效的��。
相比之下����,當實施本發(fā)明的實施例時,chfs將僅在與身份和授權(quán)關(guān)聯(lián) 的節(jié)點上執(zhí)行�。僅有的錯誤返回將是有效的錯誤返回。因此�����,本發(fā)明的實 施例通過執(zhí)行較少數(shù)量的命令而允許減小服務(wù)器和網(wǎng)絡(luò)資源消耗。
本發(fā)明的實施例還節(jié)省了集群管理員的工作時間��,因為現(xiàn)在他們僅需 要檢查有效的錯誤返回�。將不會返回虛假的肯定的錯誤條件���。集群管理者 現(xiàn)在可進一步利用dsh-a選項�����。每個管理者無需建立他們自己的節(jié)點組來 限定由dsh-a調(diào)用的命令的執(zhí)行范圍��。本發(fā)明的實施例還允許安全職員限 定單個集群管理者的范圍并且給予他們基礎(chǔ)結(jié)構(gòu)來提供職責分離�����。對于特 定任務(wù)列表的所有管理者,本發(fā)明的實施例還允許使用一個中央腳本��,并 且所有管理者將看到相同的行為�����。這簡化了維護并且減少了更改管理過程 中的錯誤。
應(yīng)當理解��,本發(fā)明的實施例可通過硬件�����、軟件或硬件和軟件組合來實 現(xiàn)�����。任何種類的計算機/服務(wù)器系統(tǒng)或其他適于執(zhí)行在此描述的方法的設(shè)備 都是適合的��。硬件和軟件的典型組合可以是具有計算機程序的通用計算機 系統(tǒng)��,當程序#>載和執(zhí)行時���,所述系統(tǒng)將執(zhí)行在此描述的各個方法��。備 選地��,可以使用包含用于執(zhí)行本發(fā)明的實施例的一個或多個功能任務(wù)的專 用硬件的專用計算機����。
本發(fā)明的實施例可以以計算機程序產(chǎn)品實現(xiàn)���,其包括使能實現(xiàn)在此描 述的方法的所有相應(yīng)特性����,并且當被加栽到計算機系統(tǒng)中時,可執(zhí)行這些 方法��。當前上下文中的計算機程序��、軟件程序���、程序或軟件是指一組指令 的以任何語言���、代碼或符號表示的任何表達,旨在使具有信息處理能力的 系統(tǒng)直接執(zhí)行特定的功能��,或者執(zhí)行以下兩者之一或全部后執(zhí)行特定的功 能a)轉(zhuǎn)換為另一種語言����、代碼或符號;和/或b)以不同的材料形式再現(xiàn)���。
權(quán)利要求
1.一種在具有一組節(jié)點的分布式計算系統(tǒng)中定義角色的方法,所述方法包括以下步驟創(chuàng)建包括一個或多個授權(quán)的定義角色����;定義所述節(jié)點的多個子集��;將一組用戶中的每個用戶與所述授權(quán)之一和節(jié)點的所述子集之一相關(guān)聯(lián)�����;以及在數(shù)據(jù)庫中存儲所述授權(quán)和與所述每個用戶相關(guān)聯(lián)的所述節(jié)點的所述子集之一����。
2. 如權(quán)利要求l所述的方法��,還包括以下步驟 所述一組用戶中的一個用戶啟動一個任務(wù)��; 確定所述一個用戶是否具有所述任務(wù)的授權(quán)�����;以及 確定所述一個用戶在所述節(jié)點中的哪個節(jié)點上具有所述任務(wù)的授^5L�。
3. 如權(quán)利要求2所述的方法,還包括以下步驟僅在所述一個用戶在 其上具有所述任務(wù)的授權(quán)的節(jié)點上執(zhí)行所述任務(wù)���。
4. 如權(quán)利要求2所述的方法��,其中所述確定所述一個用戶在所述節(jié)點 中的哪個節(jié)點上具有所述任務(wù)的授權(quán)的步驟包括以下步驟在所述數(shù)據(jù)庫 中查找與所述一個用戶關(guān)聯(lián)的節(jié)點子集��。
5. 如權(quán)利要求4所述的方法���,還包括以下步驟如果在所述數(shù)據(jù)庫中 找到與所述一個用戶關(guān)聯(lián)的節(jié)點子集�,則僅在所找到的子集中的節(jié)點上執(zhí) 行所述任務(wù)����。
6. 如權(quán)利要求1所述的方法,其中所述分布式計算系統(tǒng)包括安全職員��, 并且創(chuàng)建所述定義角色的步驟包括以下步驟使用所述安全職員來創(chuàng)建所 述定義角色���。
7. —種在具有一組節(jié)點的分布式計算環(huán)境中定義角色的系統(tǒng)���,所述系 統(tǒng)包括用于創(chuàng)建包括一個或多個授權(quán)的定義角色的裝置;用于定義所述節(jié)點的多個子集的裝置�����;用于將一組用戶中的每個用戶與所述授權(quán)之一和節(jié)點的所述子集之一 相關(guān)聯(lián)的裝置�; 數(shù)據(jù)庫;以及點的所述子集之一的裝置�����。
