【申请加精】来自UC的《Solaris 10红宝书》系列在线课程

luren04

2．打开和存盘文档
有多种方法可以装入和打开文档。例如，可以使用“打开”对话框或“样式和文档”对话框。要存盘当前文档，请按Ctrl+S键。如果希望将当前文档用做文档样式，请使用菜单“文件”→“文档样式”→“存盘”。

对话框样式和文档如图6-20所示。


图6-20 对话框样式和文档

在这个对话框内单击左侧栏位即可选择以下的区域。

 新建文档：在这里你可以建立新的空白文档。

 样式：从许多已为你准备好的、可立即使用的文档样式中选择。

 我的文档：快速找到你工作目录中的文档。这个工作目录是你在“工具”→“选项”→“StarSuite”路径下设定的目录。

 示例文档：随程序提供的示例文档向你演示StarSuite的功能示例。

XML文件格式
StarSuite默认使用一个XML文件格式来保存和打开文档。

StarSuite使用的XML格式如表6-2所示。

表6-2 StarSuite使用的XML格式

应用程序
文件扩展名

StarSuite Writer
*.sxw

StarSuite Writer样式
*.stw

StarSuite Calc
*.sxc

StarSuite Calc样式
*.stc

StarSuite Impress
*.sxi

StarSuite Impress样式
*.sti

StarSuite Draw
*.sxd

StarSuite Draw样式
*.std

StarSuite Math
*.sxm

主控文档
*.sxg


当在某个目录中搜寻不同类型的多个文件时，通过这些文件扩展名可以更好地区分文件。此外，扩展名还可以清楚地指示出涉及到的经过压缩的XML文件，在读取这些文件之前需要对它们进行解压缩。

查看文件的属性

文件属性（如作者姓名、主题和关键字）可以帮助你管理和识别文档。StarSuite还跟踪文件的统计信息（包括文档的字数和页数），并将这些信息作为文件属性的一部分自动加入到文件属性中。

可以查看当前文档或“打开”对话框中文档的属性。

将文档当做电子邮件发送

可以将当前文档作为一个电子邮件的附件寄发。

3．打印文档
StarSuite提供了各种打印选项，如图6-21所示。


4．拼写检查
StarSuite提供了自动拼写检查功能，可以在键入文字时自动检查拼写，也可以随时手工启动该功能。

5．使用自动功能
StarSuite提供了几种可以帮助你工作的智能助理，都以“自动...”的方式命名。

6．搜寻和替换
在StarSuite Writer，Calc，Impress和Draw中，可以使用“搜寻和替换”对话框对搜寻词进行多种形式的搜寻，或者将搜寻范围限定在文档的特定部分（如字词的开头或段落的结尾）。

6.4.3 StarSuite Writer文本文档
1．StarSuite Writer的功能
StarSuite Writer用于设计和制作含有图形、表格或图表的文本文档，并允许将文档存盘为各种不同的格式，如Microsoft Word，HTML和Adobe的可移植文档格式（PDF）等。

文字输入

使用StarSuite Writer可以建立各种类型的基本文档，如备忘录、传真、信函、简历和邮件合并等，还可以利用文献目录、表格和索引建立复杂的或有多个部分的文档。

StarSuite Writer还包含了很多有用的功能，如拼写检查、同义词词典、自动更正和连字符等。此外，它还提供了各种文档样式，几乎可以满足你的所有需要，也可以使用自动文件助理来建立自己的样式。

设计和结构

StarSuite为设计文档提供了各种选项。使用“各类样式”可以建立、指定和更改段落、字符、框和页面的样式。而“助手”可以协助你在文档中快速定位，以大纲预览的方式查看文档内容，并跟踪插入到文档中的各种对象。

你还可以在文本文档中建立各种目录，并根据个人需要定义目录的结构和外观。活动的超链接和书签使你可以直接跳到文档中对应的项。

StarSuite Writer的桌面排版系统

StarSuite Writer含有多种桌面出版工具和绘图工具，可以协助你建立专业的文档，如小册子、新闻稿和邀请函等，也可以使用多栏版式、文字框、图形、表格，以及其他对象来格式化文档。

2．StarSuite Writer视窗
StarSuite Writer视窗如图6-22所示。


图6-22 StarSuite Write视窗

3．输入和格式化文字
输入文字和格式化文字不需要按照固定的顺序。你可以在输入文字的同时格式化文字（如使用斜体），也可以在其之后再进行格式化。你甚至可以将一段文字分成两栏。如果只是更改格式，则完全没有必要删除和重新键入文字。

要编辑文字，请先选择该文字，然后执行相应的命令，例如，单击“对象栏”上的“斜体”图标。选择文档中的文字可以通过多种方法，如按住Shift键再按方向键，或者按住鼠标左键并拖动鼠标以选择文字。选择命令也有多种方法，例如，选择菜单命令、单击图标栏中的图标或者使用键盘快捷方式（快捷键）。

4．使用或不使用样式来制作文本文档
字符样式、段落样式、框样式、编号列单样式和页面样式（或工作表文档中的单元格样式）会与文档一起存盘，也可以根据需要将文本文档的样式复制到其他文本文档中。

可以将任意文档及其含有的字符样式、段落样式、框样式、编号样式和页面样式定义成一个文档样式，这样，当以后建立基于此文档样式的新文档时，就可以使用这些样式。

在第一次启动StarSuite时，所有文档类型都会自动采用某些预设的样式。例如，当选择“文件”→“新建”→“文本文档”来建立新文本文档时，将使用标准文档样式中含有的各种样式，这些样式适用于所有新文档。另外，也可以根据需要将任意文档定义为标准的文档样式。

6.4.4 StarSuite Calc工作表文档
StarSuite Calc是StarSuite的工作表文档模块。它提供了所有必要的高级功能，包括金融和统计函数、数据库功能等。它的工具栏和视窗如图6-23所示。

1．StarSuite Calc功能
StarSuite Calc是一种工作表应用程序，可用于计算、分析和管理数据，也可用于输入和更改Microsoft Excel工作表。

2．工作表文档的结构
工作表文档由各个工作表组成，工作表中则含有按行和列排列的大量单元格。可以在这些单元格中输入公式、文字或数值等。

工作表允许你直接在单元格中输入计算公式，如45。但它最突出的功能是可以在公式中引用其他单元格，例如，输入公式=SUM(A1:A，对单元格A1到A8中的数值求和，然后将结果显示到公式所在的单元格中。而单元格A1到A8中还可以含有其他公式，用来计算另外的单元格，依次类推。

使用命令“文件”→“新建”→“工作表文档”打开新的工作表文档。新文档的默认名称为“未命名1”，该名称可以在存盘文档时更改。在新建的空白文档中，可以看到工作表的一些典型元素。以下各节将对这些内容进行说明。


图6-23 StarSuite Calc的工具栏和视窗

3．当做单元格内容的数值和公式
单元格中可以含有文字、数字、日期或公式。你可以指定或更改这些内容，或者使用当前数据对公式进行重新计算，以随时更新这些内容。

状态栏右下角的框中始终会显示帮助信息。在工作表中，该框总是显示所有选定单元格的总计，也可以通过上下文菜单在此处显示其他值，例如，所有选定单元格的最小值。当工作表发生错误时，此框中将显示一个错误报告。

以下通过一个计算百分数的例子来告诉你如何在工作表文档内进行计算，如图6-24所示。

（1）将单元格光标置于单元格A3处。

（2）往单元格内键入数字150后按Enter键，这时单元格光标便会跳至单元格A4处。

（3）在单元格A4中键入数字16后按制表键，这时单元格光标便会向右跳至单元格B4处。

（4）在单元格B4处输入=A3 * A4 / 100。如果一开始就在单元格内输入一个等号，则表示你想输入一个公式。你可在编辑栏的输入行内看到一个公式，如图6-24所示。

（5）按Enter键后，计算结果就会显示在单元格B4内。

（6）单击单元格A3，键入200后按Enter键。这时你会发现，计算结果已经自动进行了相应的调整。


图6-24 工作表文档的计算

（7）单击单元格B4后，将鼠标移至编辑栏内输入行中的公式尾端。这时你会在那里见到一个闪动的输入光标。

（8）在公式尾端添加A3后按Enter键，这时单元格B4内的计算结果就会相应更新。

借助StarSuite提供的示例工作表文档及现有的工作表文档，你也能够直接打开这些文档并输入自己的数据后执行计算。

除了四种基本的计算之外，你还可以输入其他运算符、嵌套括号，以及各种函数。输入函数时，可以借助“自动文件助理：函数”。

4．StarSuite Calc提供的数据库功能
StarSuite Calc中的工作表文档还可用于管理由若干字段组成的数据条目，就像在数据库中一样。将StarSuite Calc工作表中的每一行当做一个数据条目，将每一列当做一个字段。然后，你就可以对StarSuite Calc按行进行排序和分组、查找关键字，以及计算总计。

