TW200809570A

TW200809570A - Utilizing component targets in defining roles in a distributed and integrated system or systems

Info

Publication number: TW200809570A
Application number: TW095145012A
Authority: TW
Inventors: Michael E Browne
Original assignee: Ibm
Priority date: 2005-12-21
Filing date: 2006-12-04
Publication date: 2008-02-16
Also published as: JP2009521030A; US20070143291A1; CN101341467A; WO2007071587A1

Description

200809570 九、發明說明：【發明所屬之技術領域】本發明基本上和分散式電腦系統有關。更具體來說，本發明有關於在此種系統中用來定義角色的方法及糸統。【先前技術】

在伺服器統合環境中的分散式或整合式電腦系統中’例如電腦叢集或刀鋒伺服器中心，以及較大型電，叢集内的刀鋒伺服器中心等，由於各種企業實施與管，需求的關係，有必要進行責任的劃分。不過當中央笞理伺服裔或者是模組是處於一個的結構式的架構 =下，此％責任的劃分通常會被妥協。在現行的實施當中’企業通常替針對整個叢集内各個經過驗證的使 =者或身分來定義肖色。透過巾央管理舰器的叢集 C、’就可以提供存取至跨越整個電腦叢集的所凡件’並且也可吨行授觀整個叢集的工作。域。數Γ業來說，叢集被認為是資訊安全的領 2的管理作業來從所需的元件二 =戶= 二N況下會限制系統的利用。 ^ 在某針對叢集内每個元件的每二各戶可能會需要清單(卿保護機制’來限 4IBM/06139TW ; P〇U9-2005-0135TWl(JHW) 200809570 特定資源的存取。【發明内容】本發明一方面係為改良的分散式電腦系統。本發明的另一方面允許藉由執行較少數的指令，來降低伺服器以及電腦網路資源的消耗。

、本發明的再一方面是在中央管理伺服器或是分式電腦系統的模組上，允許一個角色的定義 L 對系統元件的存取。仃㈣又一方面係藉由建立角色，其為授權作 r:=:各 :業與其作用元件的交界。此組合的授基於判定該身分是否已經被授權給該項理伺服器會執仃^副指令於啟始請求之所請求的 4IBM/06139TW ; P〇U9-2005-0135TWl (JHW) -7- 200809570 一件、/¾早中所具有的授權元件。所請求的元件若不存在於關聯至請求身分的作業的授權清單中， ♦ 試執行。 9曰、相較於需要針對叢集内每個元件的每個個別資 $，建立存取控制清單(ACL)或保護機制的客戶來說，本發明藉由建立角色為授權作業與作業

=::分元件之子集存取的能力，允許中央二抑或模組上的一個角色定義來進行存取。透過以下的詳細說明並參照到附加的圖式，其明本發明的較佳實施例，將使本發明更進一步以及優點能更清楚地被理解。处【實施方式】圖1顯示的是一般的叢集系統環境。此環境包括中央管理伺服器1〇〇，較佳是麵的叢集管理飼服哭 (CMS)，以及叢集中的_組節點1〇1、舰與1〇3，- 佳為IBM的Ρ系列伺服器。這些節點通常是管理作業 =目標。ffl 1亦顯示網路交鮮、線路設備及協定堆豐，以編號110代表，以便讓各個節點及CMS透過藉此進行溝通；以及永久儲存H 13〇,通常是數個磁碟機，如IBM2107儲存系統。、 4IBM/06139TW ； P〇U9-2005-0135TW1(JHW) 200809570 參考圖2，編號21〇及2ΐι代表使用者或身分， :: UNIX使用者’其擁有UNIX開放組織，準所制定的Uld結構。編號220代表中制，231* 232代表在叢集當中被義可以執仃—項到N項作#的-組角色 = '個遠端執行機制，其選用地執行叢集