8. 如權(quán)利要求7所述的系統(tǒng),還包括用于當所述一組用戶中的一個用 戶啟動一個任務(wù)時確定以下項的裝置(i)所述一個用戶是否具有所述任 務(wù)的授權(quán)���,以及(ii)所述一個用戶在所述節(jié)點中的哪個節(jié)點上具有所述任 務(wù)的授權(quán)。
9. 如權(quán)利要求7所述的系統(tǒng)����,還包括用于僅在所述一個用戶在其上具 有所述任務(wù)的授權(quán)的節(jié)點上執(zhí)行所述任務(wù)的裝置。
10. 如權(quán)利要求7所述的系統(tǒng)�����,其中所述確定裝置包括用于在所述數(shù) 據(jù)庫中查找與所述一個用戶關(guān)聯(lián)的節(jié)點子集的裝置��。
11. 如權(quán)利要求10所述的系統(tǒng)��,還包括用于如果在所述數(shù)據(jù)庫中找到 與所述一個用戶關(guān)聯(lián)的節(jié)點子集,則僅在所找到的子集中的節(jié)點上執(zhí)行所 述任務(wù)的裝置����。
12. 如權(quán)利要求7所述的系統(tǒng)���,其中用于創(chuàng)建所述定義角色的裝置包 括安全職員���。
13. —種可由機器讀取的程序存儲裝置����,有形地體現(xiàn)可由機器執(zhí)行的 指令程序����,以執(zhí)行在具有一組節(jié)點的分布式計算系統(tǒng)中定義角色的方法步 驟,所述方法步驟包括創(chuàng)建包括一個或多個授權(quán)的定義角色�; 定義所述節(jié)點的多個子集;對于一組用戶中的每個用戶�,將所述授權(quán)之一和節(jié)點的所述子集之一 與所述每個用戶相關(guān)聯(lián);以及在數(shù)據(jù)庫中存儲所述授權(quán)和與所述每個用戶相關(guān)聯(lián)的所述節(jié)點的所述 子集之一�����。
14. 如權(quán)利要求13所述的程序存儲裝置���,其中所述方法步驟還包括 使得所述一組用戶中的一個用戶啟動一個任務(wù)�����; 確定所述一個用戶是否具有所述任務(wù)的授權(quán)�����;以及 確定所述一個用戶在所述節(jié)點中的哪個節(jié)點上具有所述任務(wù)的授權(quán)��。
15. 如權(quán)利要求14所述的程序存儲裝置�����,其中所述方法步驟還包括以 下步驟僅在所述一個用戶在其上具有所述任務(wù)的授權(quán)的節(jié)點上執(zhí)行所述任務(wù)�。
16. 如權(quán)利要求14所述的程序存儲裝置����,其中所述確定所述一個用戶 在所述節(jié)點中的哪個節(jié)點上具有所述任務(wù)的授權(quán)的步驟包括以下步驟在 所述數(shù)據(jù)庫中查找與所述一個用戶關(guān)聯(lián)的節(jié)點子集。
17. 如權(quán)利要求16所述的程序存儲裝置�,其中所述方法步驟還包括以 下步驟如果在所述數(shù)據(jù)庫中找到與所述一個用戶關(guān)聯(lián)的節(jié)點子集,則僅 在所找到的子集中的節(jié)點上執(zhí)行所述任務(wù)�����。
18. 如權(quán)利要求13所述的程序存儲裝置�����,其中所述分布式計算系統(tǒng)包 括安全職員��,并且創(chuàng)建所述定義角色的步驟包括以下步驟使用所述安全 職員來創(chuàng)建所述定義角色��。
全文摘要
公開了在中央管理服務(wù)器上創(chuàng)建角色的方法和系統(tǒng),該服務(wù)器包括用于給定身份的一對多授權(quán)以及將被授權(quán)的組件目標����。根據(jù)任務(wù)和任務(wù)將在其上完成的組件的交集來定義所述授權(quán)。然后將此組合授權(quán)與特定身份關(guān)聯(lián)��。當啟動任務(wù)時�����,中央管理服務(wù)器確定是否已為該任務(wù)授權(quán)身份以及它可以針對哪些組件執(zhí)行該任務(wù)�。基礎(chǔ)結(jié)構(gòu)然后生成適合的子命令并且僅對包含在來自發(fā)起請求的請求組件列表中的授權(quán)組件執(zhí)行這些子命令����。
文檔編號G06F9/46GK101341467SQ200680048414
公開日2009年1月7日 申請日期2006年12月11日 優(yōu)先權(quán)日2005年12月21日
發(fā)明者M·布朗 申請人:國際商業(yè)機器公司