StarSuite Calc工作表文档中的数据库区域与在“工具”→“数据源”中指定的、在数据源浏览器F4中编辑的数据库和表格无关。

 在StarSuite Calc中，你使用的工作表文档可以含有多个工作表。你可以将工作表中几个相邻的行合并到一个数据库区域，以便进行排序。你也可以将外部文件（如dBase格式的文件）输入到StarSuite Calc工作表文档中。在StarSuite Calc工作表中，dBase文件中的数据条目成为行，数据字段成为列。

 另一方面，在数据源浏览器中，你可以直接编辑dBase表格（或其他数据源），例如，你可以执行SQL查询。

5．利用StarSuite Calc分析数据
StarSuite Calc提供了多种功能强大的数据计算工具。借助数据助理可以对数据进行各种分部计算，也可以通过合并计算、目标搜寻和多重计算对数据做进一步分析。

6．使用StarSuite建立日历的方法介绍
使用StarSuite可以建立自己的私人日历。你只须输入日期并单击几个按钮，其余操作将由StarSuite完成。

具体步骤如下：

单击菜单“文件”→“新建”→“样式和文档”，选择“样式”→其他和年历月历。然后单击“确定”按钮，打开StarSuite日历对话框，如图6-25所示。

首先，在“日历”下指定要建立月历还是建立年历。

如果事先知道一些重要日期，如生日和周年纪念日，则可以直接在日历中输入这些日期。


图6-25 Star Suite日历对话框

为此，请单击“个人数据”按钮，弹出如图6-26所示的对话框，在“事件”框中输入描述性的文字，并通过列表框指定“月”和“天”。


图6-26 输入事件，指定“月”和“天”

单击“插入”按钮，事件将显示在列表框中。如果需要，可以继续指定其他日期。要删除事件，请选择该事件并单击“删除”按钮。

在设定好全部事件之后单击“完成”按钮，即可建立并显示你的个人日历。

6.4.5 用StarSuite Impress制作演示文稿
演示文稿不仅可以处理绘图和图形，还可以连接多张幻灯片进行放映，并且可以为幻灯片中的对象指定动画效果，以及为幻灯片的转换指定转换效果。要在等级式结构中管理幻灯片，请使用大纲视图模式。

你可通过以下几种方式快速地制作一个演示文稿：

 你可以使用自动文件助理演示文稿。

 或者使用一个现存的并可随意修改的文档样式。

 也可以从新建一个空白文档开始设计自己的演示文稿。

1．StarSuite Impress功能
使用StarSuite Impress可以建立专业的演示文稿，其中可以含有图表、绘图对象、文字、多媒体，以及其他各种内容。如果需要，还可以输入和更改Microsoft PowerPoint演示文稿。

对于屏幕上的演示文稿，可以使用动画、幻灯片更换和多媒体等技术，使演示文稿更加生动。

2．一个简单的演示文稿
通过一个简单的“一步步”示例，你会了解如何自己创建一个演示文稿文档，以及在不同的页面或幻灯片上制作的内容。

请按顺序阅读这个简短的指导内容。有关你看到的对话框的详细内容可参阅StarSuite 帮助。

如同文本文档的制作，你可以采用多种方式来制作演示文稿。

 请你使用自动文件助理演示文稿。通过菜单“文件”→“自动文件助理”→“演示文稿”能够启动演示文稿的自动文件助理。在新建一个演示文稿时，自动文件助理也会自动启动。你可以在自动文件助理显示第一个对话框时就关闭这个程序。有关自动文件助理程序的详细说明，请参阅StarSuite帮助。

 一般关闭自动文件助理后，你便能够通过菜单命令“文件”→“新建”→“演示文稿”直接新建一个空白演示文稿。

 也可以打开一个新文档，对其进行更改，然后使用不同的名称存盘。这时，可以使用软件提供的示例文档。

用自动文件助理来制作一个演示文稿。

（1）启动命令“文件”→“新建”→“演示文稿”。

这时，自动文件助理演示文稿会自动启动。在程序的第一个对话框中你能够选择要打开一个空白演示文稿还是一个演示文稿样式，或者是一个现有的演示文稿。如果选择采用样式，StarSuite Impress便会在所有样式中找出演示文稿样式并将其显示在列表框之中。

（2）在这个示例中，选择样式“新产品介绍”，然后单击“继续”按钮。

如果需要，可以在自动文件助理对话框的第2页上选择其他的页面样式。在这里你还能够为制作的演示文稿选择一个输出的媒体：幻灯片、透明箔、屏幕或者纸张。程序会根据所选择的媒体相应地调整页面格式的配置（边框及规格大小）。

（3）在这个示例中，我们沿用演示文稿背景和输出媒体的预设。请单击“继续”按钮。

在自动文件助理程序的第三个对话框中，你可以执行幻灯片更换的相关设定。

（4）在第一个列表框内，选择幻灯片更换效果“从左面逐渐隐出”选项。通过套用预设“中等”来确定幻灯片更换的速度。

（5）选择演示文稿的类型为自动（即按照固定的时间间隔，重复演示所有幻灯片，直到按击Esc键中止演示）。

（6）在持续时间处，你设定的是每张幻灯片的演示时间。当在完成演示文稿的制作以后，你还能够再为各张幻灯片设定不同的持续时间。

（7）在暂停时间处，你设定的是演示结束后在下一次演示重新开始之前需要暂停的时间。在显示徽标处，你可以设定是否要在暂停时显示StarSuite徽标。若选择的演示文稿类型为标准，那么幻灯片的更换只能手动控制，如通过按击滑鼠键。

（8）单击“继续”按钮。

（9）在第四个对话框中，你可以键入要在演示时显示的文字，随后再次单击“继续”按钮。在自动文件助理的最后一页，可以根据需要确定演示文稿的幻灯片数，还可以看到演示文稿中所有幻灯片名称的列表。要从演示文稿中删除某些幻灯片，请取消选中其名称旁边的复选框。这时选中标记将消失，演示时将不会包括该幻灯片。

（10）单击幻灯片前的加号之后，显示的是第一个大纲级的标题。

（11）如果使用了合并选项，那么程序就会为演示文稿文档附加制作显示所有文档标题的最后一页。一般来说，你不需要使用这个选项，因为几乎所有的演示文稿样式均含有类似的这一页。

（12）单击“完成”按钮后，程序就会为你生成这个演示文稿。

3．编辑演示文稿
4．输出、打印和演示
5．商务报告
6．产品介绍
7．组织结构表
6.4.6 用StarSuite Draw绘图
使用StarSuite Draw，你可以建立包括从简单的图表到交互式的多页文档在内的各种绘图。

可以在空白文档中绘图或建立自定义的图形，也可以采用StarSuite Draw附带的文档样式和示例图形。要查看可用的文档样式，请选择“文件”→“新建”→“样式和文档”。要查看可用的图形，请选择“工具”→“画廊”。

可以在StarSuite Draw中绘制并存盘矢量图形，还可以将矢量图形输出为像素图形（位图），或者在绘图中插入像素图形。

1．StarSuite Draw的功能
使用StarSuite Draw可以建立简单和复杂的绘图，并可以将这些绘图以常用的图像格式输出，还可以在绘图中插入由StarSuite程序建立的表格、图表、公式，以及其他项。

矢量图形

StarSuite Draw使用数学矢量定义的直线和曲线来建立矢量图形，而矢量是根据图形的几何形状来定义线条、椭圆和多边形的。

制作三维对象

在StarSuite Draw中，可以建立简单的三维对象（如立方体、球体和圆柱体），并可以更改这些对象的光源。

网格线和坐标线

在绘图中对齐对象时，网格线和坐标线可以提供视觉提示。可以参照网格线、坐标线或其他对象的边缘来对齐对象。




连接对象以显示关系

在StarSuite Draw中，还可以使用一种称做“连接符”的特殊线条来连接对象以显示对象之间的关系。连接符与绘图对象上的粘结点相连，且当你移动连接对象时这种连接关系依然保持不变。在建立组织结构图和技术图表时，连接符非常有用。