$的m ’ IBM AIX CSM dsh指令配合的 1 適的遠端執行機制。該指令會被當執仃’而·a參數則會執行叢集資料庫内所J 義的節點235。丨〜早N所有疋处代衣最集官理軟體罔的叢集系統管理員23〇、所有伺=^謝的概 240、以及安全栌# g 服°°上的作業系統 219。編號250代表一組可操使用者身为統’而編號26G代表叢集管理資料^'二域案系叢集的定義。貝枓庫，用來存放所有圖1當中，節點一 101、節點二 # 一 103透過網路交換器110與中央其及郎點三溝通。中央管理伺服器100會對I服器100互相或讀取資料。在特定的實施例中，&，存器130儲存二102以及節點三103可以或是亦:101、節點器。所有的節點以及CMS伺服不具備永久儲存皆財記憶體以及至 4IBM/06139TW ’ P〇U9-20〇5-〇135TW1(JHW) 200809570 少-個處理器，如同—般的伺服器或者是泛用型電腦。包括圖^ 左邊的節點1G1的軟體堆疊，盆 i栝·作業糸統24〇，提供需要 ^ 務；一層叢集管理軟體230，其提供叢=權限的服細100接收作業;可被二至;; 來檢驗使用者的身分或來自中央=== 業要求。王1100的作的f體雄田圖中’位於右邊的中央管理伺服器100 i的人體堆璺，其與左邊的節點101所示相同之外，並 d 個，要求身分:通常是具有-組声2Ή 1 &理買，具有相關授權的永久儲存角色23卜其通系位於叢集管理資料庫26〇巾；以及選

用的驗證機制220，例如MIT Kerber〇s。值得注音的是此驗證機制可以並通常是位於透過網連^ CMS 100之專用的泛用型電腦上。連接圖3-7描述一種實施本發明的程序。概括地說，圖式的私序分成兩個部份。第一個部份如圖3所示，女全控管員在CMS 100上執行各種作業；而第二個部份如圖所示，叢集管理員以及叢集管理軟體執行額外的作業，來針對識別的目標進行授權。 -10- 4IBM/06139TW ; POU9-2005-0135TWl(JHW) 200809570 更明確地說，在步驟1 在CMS 100上定義擁有一到夕全控管員219 將此角色永久儲存。舉例來說^ :權的角色，’並在步驟305當中，安全控管員219^_稽案系統管理員。數個節點的子集，其為 CMS1GG上定義廿膝士々々科被+ 夕個即點所構成的群組，訊永久儲存。舉例來㈣^ t 士 :入即點二’而群組"點三。在步驟310 乂，女王控管員處理授權、節點群組、以及使用者身/刀之間的關連，並且將此關連儲存起來。像是管理貝A擁有群組A (231)的檔案系統授權，而管理員B 擁有群組B (232)的檔案系統授權。、參考圖4’在步驟315當中，叢集管理員（管理員 A)在CMS 100上，透過驗證機制22〇替自己21〇進行參驗證，以確保使用者擁有驗證的身分。在步驟32〇 ^ 十’叢集管理員（管理貝A) 21)在CMS 100上，接著^ 入像是dsh -a chfs +100M /tmp 235這樣的指令。此^ 令會在身分所被授權的叢集當t，對所/tmp槽案系統都增加100 MB的大小。在這個範例中，就是節點〜 101及節點二102。在步驟325當中，叢集管理軟體230做為dsh 1 235執行流程中的一部分，會搜尋叢集管理資料庫以 11 - 4IBM/06139TW ； P〇U9-2005-0135TW1(JHW) 200809570 】確5忍此身*是何執行所請求的授權。若否，則奋 η失敗。在步驟幻〇當中，軟體23二：枓庫產生和此授權有關的目標(節點)的清單。曰攸貝

參考圖5 ’在步驟335當中，叢集管 =為dsh -a 235接下來執行流程的一部分會指令的遠端執行，並且如編號338和鳩所示，1 對前述步驟所獲得的目標清單而執行該指令 ^ t當中’目標節點會回覆完全執行成功狀況或i是執行失敗狀況；然後在步驟345當中，管理員A分任何錯誤狀況資訊，並接著結束此作業。圖6以及圖7顯示的是管理員b所執行的作業。在步驟350當中，叢集管理員（管理員則在CMs 1〇〇上，透過驗證機制220替自己211進行驗證，以確保使用者擁有驗證的身分。在步驟355當中，叢集管理員（管理員B)211便可在CMS 100上輸入像是dsh —a chfs+l〇〇M/tmp 255這樣的指令。此指令會在身分所被授權的叢集當中，對所/tmp檔案系統都增加100 mb的大小。在這個範例中，就是節點三ι〇3。在步驟 360當中，叢集管理軟體230做為dsh-a (235)執行流程的一部份，搜尋叢集管理資料庫以便確認此身分是否可以執行所請求的授權。若否，則會傳回授權失敗。在步驟365當中，此管理軟體也會從資料庫產生和此 -12 - 4IBM/06139TW ； P〇U9-20〇5-0135TWI(JHW) 200809570 授權有關的目標(節點)的清單。 235接當中，叢集管理軟體230做為dsh -a 執扞，指令流程的—部份’會規劃此指令的遠端令。才對前述步驟所獲得的目標清單而執行該指

