shterm与Tivoli的比较

  • 格式:doc
  • 大小:97.50 KB
  • 文档页数:3

在实现原理上:
IBM Tivoli Access Manager For Operation System:在被管理设备上安装代理程序(Agent),代理程序会修改被管理系统自身的内核,在系统调用前进行拦截,实现控制;
代理程序会接管用户的登陆请求,将认证送往LDAP服务器,进行集中的身份认证;
系统上的密码不再有效,完全依赖LDAP服务器里设置的密码;
福富SOM:通过让用户首先集中登录到SOM,然后再跳转到被管理设备上,SOM上可以进行集中的账号密码管理、访问控制、权限控制和操作审计。

不同的实现模式导致不同的结果,具体差别如下:
可扩展性:
AMOS只能支持Aix 4.3.3、5.1、5.2;Solaris 2.7、2.8、2.9;HP UNIX 11.0、11i;SuSE Linux、United Linux 1.0这几类服务器设备;
SOM能够支持各种Unix、Linux平台系统服务器的所有版本;除了支持这些服务器设备外,同时,还能够支持各种型号的网络设备,比如CISCO、HUAWEI、Juniper等的交换机、路由器,以及NetApp、EMC的存储设备等,SOM能够最大程度保护客户现有投资,同时不影响客户以后的设备选型和扩容。

设备影响性:
AMOS需要安装agent在设备上,很容易就会影响现有设备的稳定性;
它的实施周期长,部署复杂(多种平台使用多种agent,同一平台的不同版本需要不同的agent),升级维护麻烦(服务器本身的操作系统升级,可能产生agent不兼容的问题,需要重新部署新版本的agent)
被管理设备的超级用户root仍然能够通过某种操作来绕过agent的功能,脱离控制和监控审计;SOM:不需要在客户的设备上进行任何安装,也不需要在客户的网络上做任何调整,就能实现5分钟之内快速上线,快速部署(部署完成时间极短,100台的设备可以在一周内完成);SOM对用户的现有应用和服务不会有任何风险
在审计上:
AMOS得到的审计记录是用户在不同设备上彼此独立的操作,即使用户是在一次操作中完成的;
因此无法很快判断用户的操作动机;
SOM可以解决用户在多台设备见连续跳转登陆的关联记录和分析;能够实时查看用户的操作;能够触发危险操作及时报警,能够实时阻断用户危险操作,能够从任何一条操作开始回放,同时进行细粒度的搜索
在身份管理上:
SOM能够解决共享账号带来的身份识别问题,一方面不改变用户现有设备上的帐号和密码的使用,另一方面,能够准确识别每一次使用的具体操作人员;
SOM的临时用户机制,在保证对代维人员的有效监管上,还能对帐号进行定期回收;
SOM能够实现对设备密码的定期修改,会按照客户制定的策略,定期修改设备上帐号的密码,并将修改后的密码以加密邮件的方式发送给指定的密码保管员;。