显示尺寸

技术图表通常显示绘图中对象的尺寸。在StarSuite Draw中，你可以使用尺寸线计算和显示线性尺寸。

画廊

画廊中含有图像、动画、声音等项，在绘图和其他StarSuite程序中可以插入和使用这些项。

图形文件格式

StarSuite Draw可以将绘图文档以多种常用的图形文件格式输出，如BMP，GIF，JPG和PNG等，其工具栏和视窗如图6-27所示。


图6-27 StarSuite Draw工具栏和视窗

luren04

2．绘制矩形和椭圆，输入文字
StarSuite Draw提供了很多用于建立和编辑矢量图形的功能。本节将为你介绍一些最常用的功能。

单击菜单“文件”→“新建”→“绘图”新建一个空白的绘图文档。

除了空白的绘图页面，还可以看到位于工作区域左侧的主工具栏，以及位于顶端的对象栏。使用“视图”→“图标栏”命令，还可以在视窗下方显示选项栏和颜色栏。

如果新建的不是一个绘图文档，而是一个演示文稿，那么你便会发现StarSuiteImpress和StarSuite Draw的不同之处：演示文稿右边滚动栏上方的按钮显示正处于绘图视图模式，而演示文稿左下角的按钮显示却正处于页面视图模式。

主工具栏中含有几个浮动图标栏，打开这些图标栏后，会显示相关的附加图标。浮动图标栏由图标上的小三角指示，缓慢单击这些图标，可以打开对应的浮动图标栏。由于图标栏是“浮动的”，因此可以将它们从原来的位置拖到工作区域内的任意位置。

（1）打开主工具栏内矩形浮动工具栏，单击浮动工具栏中矩形图标后，鼠标就会变成带有矩形符号的十字形状。

（2）拖拉出一个矩形。这个矩形采用的是程序预置的属性，也就是说你见到的是一个以蓝色填充且带有黑色框边的矩形。矩形上有八个可通过拖拉对象来改变大小的控点。

（3）绘制更多形状。单击“椭圆”图标绘制几个椭圆。你也可以绘制三维对象，如图6-28所示。


图6-28 绘制三维对象

（4）现在可以按顺序单击绘制的各个对象，借助列表框和对象栏中的图标来改变图形的填充色、线条颜色及线条宽度。

3．一个制作图标的例子
这里我们介绍有关一个通过多个步骤、从三维文字和图案制作一个图标的详细过程。

 请你打开这个示例文档Workshop。单击文档页面“第一步”。

 为了能够做一个比较，请使用菜单“文件”→“新建”→“绘图”，新建一个空白绘图文档。

 用鼠标调整空白绘图文档“未命名”和文档WorkShop的窗口大小，让两个文档并排显示。


图6-29 空白绘图文档“未命名”和文档WorkShop并排效果

第一步：先在一个文字框内输入一个大写字母。然后将这个字母放大至 400 点。这样的字体大小有利于仔细观察字母转变成三维图形的变化情况。另外，转变三维字母和其字体设定的大小无关，而程序是按照文字框的大小来转换三维图形的。

 在主工具栏内按一下文字图标，在文档页面上画出一个方框，然后输入一个字母，选择这个字母，设定字体大小为400点。你当然也可以选择一个其他字体，如粗体。

第二步：在选中文字框之后，单击菜单“修改”→“转换”→“变成三维图形”。如果你要更改图形的颜色，可以单击菜单命令格式之中的平面来设定一个新颜色。当然你也能够为图形设定采用一个彩色图案或一个位图图案。

第三步：你能够采用多种方式来修改三维图形。在选中这个三维图形之后，单击菜单“格式”→“三维效果”。这时程序就会打开一个三维效果对话框。在这里你可以设定图形的摄影深度、焦距和距离。另外，你还能够设定图形的照明和纹理。

 我们制作的示例图形的外形比较特殊，你可能看出图形设定的焦距特别小。

第四步：制作的图标应该含有几个美工字。采用相同的方式在一个文字框内输入公司的名称，然后按照需求随意修改和设定字体的属性。如果要让美工字保留边框，你就必须将美工字转变成多边形。单击菜单“修改”→“转变”→“变成多边形”即可。新制作的图形平面也可以做进一步的修改。

 要对公司名称中的每个字的边框进行设定，可以将文字转换成多边形。然后在对象栏上选择线宽大于0.00、样式不是“隐入的”线条，这样可使每个字的边框都可见。接着，为字及其边框分别指定不同的颜色。

第五步：建立一个绘图对象（如椭圆）作为徽标的背景。然后选择“修改”→“排序”将该对象置于底层。

 你也可以使用上下文菜单命令执行上述的各项操作。这些可以省去一些鼠标操作步骤。

这是一个制作图标的成功示例。你只须使用StarSuite执行五个操作步骤就能够制作一个完美的三维图标！

luren04

第7章 用户账号、用户组和角色   
用户的概念是Solaris系统的核心。系统的所有进程和文件都由特定用户所拥有，并分配给特定的用户组。系统如果没有有效的用户和用户组，也就没有了任何的数据活动。Solaris管理员的首要任务就是管理用户。

基于角色的访问控制（Role-Based Access Control，RBAC）是在Solaris 8版本中首次引入的。RBAC是一种新的安全特性，它提供了一种灵活的方式将超级用户特权分给用户号，再也不必给一般用户以超级用户特权，而让他们执行一组需要超级用户特权的任务。

本章中，我们将重点介绍有关用户账号和用户组的基本知识，如何使用命令行的方式在系统中增加用户，或增加、修改用户组，以及RBAC的组成和用来管理RBAC的文件。关于使用图形界面的管理控制工具Solaris Management Console 2.1（SMC）管理用户、用户组和角色，我们将在第8章中介绍。

7.1 用户账号的管理   
每个用户都应该有惟一的账号，它能够标识每个用户并避免用户删除别人的文件。另外，每个用户必须有一个口令。本节主要讲述关于用户账号管理方面的问题。

7.1.1 用户的概述
Solaris系统的每个用户都有一组惟一的标识号和特征参数来区别不同的用户，并在逻辑上形成一些相关的用户组。用户账号可以用于下列目的：

 生成Shell；

 交互执行应用；

 调度应用以按照制定的日期或时间运行；

 访问数据库应用和其他系统服务。

除了用户账号之外，Solaris还有一些用于各种日常维护的系统账户，如root，daemon，bin，sys，lp，adm和uucp，它们的作用如下：

 执行特定任务的系统资源分配；

 运行mail服务器；

 运行web服务器；

 执行进程管理。

用户对Solaris系统的访问可以通过系统控制台或远程终端进行，这些控制台和终端可以工作在图形模式，也可以工作在文本模式。不管是哪一种，用户都需要向系统提交一组认证的证明，包括用户名和口令。用户在输入这些信息后，系统将把用户提交的口令与数据库（/etc/passwd）或隐蔽口令数据库（/etc/shadow）所存储的机密字符串进行比较。如果用户输入的口令已经加密，则它直接与口令数据库的加密项进行比较。如果口令匹配，则用户认证生效，用户可以允许产生一个Shell。

每个用户除了账号和口令外，还有许多其他特征。这些包括：

 用户ID（UID）：这是标记用户的一个整数编号。它从root用户开始编排（UID=0），其他UID顺序分配。但系统会保留1023以前的UID号用于系统账号。普通用户的UID从1024开始分配。

 用户组：这是区分不同用户类型的一种灵活的分组机制。用户组不只是一组相关用户集合的概念，Solaris文件系统除了可以按照个别用户和全体用户来授予权限，还可以按照用户组指定文件访问的读、写和执行权限。每个UID都与一个基本组ID（GID）相关联，但它同时还可以与一个以上的辅助用户组关联。

 主目录：它是用户所创建的所有文件的默认存储位置。

 登录Shell：这是用户交互调用命令或编写程序的地方。Solaris提供各种不同的shell，包括Bourne shell(sh)，C shell(csh)，Bourne again shell(bash)和cornell shell(tcsh)。Shell的选择在很大程度上取决于用户的个人喜好，以及对类C编程结构和终端操作系统的熟练程度。

 用户注释：它通常为用户的全称。但系统账户的注释可以用来描述它们的作用。如一个Apache系统账户的注释就可以采用“Webserver”。

7.1.2 管理用户账号
管理用户账号的内容就是对用户账号进行添加、修改和删除操作。在Solaris 10系统上可以用两种方法来完成：第一种方法是直接使用命令行的命令方式；第二种就是使用图形界面的管理控制工具Solaris Management Console 2.1（SMC）来完成。本章只介绍命令行的方式，至于图形界面管理方式我们将在第8章中做详细介绍，这里不再重复。

1．添加用户账号
使用useradd命令可以增加用户账号，命令格式如下：

useradd [-u uid | -g group] | -d dir | -s shell | -c comment | -m [-k skel_dir] ] login

说明：

u指定用户ID号；

g制定所在组；

d指定用户目录；

s制定用户Shell；

c用户的注释；

m建立用户目录；

login用户的登录名。

例如，在例7-1中，添加新用户为chinaunix，用户所属组为sun，用户的主目录为/export/home/sun，这个用户的注释为“Sun test user.”，用户所使用的Shell为bash。