狀況或當中’目標節點會回覆完全執行成功理昌=疋執行失敗狀況；然後在步驟380當中，管、刀析任何錯誤狀況資訊，並接著結束此作業。少數t::!的*項重要優點，在於它能夠藉由執行較也節省二二來降低伺服器及網路資源的消耗，並且叢集㈣員的叫。簡言之，若是以目前普遍所有的jfs指令(藉由dsh -a)會由每個叢集管理員在而如要上執行(節點一、節點二、以及節點三)， :如果k出要求㈣分在該節點上沒有操作播時，會從該節點傳回執行失敗的狀況。每ί ，术官理貝則必須再檢視該輸出，並且判定出哪些㉔ =回傳是由缺乏授權所造成（在本例中即屬於^ 誤）’以及哪些錯誤回傳是真的。曰與本發明的實施相較起來，chfs指令只會在與身分及授做_節點上執行。並且只有真的錯^ 息會被回傳。本發明因而能夠藉由執行較少數的^ 令，來降低伺服器及網路資源的消耗。曰 -13- 4IBM/06139TW ； POU9-2005-0135TWl(JHW) 200809570 ^發明也節省叢鮮則^時，因為他們只要正的錯誤回傳。假的錯誤狀況都不會被回傳。 2 =並:進—步地利用a參數。每個叢集夂：而要為了界定dsh 所觸發的指令執行 f自建立他們自己的節點群組 ==員去限制個別叢集管理員的範圍，並且：們基礎錢以提供獨立的權 (=業清單、中的所有管理員共用單降低錯誤的;:喊，可以簡化維護的成本並軟體在==解的是’本發明可以透過硬體、電腦/伺服器系統，或者是可以任何-種，裝置都是合適的。:個的 ;，入並執行時執行本文所描述的ί關=電； f，亦可使用特用型電腦，其具有』或本發明中所述的-或多種功能。q的硬體耒執行本發明亦可以實施為電腦程式產品，應的功能來實施本文巾所述的核，並且ς其被= 4IBM/06I39TW ； POU9-2005-0135TW1 (JH W) -14- 200809570 統雜夠執行㈣方法。本文中所指的 ^、軟體程式、程式、或者是軟體，意指任何程式 =、程式碼或符號下的—組指令表示式，能^ ^料處理能力的電腦系統㈣執行特，盆 J接（或在之後）在下述之—或兩者中：⑷轉換成另、外-種程式财、料碼或賤形式來重製。 1 (b)以其匕的此μ 本文中所述的發明是經過縝密的關後以達意圖涵蓋所有本發施例。㈣精神及__所有修改與實【圖式簡單說明】統環^ :1描述—個適合採用本發_叢集式的電腦系流程當1^全料貞針對實财剌的較佳二階:當ί圖二迷針對實施本發明的較佳流程的第丁的管理作業的範例;以及圖7顯示的是針對實施本發明的較佳流程 4IBM/06I39TW ；；POU9-2〇〇5-0135TWl(JHW) 15- 200809570 的第二階段當中，所進行的管理作業的另-_。【主要元件符號說明】 101節點一 103節點三 130永久儲存器 219 對 230 叢 250操作的資療存取 100中央管理伺服器 102節點二

110網路交換器 210、211使用者 220驗證機制 240作業系統 260叢集管理資料庫

4IBM/06139TW ； POU9-2005-0135TW1(JHW) -16-

Claims

200809570 十、申請專利範圍： 1 ♦一種在具有一組節點的一分散式計算系統中定義角色的方法，包含下列步驟：建立一定義的角色，該角色包括一或多個授權；定義複數個節點的子集；關連一使用者群組之中的每個使用者，至該等

