[发明专利]使用组件目标在一个或多个分布和集成系统中定义角色

说明书

技术领域

本发明一般地涉及分布式计算机系统，具体地说，本发明涉及用于在此类系统中定义角色的方法和系统。

背景技术

在服务器联合环境的分布或集成计算机系统中，如计算机集群或BladeCenter或大型计算机集群内的BladeCenter，由于各种行业实践和管制要求，需要对职能进行分离。当构建中央管理服务器或模块时，这种职能分离经常被折衷。在当前实践中，业内通常为各种认证用户定义角色或在整个集群中的身份。经由中央管理服务器的集群管理操作提供了跨整个集群中的所有组件的访问并能够执行集群范围的授权任务。

集群被认为是大部分任务的安全领域。业内利用不定义用户的实例或在特定组件上的身份的概念来解决这个问题。这需要大量的管理任务来由客户从期望的组件上移除身份，并且在有些情况下限制了对系统的使用。例如，用户可能需要对整个集群的每个组件中的每个独立资源生成访问控制列表(ACL)或保护机制，以限制对目标子集上的特定资源的访问。

发明内容

本发明的一个方面是改进分布式计算机系统。

本发明的另一个方面是通过执行数量更少的命令来允许减少服务器和计算机网络资源消耗。

本发明的另一个方面是允许在分布式计算机系统的中央管理服务器或模块上的一个角色定义来实施对系统的各组件的访问。

本发明的一个方面是通过构建是授权任务和任务目标的交集的角色来提供对分布式计算机系统中的一些组件的子集访问的能力。

根据本发明，通过在包括用于给定身份的一对多授权以及将被授权的组件目标的中央管理服务器上创建角色，来实现这些和其他方面。根据任务和任务将在其上完成的组件的交集来定义所述授权。然后将此组合授权与特定身份关联。当启动任务时，中央管理服务器确定是否已为该任务授权身份以及它可以针对哪些组件执行该任务。基础结构然后生成适合的子命令并且仅对包含在来自发起请求的请求组件列表中的授权组件执行这些子命令。对于与请求身份关联的任务，不会对没有包括在授权列表中的请求组件做出任何执行尝试。

与客户必需对整个集群的每个组件中的每个独立资源生成ACL(访问控制列表)或保护机制相对，通过构建是授权任务和任务目标的交集的角色来提供对一些组件的子集访问的能力，允许在中央管理服务器或模块上的一个角色定义来实施访问。

附图说明

现在将参考附图仅通过实例的方式描述本发明的优选实施例，这些附图是：

图1示出了其中可以实现本发明的实施例的集群计算机系统环境；

图2显示了根据本发明的优选实施例的用于节点和图1的计算机集群的中央管理服务器的功能栈；

图3显示了在本发明的优选实施例的第一部分中执行的安全职员任务；

图4和图5示出了可在本发明的优选实施例的第二部分执行的管理任务的示例；以及

图6和图7示出了可在本发明的优选实施例的第二部分执行的管理任务的另一个示例。

具体实施方式

图1显示了通用集群系统环境。该环境包括中央管理服务器100，优选为IBM集群管理服务器(CMS)，以及集群中的一组节点101、102、103，优选地，这些节点是IBM的P-Series服务器。这些节点通常是管理任务的目标。图1还显示了网络交换机、电缆线路和协议栈，标为110，其被各种节点和CMS使用来进行通信，还显示了永久性存储装置130，其通常是类似于IBM 2107存储系统的多个盘驱动器。

参考图2，在210、211处表示了用户或身份，其例如可以是具有如UNIX开放组标准定义的UID结构的UNIX用户。在220处表示了类似于MIT Kerberos的认证机制，以及在231、232处表示了一组角色，该组角色在集群中被定义为具有执行一个到N个任务的能力。图2还显示了对集群中的所有定义节点进行可选执行的远程执行机制。合适的远程执行机制的示例是具有-a选项的IBM AIX CSM dsh命令，该-a选项将作为自变量执行命令并将对集群数据库235中定义的所有节点执行该命令。

图2还表示了集群管理软件(其优选地为AIX 230的IBM集群系统管理器功能)、在所有服务器上的操作系统240，以及安全职员或超级特权用户身份219。在250表示了可被像文件系统那样操作的一组资源，以及在260表示了包含所有集群定义的集群管理数据库。