 例7-1 添加一个新用户。

＃useradd –u 1003 –g 102 –d /export/home/sun –c “Sun test user.” –s /bin/bash –m –k /etc/skel chinaunix

但在下列情况下，useradd命令的执行可能会失败：

 指定的UID已经被另一个用户所占用。UID是可以重复利用的，但是我们在重复使用某个UID之前一定要确保前一个用户已经不存在了。

 指定的GID在系统中不存在。我们可以在组数据库（/etc/group）中确认系统现有的GID。

 注释中包含有特殊字符，如双引号“”、感叹号“！”或斜杠“/”等。

 指定的shell不存在。此时我们可以确认一下指定路径下的shell是否确实存在，并且该shell是否已经列入shell数据库（/etc/shells）中。

在创建用户账号之后，就要马上为用户账号设置一个口令。这可以通过passwd命令来实现。

 例7-2 修改或为用户设置口令。

passwd chinaunix

然后，按照系统提示输入两次口令即可。

2．修改用户账号属性
我们可以使用usermod命令来修改用户账号。例如，如果希望将前面建立的chinaunix账号的UID从1004修改为1005，则可以使用下列命令：

#usermod -u 1005 chinaunix

从中可以看出，usermod命令的参数和useradd命令的参数基本上是一样的。

3．删除用户账号
如果有的用户账号不再需要了，我们可以使用userdel命令删除。例如，永久删除前面建立的chinaunix账号。

#userdel -r chinaunix

使用passwd -l命令可以将账号临时锁定，直到系统管理员给这个账号设定新的口令。

luren04

7.2 用户组的管理   
Solaris可以将用户按照不同的关系分成不同的用户组，每个组都有一个惟一的组名和组标识GID。每个用户都和一个基本组相关联，同时还可以与一个或多个辅助组相关联。

7.2.1 用户组的概述
在Solaris系统中，有关组的信息都存储在组数据库中（/etc/group），但本地的组数据库也可以由NIS/NIS+或LDAP数据库加以补充。让我们来看一个典型的组的构成：

root::0:

other::1:

bin::2:root,daemon

sys::3:root,bin,adm

adm::4:root,daemon

uucp::5:root

mail::6:root

tty::7:root,adm

lp::8:root,adm

nuucp::9:root

staff::10:

daemon::12:root

smmsp::25:

sysadmin::14:

gdm::50:

webservd::80:

nobody::60001:

noaccess::60002:

nogroup::65534:

我们可以看到，排在前面的小的组号一般都与系统功能的账号有关。例如，bin组，它的组成员包括root和daemon；sys组，它的组成员包括root，bin和adm；Staff组，员工组。

我们可以利用groups命令来列出某个用户所属的所有组的清单。例如，如果我们希望查看root用户所属的全部组，可以使用命令：

#groups root

other root bin sys adm uucp mail tty lp daemon

相反，如果我们希望查看哪些用户属于特定的组，可以使用命令：

#getent group groupname

例如，得到root组的信息：

#getent group root

root:*:0:root

7.2.2 管理用户组
本节只是简单介绍了几组管理用户组的命令行方式，有关图形界面的管理方法，我们将在第8章中介绍。

1．增加用户组
使用groupadd命令增加用户组，命令格式如下：

groupadd [-g gid] group

说明：

-g，设置组的ID号；

gid，组的ID号（不能与现有的组ID号重复）；

group，组名。

 例7-3 增加GIU为2001的用户组sun。

#groupadd -g 100 sun

为了确认新的组已经存在于数据库中，可以查看数据库：

#grep sun /etc/group

sun::2001:

2．管理用户组
如果希望在交互会话的过程中从基本组切换到辅助组，以确保所创建的文件能够与正确的GID建立联系，此时可以利用newgrp命令。例如，如果root用户具有如下基本组关系：

#id

uid=0(root) gid=0(root)

但此时我们希望root以另外一个组的组员身份（如sys组）进行操作，可以使用命令：

#newgrp sys

此时，root的GID就切换到sys组：

#id

uid=0(root) gid=3(sys)

此后，root用户再创建的文件和目录，组的属性就是sys组。

如果要删除一个用户组，使用命令groupdel。如删除sun组可用：

#groupdel sun

luren04

7.3 角色的管理   
对于传统的安全性模型，超级用户拥有完全的超级用户特权，而其他的用户没有足够的权限解决他们自己的问题。有了基于角色的访问控制（RBAC），便可以取代传统的安全模型。

有了RBAC，可以将超级用户的能力分成不同的包，并将它们分别分配给分担管理任务的个体。当使用RBAC划分超级用户特权时，用户可以拥有不同程度的访问权限，可以控制对其他用户特权操作的授权。

RBAC包括了如下特性。

 角色：一种特殊类型的用户账号，可以用来执行一套管理任务。

 特征文件（profile）：一种打包机制，用特殊的属性将授权和命令分组。例如，使用用户和组的ID。

 授权：一种用来授予对受限功能的访问权限的权利。

下面我们来分别介绍它们。

7.3.1 角色管理概述
1．角色
实现RBAC功能的第一步就是对准备指派给每个用户的角色进行定义。另外，不同资源的访问权限也必须与具体的角色名联系在一起。对于管理者来说，角色的变化，以及用户与角色关系的调整都是不可避免的。因此，这种变化的角色和用户列表的实现方法应尽可能的简单。另外，单一的任务并不容易实现与单一角色的关联。

比如，一个被定义为“备份操作员”的角色会涉及到ufsdump命令的运行，而这又需要对磁带设备进行写访问操作。此时，备份操作员角色本身就决定了它对这种文件访问的必然性。因此，我们不需要单独为它定义一个新角色。

又如，一个“设备管理员”可能使用命令tapes来对磁带设备执行写访问操作。所以，这些写操作也不能定义为一个新的角色，它自然成为“设备管理员”角色的一部分。

如果一个用户承担某个角色，他的结果要么承担该角色的全部权限，要么就丧失该角色的全部权限。

在默认情况下，Solaris 支持3种不同的系统管理角色。

 主管理员（PA，Primary Administrator）：负责为其他用户分派权限，并负责系统的安全问题。

 系统管理员（SA，System Administrator）：负责与安全无关的日常管理工作。

 操作员（Operator）：执行备份和设备维护操作。

PA和SA之间的区别主要取决于本地的安全策略。例如，尽管默认的PA角色具备添加用户和修改口令的权限，而默认的SA角色并不具备修改口令的权限，但在很多地方，禁止SA的口令访问可能是不现实的。RBAC的一个最大的好处就是它可以按照本地的需求非常方便地分配权限。

2．权限配置文件（Profile）
特征文件是用于授权的一个或一组特定的命令。这些授权连接在一起形成某个角色，并随后与某个用户或某些不同的用户建立关联关系。它们之间的关系如图7-1所示。

我们可以为每个角色创建一个新的用户账号，这些账号拥有自己的主目录和口令。当执行特征文件中的命令时，用户必须使用su命令进入角色账户，因为这种角色用户是不允许直接登录的。


图7-1 授权和特征文件与给予不同用户的角色相关联
通过su命令访问角色账户与通过su命令访问普通账户的一个不同之处在于它们的审计功能，即在通过su命令访问某个角色时，它执行的所有操作，连同用户的原始UID都会被记入日志。这样，每个访问角色的用户操作都会被明确地记入日志并进行审计。

3．授权
所谓授权，就是赋予某个角色执行某项操作的特权，它是在/etc/security/auth_attr文件中定义的。授权的定义形式与Internet的域名非常相似，它的最左边为企业名称，随后是依次细化的软件包和功能内容。

例如，net.cassowary.*就是一个由厂商cassowary.net提供的任何功能授权。

在默认情况下，所有Solaris提供的软件包都是由前缀Solaris来加以识别的。比如，修改口令的授权就是Solaris.admin.usermgr.pswd，而不是com.sun.Solaris.admin.usermgr.pswd。

许多授权的划分都是十分细致的，它可能只允许读访问，而不允许写访问，反之也是如此。比如，主管理员（PA）可能拥有Solaris.admin.usermgr.read和Solaris.admin.usermgr.write的授权，因而可以对用户配置文件分别进行读访问和写访问操作。而系统管理员（SA）虽然可能拥有Solaris.admin.usermgr.read授权，但他并没有Solaris.admin.usermgr.write的授权，因此他可以读用户配置文件，但不能写。