授權的其中之一以及該等節點的子集的其中之一；以及將關連至該每個使用者的該權限與該節點的子集的其中之一，儲存至一資料庫中。 2·如申請專利範圍第1項所述之方法，更包含下列牛驟· 該使用者群組的其中之一開始一作業作業的上戽有判斷該其中之一的使用者是否具有鸪授權；以及 μ 判斷該其中之一的使用者在哪個節該作業的授權。 ^ 3·如申請專利範圍第2項所述之方法，更包含〇其中之一的使用者具有該作業的授權的兮〔、在碡執行該作業之步驟。 Μ節颭上 4·如申請專利範圍第2項所述之方法，並中 4IBM/06139TW ； POU9-2005-0135TW1(JHW) ^ 200809570 中之一的使用者在哪個節點上具有該作業的授權之步驟，包括在該資料庫中尋找關連至該其中之一的使用者的一節點的子集之步驟。 5·如申明專利範圍帛4項所述之方法，更包含下列步驟：若在該貧料庫中發現到關連至該其中之一的

使用者的-節點的子集，則只在該發現的子集的節點上執彳于该作業。 6.如!請專職81第1項所述之綠，其巾該分散式什异糸統包括-安全控管員，且建立該定義的角色之步驟包括利用該安全控管員來建立該定義的角色之步驟。 7. :=Γ組節點的一分散式計算系統中定義角色的系統，該系統包含：一❹一定義的角色之裝置’該角色包括一用於定義複數個節點的子集之個使用於關連—使用者群組之中的每以及該等節點的们使用者’至該等授權的其中之子集的其中之一； Λ 一資料庫；以及 4IBM/06139TW ； POU9-2005-0135TW1(JHW) -18- 200809570 8· 9· 10. 11. 12. 一儲存裝置，用於將關連至該每個使用者的該權限與該節點的子集的其中之一，儲存至該資料庫中0 如申請專利範圍第7項所述之系統，更包含一判斷裝置，用於在該使用者群組的其中之一開始一作業 ¥ ’判斷：（i)該其中之一的使用者是否具有該作業的授權；以及(ii)該其中之一的使用者在哪個節點上具有該作業的授權。如申睛專利範圍第7項所述之系統，更包含一第一執行裝置’用於只在該其中之一的使用者具有該作業的授權的該節點上執行該作業。如申請專利範圍第7項所述之系統，其中該判斷裝置包括一尋找裝置，用於在該資料庫中尋找關連^ 忒其中之一的使用者的一節點的子集。如申請專利範圍帛10項所述之系統，更包含一第二執行裝置，用於當在該資料庫中發現到關連至該其中之-的使用者的一節點的子集時，則 ;: 現的子集的節點上執行該作業。八如申請專利範圍第7項所述之系統，其中該用於建 4IBM/06139TW ；P〇U9-2005-0135TW1(JHW) ' 19 ' 200809570 立該定義的角色的裝置包括一安全控管員。 13·器可讀取的程式儲存裝置，具有該機器町執 ::秸式指令，以在具有一組節點的一分散式計 =糸統中執行定義角色之方法步驟，該方法步驟包 3 · 權建立疋義的角色，該角色包括一或多個授定義複數個節點的子集；之 :對-使用者群組之中的每個使用者，關連該，權的其中之-以及該等節點的子集的其中一至該每個使用者；以及、將關連至該每個使用者的該權限與該節子集的其中之一，儲存至一資料庫中。 .、、、的 14·如申晴專利範圍第13項所述之程式儲存裝置，中該方法步驟更包含：、’其允許該使用者群組的其中之一開始一作業· 判斷該其中之一的使用者是否具有該作授權；以及、的判斷該其中之一的使用者在哪個節點上息該作業的授權。 >、有其 15·如申請專利範圍第14項所述之程式儲存裝置， -20- 4IBM/06139TW ； POU9-2005-0135TW1(JHW) 200809570 中該方法步驟更包含只在該其有該作業的授權的該節點上執行該作業n者具 16.如申請專利範圍第14項所述中判斷該苴中之一的佔田飞儲存衣置，其推之步驟’包括在該資料庫中尋找關:至〜中之—的使用者的-節點的子集之步驟。

17 Ϊ申請專利範圍第16項所述之程式儲存裝中該方法步驟更包含下列步驟：置，其之一的集的節若在該資料庫中發現到關連至該其中使用者的-節點的子集，則只在該發現/的點上執行該作業。 18·如申請專利範圍第13項所述之程式儲存裝置，其

中該分散式計算系統包括一安全控管員，且建立^ 定義的角色之步驟包括利甩該安全控管員來建= 該定義的角色之步驟。 4IBM/06139TW ； POU9-2005-0135TW1(JHW) -21 -