下面是一些Solaris的基本授权：

Solaris.profmgr.read

Solaris.jobs.users, Solaris.mail.mailq

Solaris.admin.usermgr.read

Solaris.admin.logsvc.read

Solaris.admin.fsmgr.read

Solaris.admin.serialmgr.read

Solaris.admin.diskmgr.read

Solaris.admin.procmgr.user, Solaris.compsys.read

Solaris.admin.printer.read

Solaris.admin.prodreg.read

Solaris.admin.dcmgr.read, Solaris.snmp.read

Solaris.project.read, Solaris.admin.patchmg.read

Solaris.network.hosts.read, Solaris.compsys.read

Solaris.admin.volmgr.read

从这里我们看到，Solaris.admin已经定义了一些授权，它们包括文件系统管理（fsmgr）、日志系统管理（logsvc）、端口管理（serialmgr）和用户管理（usermgr）等。

我们还可以利用关键字grant将权限传递给其他用户。一旦关键字grant被附加在一个授权字符串的末尾，即表明该授权可以委托给其他用户。例如，如果Solaris.admin.usermgr. grant授权与Solaris.admin.usermgr.pswd授权配合在一起，则表示口令修改的操作可以由受委托的用户来执行。

4 角色、权限配置文件和授权的关联
如图7-2所示，授权和命令的定义关联起来构成了权限配置文件，该权限配置文件再分派给不同的角色用户来使用。

图7-2 角色、权限配置文件和授权的关联




7.3.2 RBAC数据库
Solaris共有四个RBAC数据库用于角色的管理。

 扩展的用户属性数据库（/etc/user_attr）：将用户、角

色、授权和权限配置文件相关联。

 授权属性数据库（/etc/security/auth_attr）：定义了授权及其授权的属性，标识了相关的帮助文件。

 权限配置文件数据库（/etc/security/prof_attr）：定义权限配置文件，列出权限配置文件分配的授权，标识了相关的帮助文件。

 权限执行属性数据库（/etc/security/exec_attr）：定义了分配给一个权限配置文件的特权操作。

另外，policy.conf文件提供将应用于所有用户的默认属性。

RBAC的几个数据库的相互关系如图7-3所示。

例如，如果“打印机管理”权限配置文件被指定给一个用户或角色，则该用户或角色的user_attr 项包含关键字/值对：

profiles=Printer Management.

prof_attr 文件使用下行定义该配置文件（该文件也指定了帮助文件和授权）：

Printer Management:::Manage printers, daemons,

/ spooling:help=RtPrntAdmin.html;auths=Solaris.admin.printer,

/ Solaris.admin.printer.modify,Solaris.admion.printer.delete

在exec_attr文件中，下行在“打印机管理”配置文件中给命令/usr/sbin/accept指定了一个有效的用户ID = lp：

Printer Management:suser:cmd:::/usr/sbin/accept:euid=lp


图7-3 RBAC的几个数据库关系

1．扩展的用户属性数据库（user_attr）
数据库user_attr是惟一需要的数据库，其他数据库的使用取决于实现哪种安全功能。

/etc/user_attr数据库补充了passwd和shadow数据库。它包含了扩展的用户属性，例如，授权和执行profile。它也帮助你将角色分配给一个用户。

一个角色是一种特殊类型的用户账号，允许一个用户执行一组管理任务。它与一个普通的用户账号类似，只是不通过登录窗口访问角色，只能用su命令来访问他们的角色。

举个user_attr数据库项的实例：

默认的user_attr数据库中的项在下面给出。

root：：：：type=normal；auths=Solaris.*，Solaris．grant；profiles=All

这一项为root分配了做任何事情的权限，使root可以使用系统中所有的命令。它还分配了两项授权。Solaris.*通配符授权为root分配了所有的Solaris授权。Solaris．grant授权使root可以给其他用户分配的任何Solaris授权的权利。

2．授权属性数据库（auth_attr）
授权就是对一种受限的访问给予的权限。它的表现形式是个字符串，标识着授权者和被授权者。

特定的特权程序能够查看授权，并确定用户是否能够执行受限功能。例如，一个要编辑另一个用户的crontab文件的用户需要有Solaris．jobs．admin授权。

所有的授权都被存储在/etc/security/auth_attr数据库中。当直接将授权分配给用户或角色时，授权被输入user_attr数据库中。也可以为执行profile指定授权，这些授权接下来就被分配给用户。

下面的例子给出了默认的auth_attr数据库的一部分。

Solaris.admin.usermgr.:::Users，Groups ＆Mailing Lists::help=UserMgrHeader.html

当授权在auth-attr数据库中定义时，就可以将其分配给一个user-attr数据库中的用户。下面的例子为用户duanf分配了授权Solaris.admin.usermgr．。

duanf::::type=normal；auths=Solaris.admin.usermgr.；roles=sysadmin；profiles=All

3．权限配置文件数据库（prof_attr）
有了权限配置文件，就可以使用特殊的属性将授权和命令分组，并将其分配给用户或角色。特殊的属性包括真正有效的UID和GID。最常见的属性是将真正有效的UID设置为root。权限配置被存储在prof_attr数据库中。

下面的例子给出了默认的prof_attr数据库的设备管理部分。所有以Solaris.device字符串开头的授权都被分配给设备管理配置文件。

Device Management:::Control Access to Removable Media:auths=Solaris.device.*；help=DevMgmt.html

在prof_attr数据库中定义的设备管理配置文件被分配给user_attr数据库中的advanced角色，如下所示：

advanced::::type=role；profiles=Device Management，PrinterManagement

而授权在auth_attr数据库中定义的则如下面的摘要所示：

Solaris.device.::evice Allocation::help=DevAllocHeader.htm l

Solaris.device.allocate:::Allocate Device::help=DevAllocate.htm l

Solaris.device.config:::Configure Device Attributes::help=DevConfig.htm l

Solaris.device.grant::elegate Device Adm inistration::help=DevGrant.htm l

4．权限执行属性数据库（exec_attr）
与权限配置文件相联系的执行属性就是命令。命令能够使被赋予了配置文件的用户或角色运行特殊的安全属性。Exec_attr文件包括了与权限配置文件相关联的一个基本命令列表。

下面的例子给出了在prof＿attr 数据库中定义的打印机管理配置文件。

Printer Management:::ControlAccess to Printer:help＝PrinterMgmt.html

打印机管理配置文件有13 项执行属性，在exec_attr 数据库中为它指定了合适的安全属性，如下所示：

Printer Management:suser:cm d:::/etc/init．d/lp:euid=0

Printer Managem ent:suser:cm d:::/usr/bin/cancel:egid=0

Printer Managem ent:suser:cm d:::/usr/bin/lpset:euid=14

Printer Managem ent:suser:cm d:::/usr/bin/enable:euid=lp

Printer Managem ent:suser:cm d:::/usr/bin/disable:euid=lp

Printer Managem ent:suser:cm d:::/usr/sbin/accept:euid=lp

Printer Managem ent:suser:cm d:::/usr/sbin/reject:euid=lp

Printer Managem ent:suser:cm d:::/usr/sbin/lpadm in:egid=14

Printer Managem ent:suser:cm d:::/usr/sbin/lpfilter:euid=lp

Printer Managem ent:suser:cm d:::/usr/sbin/lpform s:euid=lp

Printer Managem ent:suser:cm d:::/usr/sbin/lpm ove:euid=lp

Printer Managem ent:suser:cm d:::/usr/sbin/lpshut:euid=lp

Printer Managem ent:suser:cm d:::/usr/sbin/lpusers:euid=lp

7.3.3 RBAC命令
以下这些RBAC命令可以用来对各种不同的RBAC数据库进行操作。

1．smexec
smexec命令可以用来创建、更新，以及删除exec_attr命令数据库的行。该命令在执行时必须提供如下三个选项之一：

 add，添加一个数据库行；

 delete，删除一个数据库行；

 modify，更改一个数据库行。

为了执行smexec命令，用户必须具备Solaris.profmgr.execattr.write授权。根据不同的命令选项，smexec可以有两组参数：授权参数和指定参数。

授权参数对于每个选项都是通用的，它们用于指定如下特性：

-domain 管理的域

-hostname:port 执行操作的主机名和端口（默认端口是898）

-rolepassword 角色的认证口令

-password 用户口令（不是角色口令）

-rolename 角色名

-username 用户名

我们可以利用smexec add命令在exec_attr数据库添加行。在命令行中，可以指定如下参数：

-c 指定要添加的新命令名的完整路径

-g  指定执行该新命令的有效GID

-G 指定执行该新命令的实际GID

-n 指定与该命令相关联的特征文件名称

-t cmd 指定该操作为一个命令

-u  指定执行该新命令的有效UID

-U 指定执行该新命令的实际UID

下面是smexec add命令操作的一个例子：

# smexec add -hostname localhost -password xyz123 -username root -- -n

“Print Manager” -t cmd -c /usr/sbin/lpsched -u 0 -g 0

该命令为Printer Manager特征文件添加了一个启动打印服务的能力，它的有效UID和GID都是0（即root）。

我们可以利用smexec delete命令在exec_attr数据库删除行。在命令行中，可以指定如下参数：

-c 指定要删除的命令名的完整路径

-n  指定当前与该命令相关联的特征文件名称

-t cmd 指定该操作为一个命令

如果需要删除exec_attr数据库中lpsched的相应行，可以使用如下命令：

# smexec delete -hostname localhost -password xyz123 username root -- -n

“Print Manager” -t cmd -c /usr/sbin/lpsched

我们可以利用smexec modify命令修改exec_attr数据库中的行。在命令行中，可以指定如下参数：

-c 指定要修改的命令名的完整路径

-g 指定执行修改后命令的有效GID

-G 指定执行修改后命令的实际GID

-n  指定与该命令相关联的修改特征文件的名称

-t cmd 指定该操作是一个命令

-u 指定执行修改后命令的有效UID

-U 指定执行修改后命令的实际UID

以下是smexec modify命令的一个操作例子：

# smexec modify -hostname localhost -password xyz123 username root -- -n

“Print Manager” -t cmd -c /usr/some/new/path/lpsched -u 0 -g 0

该命令将Print Manager特征文件的启动打印服务的命令路径从/usr/sbin/lpsched修改为/usr/some/new/path/lpsched。

2．smmultiuser
smmultiuser命令用来执行批处理操作，诸如添加或删除大量的用户。当需要指定的所有用户数据已经存在于文件中时，该命令会非常有用。例如，一个备份系统可能需要建立一个类似于当前生产系统的设置（setup），此时，我们不仅可以直接复制文件系统，而且可以执行所有涉及新账户创建的操作，诸如主目录的创建等。另外，指定用户数据的文件也可以根据路径名的改变进行更新。例如，如果原始系统的主目录利用NFS被导出，并被挂接到新系统的lexport挂接点下，则相应的用户说明文件的数据也会在处理前执行相应的更新。或者，如果挂接点后来有所改变，系统的用户数据也同样可以利用smmultiuser命令进行修改。

与smexec命令一样，smmultiuser命令在执行时也必须选择如下三个选项：（1）add，添加多个输入项；（2）delete，删除一个或多个输入项；（3）modify，修改一组现有的输入项。为了利用Smmultiuser命令来修改口令，用户必须具备Solaris.profmgr.execattr.write授权。按照Solaris.profmgr.execattr.write授权命令的不同选项，它存在两组参数：授权参数和操作参数。

授权参数对于每个选项都是通用的，它们用于指定如下特性：

-domain 要被管理的域，它可以是本地数据库（file）、NIS（nis）、NIS+(nisplus)、DNS（dns）或LDAP（ldap）。例如，为了利用LDAP对主机foxtrot. cassowary.net进行管理，我们需要将该域指定为ldap://foxtrot/ cassowary.net

-hostname:port 执行操作的主机名和端口（默认端口是898）

-password 用户口令（不是角色口令）

-rolename 角色名

-rolepassword 角色的认证口令

-trust 在批模式下操作时需要用到

-username 用户名

在利用smmultiuser命令进行添加、删除和修改操作时，可以在命令中传递如下的参数：

-i 指定需要读取的输入文件。该文件包含要添加、修改和删除的所有数据项

-L 指定用于记录批作业中每个操作成败的日志文件名称

在下面的例子中，我们从/home/paul/newaccounts.txt中读取一组记录并添加到系统中：

# smmultiuser add –hostname localhost –p xyz123 username root -- -I

/home/paul/newaccounts.txt

3．smuser
smuser命令可以用来执行对用户账户的操作，无论是从本地用户数据库还是从NIS/NIS＋检索数据，它和smmultiuser类似。但是该命令通常只用来添加单个用户，而不是在批模式下添加一组用户。除了添加、删除，以及修改用户条目，也可以检索并列出现存的用户数据。执行该命令时必须提供四个选项中的一个；add用于添加一个条目；delete用于删除一个条目；list用于列出所有现存的条目；modify用于更新一个条目。要使用Smuser的选项add，delete或modify，用户必须有Solaris.profmgr.execattr.write授权。但是，只需要Solaris.admin.usermgr.write授权就可以列出条目。

有两套参数可以传递给Smuser（取决于选择了哪个选项）：授权参数和每个选项的具体参数。授权参数对每个选项都是通用的，它们确定了如下特征：

-domain 要被管理的域，它可以是本地数据库（file），NIS（nis），NIS+(nisplus)，DNS（dns）或LDAP（ldap）。为了利用LDAP对主机foxtrot.cassowary. net进行管理，我们需要将该域指定为ldap://foxtrot/cassowary.net

-hostname:port 执行操作的主机名和端口（默认端口是898）

-password 用户口令（不是角色口令）

-rolename 角色名

-rolepassword 角色的认证口令

-username 用户名

在利用smuser add命令添加项时，它的参数与我们讨论的利用useradd命令添加用户的参数类似，以下是我们可以在命令行中传递的参数：

-c 指定账户的说明，例如：“Joe Bloggs”

-d 指定用户的主目录

-e 指定账户的有效日期

-f 指定账户过期前的非活动天数限制

-F 指定账户全名，该名称不允许与域中其他账户相同

-g 指定账户的GID

-n 指定账户的名称

-P 指定账户的口令

-s 指定默认Shell

-u 指定账户的UID

下面是smuser add命令的一个例子：

# smuser add –H localhost –p xyz123 –u root -- -F “Paul Watters” –n walrus –c “Paul A Watters Director” –p jimmy123 –g 10 –u 1025

该命令在系统中为Paul Watters添加了一个账户walrus，该账户的口令为jimmy123，账户UID为1025，GID为10。

当利用smuser delete命令删除账户时，我们只需要在命令行中通过-n参数来指定要删除的账户名称。例如，在下面的命令中，我们将从localhost中删除账户warus：

# smuser delete -H localhost -p xyz123 -u root -- -n walrus

smuser list命令可以用来显示一个不带任何参数的用户列表，该命令形式如下：

# smuser list -H localhost -p xyz123 -u root -

当利用smuser modify命令修改用户账户时，命令行的参数与smuser add命令的参数相同，命令中的任何新参数值都会导致相应字段的更新。例如，如果需要将某个用户的默认Shell修改为Korn shell，可以使用如下命令：

# smuser update -H localhost -p xyz123 -u root -- -n walrus -s /bin/ksh

4．smprofile
smprofile命令可以用来创建、列出、更新及删除prof_attr数据库中的特征文件，它们所对应的命令分别为smprofile add，smprofie list，smprofile modify和smprofile delete。命令所使用的授权参数和smuser及smexec命令的参数类似。在利用smprofile add来添加特征文件时，可以在命令行上传递如下参数：

-a 添加单一授权或一组授权

-d 为新的特征文件添加说明

-m 指明与该特征文件相关联的HTML帮助文件的路径

-n 指定该特征文件的名称

以下是smprofile add命令的一个例子：

# smprofile add -H localhost -p xyz123 -u root -- -n “Password Manager” \

-d “Change user passwords” -a Solaris.admin.usermgr.pswd \

-m PasswordManager.html

该命令为Password Manager添加了一个特征文件，使它拥有Solaris.admin.usermgr.pswd授权，可以执行口令修改的操作。

当我们希望利用smprofile list列出特征文件的列表时，只要不在命令行中指定-n参数就可以了。如果指定-n参数，则意味着指定列出的特征文件名字。下面是smprofile list命令的一个例子：

# smprofile list -H localhost -p xyz123 -u root -

当利用smprofile modify命令来修改特征文件时，命令行的参数与smprofile add命令的参数相同，命令中的任何新参数值都会导致相应字段的更新。下面是smprofile modify命令的一个例子：

# smprofile modify -H localhost -p xyz123 -u root -- \

-n “Password Manager” -d “Modify user passwords”

该例子通过-d参数修改了Password Manager特征文件的说明文字内容。

为了利用smprofile delete命令来删除某个特征文件，我们可以在命令行利用-n参数来指定要删除的特征文件名称。下面是smprofile delete命令的一个例子：

# smprofile add -H localhost -p xyz123 -u root -- \

-n “Password Manager”

5．smrole
smrole命令可以执行有关角色账户的操作，它通常只是用来添加单个角色，而不是以批模式的方式来添加一组角色。Smrole命令除了执行添加、删除和修改角色账户的操作外，还可以对现有角色数据执行提取和列出操作。为此，该命令在执行时必须指定如下四个选项之一：（1）add，添加一个角色账户；（2）delete，删除一个角色账户；（3）list，列出现有的所有角色账户；（4）modify，修改某个现有角色账户。为了执行smrole add，delete或modify操作，用户必须拥有Solaris.role.write授权。但是，如果只是执行smrole list操作，则用户只需要Solaris.admin.usermgr.read授权。根据不同的命令选项，Smrole命令共有两种参数：授权参数和指定参数。Smrole命令的授权参数与smuser命令的授权参数相同。

在利用smrole add命令添加角色时，可以在命令行中传递如下参数：

-c 指定角色账户的说明，例如“System Manager”

-d 指定角色账户的主目录

-G 指明该角色账户的辅助GID，因为这里的基本GID总是sysadmin

-n 指定角色的名称

-P 指定账户的口令

-s 指定默认Shell

-u 指定账户的UID

下面是一个使用smrole add命令的例子：

＃ smrole add -H localhost -p xyz123 -u root -- -F ”System Manager” \

-n bofh -P abc123 -G 10 -u 666

这个命令在系统中为System Manager添加了一个名为bofh的账户，该账户的口令为abc123，账户UID为666，辅助GID为10。

当利用smrole delete命令删除角色账户时，我们只需要在命令行中通过-n参数指定要删除的角色账户名称即可。例如，在下面的命令中，我们将从localhost中删除角色账户bofh：

＃ smrole delete -H localhost -p xyz123 -u root -- -n bofh

smrole list命令可以用来显示一个不带任何参数的角色列表，该命令如下：

＃ smrole list -H localhost -p xyz123 -u root --

当我们利用smrole modify命令修改角色账户时，命令行的参数与smrole add命令的参数相同，命令中的任何新参数值都会导致相应字段的更新。例如，如果需要将某个角色的默认Shell修改为Bourne Shell，则可以使用如下命令：

＃ smrole update -H localhost -p xyz123 -u root -- -n walrus -s /bin/sh

luren04

第8章 Solaris管理控制台   
过去，Sun曾多次尝试开发一种易用和可扩展的GUI界面，以便用于Solaris单机或多机系统的管理。以前，作为Solaris主要GUI管理工具的admintool是由Solaris的分销商提供的。但是自从Solaris 8 Admin Pack发布以后，Solaris又增添了一种新的可用工具，这就是Solaris管理控制台（SMC）。在Solaris 10中，SMC已经是2.1版本了。本章中，我们将介绍SMC在单服务器和多服务器环境下的各种可用的管理功能。

luren04

8.1 Solaris管理控制台概述   
Solaris管理控制台（SMC，Solaris Management Console）是专门用来替代Admintool的，因为作为GUI系统管理工具，Admintool只提供了一组有限的工具，并且缺乏扩展性。对于那些经验丰富的老手来说，他们对于GUI工具的需求可能并不那么急迫，但是SMC确实提供了一种在单一界面下实现大量服务器的管理方法，并可以容易地实现它的核心接口功能的扩展。这意味着，我们可以将定制应用添加到管理工具箱中，或者通过适当的命令来实现特定系统管理应用的汇集。这里需要注意的是，SMC并不会给执行单机系统管理的系统管理员带来太多的好处，作为一种高级系统管理工具，它更适合那些涉及大量系统管理的站点使用。

8.1.1 Solaris管理控制台工具箱的概述
Solaris管理控制台使用工具箱的观念。SMC有三个主要的组件：

 SMC用户机，也称为“SMC”或“控制台”；

 SMC服务器；

 SMC工具箱编辑器。

若须引导每一个SMC组件的指示，请参阅引导SMC。关于“控制台”窗口及其组件的描述，请参阅控制台描述。

SMC工具箱是已经以smcconf(1MB)注册的工具箱。它是文件夹、工具、传统应用程序及链接至其他工具箱的层次集合。请参阅打开服务器工具箱或打开本机工具箱以取得指示。

关于创建或编辑工具箱的信息，请参阅SMC工具箱编辑器概述。

根工具箱或容器称为“管理工具”。它的默认行为是寻找主机（本计算机）上的工具箱，并在SMC引导时将它链接起来。你可以将工具箱增加（链接）到“管理工具”。关于将工具箱新增至主要服务器工具箱的指示，请参阅将工具箱新增至管理工具。

工具箱允许你将工具群组成一致性、用户导向的层次。此工具箱称为“本计算机”，是SMC服务器的默认工具箱，依照默认选项，工具箱包含下列种类（文件夹）及工具。

 系统状态：系统信息、日志查看器、处理、性能；

 系统配置：用户、项目、计算机和网络、补丁；

 服务：排定的工作；

 存储设备：安装及共同、磁盘、增强存储器；

 设备及硬件：串口。

使用SMC工具箱编辑器，你可以修改现存的工具箱或者创建其他不同目的的工具箱，包含从一个工具箱管理多个服务器，以及将工具箱中相似的工具群组起来。工具箱可包含文件夹、工具，以及其他工具箱的链接。

文件夹是在工具箱内群组工具的容器。

工具是一种与SMC兼容的应用程序／小组件，其紧密地结合至“控制台”。SMC工具是使用SMC SDK创建的。关于在“控制台”中查看执行中工具的指示，请参阅在控制台中装入工具。

工具箱URL或链接是指向另外一个可能在当前的SMC服务器或任何其他SMC服务器上工具箱的指标。

传统应用程序是一种不是SMC工具的应用程序；传统应用程序可以是script，X应用程序或URL。

8.1.2 控制台描述
依照系统的默认设置，控制台桌面共有三个窗口：

 导航窗口；

 查看窗口；

 信息窗口。

下面是控制台桌面的窗口，如图8-1所示。

导航窗口

左方或“导航”窗口的功能就像网页中的框架一样，只要单击“导航”窗口中某个项目，则该项目便会出现在“查看”窗口中。“转动器”图标会显示在代表项目群组的项目旁边。单击该图标或连续双击图标旁边的文字可以展开或隐藏该群组。

“导航”窗口显示与否，取决于“查看”菜单中的“显示”设置，详细信息请参阅查看菜单。

查看窗口

右方或“查看”窗口会显示在“导航”窗口中选择的节点内容。内容可以是文件夹或工具。


图8-1 SMC控制台桌面窗口

如果在“导航”窗口中所选择的节点是文件夹，该文件夹的内容就会显示在“查看”窗口中。

如果选择的节点是简单的工具，就像“日期／时间”工具，时钟就可能会显示出来。如果选择的节点是复杂的工具，就像“用户管理员”，内容可能会是用户账户和电子邮件账户的子工具。选择用户账户节点和可能会显示出来的用户清单，并更改“动作”菜单使其允许编辑清单。

信息窗口

在控制台下方的“信息”窗口会视选择的“内容说明”或控制台事件标记来决定显示“导航”窗口中选择的对象的内容说明或警报类型清单。

“信息”窗口显示与否，取决于“查看”菜单中的“显示”设置，详细信息请参阅查看菜单。

在“查看”→“显示”菜单中，我们可以控制SMC控制台的显示选择，共3列：

 工具列；

 位置列；

 状态列。

工具列

“工具列”和一般的软件的工具列一样，位于主控菜单的下方。

位置列

“位置列”位于控制台的工具列下方，包含一个“主工具箱”图标、“工具箱”字段（指示当前的工具箱以及在工具箱中所选择的项目），以及下拉菜单（包含最近所造访过的工具箱）。单击“主工具箱”图标，以打开主工具箱。从下拉菜单中选择工具箱，以便打开该工具箱。


图8-2 SMC的列显示

状态列

“状态列”位于控制台位置列的下方。“状态列”的左边窗口会显示“导航”窗口中选择的节点下的项目（节点）数目。“状态列”的中间窗口指示“控制台”的活动。“状态列”的右边窗口则会提供一些“控制台”工作期间的进度信息，包括打开工具箱文件。

8.1.3 Solaris管理控制台的功能概述
SMC除了对用户和用户组的管理之外，还可以对系统和应用软件包进行管理。它的基于Java程序的用户界面，让我们可以通过单一系统来实现多系统的管理。SMC的管理功能包括被管理系统的重新引导或关机、root口令的设置、PPP支持的启动，以及类似DNS这样的命名服务的管理等。另外，它还可以实时查看进程，以及诸如虚拟内存和物理内存等系统资源。以下是SMC内部工具箱软件所能完成的各种管理任务的汇总：

 为用户分派权限和角色；

 执行系统新磁盘的配置和格式化，包括磁盘分区规划和准备RAID的配置盘拷贝等；

 创建单一用户账户，或按照统一的规范生成多个账户；

 创建新的用户组或修改现有用户组；

 创建并实施用户策略；

 实时执行作业或定时、周期性地高度作业；

 为串行口、调制解调器，以及相关物理层技术（如PPP）提供安装支持；

 监视进程运行，查找各种恢复、删除或挂起的进程；

 查看系统日志，查找异常或可疑的日志记录；

 建立邮件列表；

 查看挂接的文件系统。

这些管理操作和应用并不是由SMC直接提供的，SMC提供的只是访问这些操作和应用的界面。

luren04

8.2 启动SMC   
SMC的运行主要是收集系统数据，提供查看数据的界面，并在这些数据的基础上执行相应的管理任务。对于不同的服务器，它可以存储本地化的工具箱。

启动Solaris管理控制台的方法有两种。

“控制台”的引导方式如下：从CDE前方面板上的“工具”菜单，或者在“应用管理程序”或“文件管理程序”中连续双击SMC图标。

如果没有高分辨率的图形卡或监视器，SMC还可以采用命令行的方式启动。键入smc （依照系统默认设置，位于/usr/sadm/bin中），然后单击“Return”按钮就可以启动。

SMC还提供了另外一种编辑运行模式，主要用于工具箱的修改或更新。键入smc edit （依照默认，位于/usr/sadm/bin中），然后单击“Return”按钮。

SMC命令包括如下启动选项：

-auth-data，允许从文件中读取身份认证数据。

-toolbox，约定工具箱名称从文件读入。另一种方式是指定一个指向工具箱所在的位置的URL地址。

-domain，指定被管理系统的域名，它支持LDAP，DNS，NIS和NIS+域。DNS域cassowary.net的主机midnight的URL形式为dns:/midnight/cassowary.net。

 -hostname:port，指定被管理服务器的主机名和端口号，默认端口号为898。

 -J，将任意命令行选项传递给Java虚拟机，如heap的初始大小和最大值等。

 -rolepassword，指定角色名的口令。

 -password，指定用户名的口令。

 -rolename，指定执行SMC的角色。

 -t，在终端模式下执行SMC。

 -trust，允许所有下载代码都是可信的。

 -tool，指定执行的工具。

 -username，指定执行SMC的用户名。

 -yes，在默认情况下，对所有交互问题均以yes应答。

注意：你可以用最终用户的身份引导SMC，但是某些工具或应用程序可能不能装入，除非以root登录，或者你在SMC服务器登录期间担任一个角色。

“控制台”“快闪屏幕”会显示出来，并有消息指出程序正在装入。快闪屏幕会由“控制台”窗口取代。依据工具装入首选设置的设置值，“控制台”会打开工具箱，或者“登录”对话框会显示在“控制台”上方。

 如果你不能执行SMC，这可能是因为SMC服务器不在执行中或是处于有问题的状态。判断SMC服务器是否正在执行：

以root登录，请键入/etc/init.d/init.wbem status。

 如果SMC服务器正在执行，你应该得到如下的响应：“SMC server version 2.1.0 running on port 898”。

引导SMC服务器：

以root登录，请键入/etc/init.d/init.wbem start。

在短暂时间之后，应该返回消息：“SMC server started”。

停止SMC服务器：

以root登录，请键入/etc/init.d/init.wbem stop。

应该返回消息：“SMC stopped”。

luren04

8.3 使用SMC系统管理工具   
当启动SMC后，如果要进入相应的栏目，就需要再次认证。我们双击它的图标，就会出现该屏幕的认证（如图8-3所示），输入管理员的密码后，就能连接到命令行或文本框指定的服务器上。一般来说，这里的管理员应为root，但也可以是分派为管理角色的非特权用户。


图8-3 管理员认证窗口

8.3.1 系统状态栏目介绍
系统状态栏目是描述系统状态信息的。它包括日志查看器、系统信息、进程和性能几个子栏目。图8-4所示的就是显示系统日志的查看器。从图中我们可以看出，某个用户在某个时间都做了什么样的操作。看起来和微软的视窗有点类似。


图8-4 SMC日志查看器

单击选定的日志就可以查看到该日志的详细信息。

在SMC中选定图标或文字栏目后，可以通过工具栏上的“动作”按钮来查看我们可以进行的下一步动作，如图8-5所示。


图8-5 在日志查看子栏目中的可选择的动作

“系统信息”子栏目中显示了系统的所有概要信息。由于“导航窗口”下面的“管理工具”中列出的是“本计算机”，所以图8-6中显示的是本计算机的概要信息。

图8-6 本计算机中的概要信息

这些基本信息非常直观。图8-7就是这些基本信息的列表，相信读者能非常容易理解。

图8-7 详细信息列表

对系统进程的管理在“进程”子栏目，单击它就会显示当前系统中正在运行的所有进程，如图8-8所示。


图8-8 系统进程列表

此时，如果我们双击init进程，就可查看该进程的详细信息，如图8-9所示。

图8-9 init进程的详细信息

在“系统性能”子栏目中，我们能查看有关系统的性能情况。这里有系统性能摘要信息、系统项目的性能管理和系统的用户性能管理，如图8-10所示。


图8-10 系统性能

luren04

8.3.2 系统配置栏目介绍
系统配置就是配置被管理的计算机网络、用户和资源等方面的内容。该栏目中有四个子栏目，分别是“计算机和网络”、“修补程序”、“项目”和“用户”，如图8-11所示。


图8-11 系统配置栏目

“计算机和网络”就是配置计算机网络方面的配置。

“修补程序”就是系统补丁方面的管理配置。

“项目”就是系统的项目管理方面的配置。

“用户”就是用户方面管理的配置。

限于本书篇幅，我们主要介绍系统用户管理方面的配置。这也是第6章用户管理中内容的继续。

用户管理界面如图8-12所示。


图8-12 用户管理界面

通过这个界面，我们可以对计算机用户进行管理。它包括用户的账号、用户模板、权限、管理角色、群组和邮件清单等内容。

用户账号：为本系统添加和删除用户的账号。

用户模板：创建或删除用户的模板，用户模板是为了成批的创建大量用户而使用的。

权限：通过一些命令和现成的权限，组成新的权限，可以调用一些命令。

管理角色：创建或删除某种角色。

群组：创建或删除用户组。

邮件清单：为用户建立或删除邮件清单。

1．增添用户
增添用户，使用“动作”栏目中的“增添用户”选项，如图8-13所示。

以下的步骤非常简单，和Windows有点类似，这里就不再详细描述了。


图8-13 增添用户

2．增加权限
权限就是一些命令的集合。使用SMC我们可以方便地设定一些权限。图8-14是增加权限的引导图。


图8-14 增加权限的引导图

在选择“增加权限”命令后，就会出现下面的引导，引导共有四个栏目，通过指令和一些授权就可以生成新的权限。如图8-15～图8-18所示。

图8-15 设定权限的名字


图8-16 选择指令对话框

图8-17 选择授权对话框


图8-18 选择增添辅助权限的对话框

通过上面的步骤，就完成了一个权限的添加。

3．增加角色
角色的定义我们在第7章中已经讲过，这里我们主要介绍如何利用SMC的图形界面来添加角色。

增加角色的步骤如下：

先选择“动作”→“增加管理角色”，如图8-19所示。

图8-19 增加角色

紧接着就进入增加管理角色的步骤，第一步是设定新增角色的名字，如图8-20所示。

第二步，设定新增角色的口令，如图8-21所示。

第三步，设定新增角色的权限，如图8-22所示。

图8-20 设定新增角色的名字

图8-21 设定新增角色的口令

图8-22 设定新增角色的权限

还有一些步骤，限于篇幅，这里不再列出。

最后，出现如图8-23所示的界面，单击“完成”按钮即可完成角色的添加。

图8-23 角色添加完成

4．增加群组
在SMC中，“群组”就是我们在第7章所描述的“用户组”。使用SMC图形来管理群组是很方便的。下面我们就来介绍添加群组的步骤。

首先，启动“群组添加”，如图8-24所示。

图8-24 添加群组

添加群组的引导图比较简单，这里不再多说。

8.3.3 服务栏目介绍
SMC的服务栏目中目前的内容并不多，只有一项，就是“调度的工作”。其实就是命令行中的crontab和at命令。它们具有定时启动某个应用程序或系统命令的功能。

在这个栏目中，我们可以查看系统具有哪些定时的工作，然后设置或修改这些定时的工作内容。系统定时服务的内容如图8-25所示。


图8-25 系统的定时服务

8.3.4 保存栏目介绍
在“保存”栏目中，共有三个子栏目。它们分别是“磁盘”、“安装和共享”及“增强存储器”。

其中，“磁盘”栏目就是显示磁盘的类型、容量和已经使用量等。图8-26显示了磁盘的信息。

“安装和共享”栏目的内容就是进行磁盘的安装、使用和共享的管理，如图8-27所示。我们使用这些工具的好处就是非常直观、方便。

系统安装点的管理如图8-28所示。

在“增强存储器”栏目中可以进行磁盘卷的管理，如磁盘卷的创建和删除。如图8-29所示。


图8-26 磁盘信息



图8-27 磁盘的安装、使用和共享的管理


图8-28 系统安装点的管理

图8-29 增强存储器