[发明专利]用户root权限集中管理系统和管理方法

说明书

技术领域

本发明涉及计算机技术，尤其涉及计算机操作系统中的用户root权限集中管理系统和管理方法。

背景技术

root（根）权限，是系统权限的一种，与System（系统）权限可以理解成一个概念，但高于Administrator（管理员）权限；root帐户是Linux和Unix系统中的超级管理员用户帐户，该帐户拥有整个系统最高权限，可以启动或停止一个进程，删除或增加用户，增加或者禁用硬件等等。

例如，在Linux系统中拥有root权限的用户可以在命令行输入root权限命令来执行某些功能。对于非root用户的普通用户，操作系统也可允许其使用某些root权限命令：在Linux系统的配置文件/etc/sudoers中记录了普通用户的用户名，以及采用该用户名进行登录的用户可使用的root权限命令之间的对应关系。当用户以该用户名登录系统后，若在命令行输入root权限命令，则操作系统先查找配置文件/etc/sudoers中记载的该用户名所对应的root权限命令，若其中包括了用户当前输入的命令，则表明该用户已被授权，操作系统执行该命令；若其中不包括用户当前输入的命令，则表明该用户未被授权使用该命令，操作系统将拒绝执行该命令。Root用户具有修改上述配置文件/etc/sudoers的权限。

对于单台服务器的操作系统的root权限管理，可以通过root用户修改配置文件/etc/sudoers来完成；如果需要对多台服务器的操作系统中的root权限命令进行集中管理，则会比较繁琐；通常采用的用户root权限集中管理系统，如图1所示，该系统中需要对多个服务器集群中的各服务器的操作系统中的root权限命令进行集中管理；例如，需要对服务器集群A、B、C中的各服务器的操作系统中的root权限命令进行集中管理。那么，管理员按照配置文件格式，在配置文件中修改或添加了用户权限信息后提交到SVN（Subversion，是一个开放源代码的版本控制系统），由SVN进一步下发到Cfengine（一种Unix管理工具）根节点，由Cfengine根节点进一步下发到Cfengine二级节点，由Cfengine二级节点将配置文件下发到与本节点通信的服务器集群中的各服务器。

以用户A申请服务器集群A中的服务器A（10.0.0.1）权限为例进行说明：拥有root权限的管理员通过SVN获取最新的配置文件/etc/sudoers的信息后，修改或添加用户A的权限信息：

Cmnd_Alias      CMD_CAT       =/bin/cat

USERA       10.0.0.1    =root   NOPASSWD：CMD_CAT

其表明用户A对IP地址为10.0.0.1的服务器A拥有的root权限命令/bin/cat的执行权限。

管理员将修改后的配置文件提交到SVN，由SVN通过Cfengine根节点、由Cfengine根节点通过各Cfengine二级节点、由各Cfengine二级节点向与本节点通信的服务器集群中的各服务器发送。

在服务器A获取到配置文件后，授权操作完成；用户A登录服务器A的操作系统后，根据配置文件可以使用root权限命令/bin/cat。

然而，本发明的发明人发现，现有技术的系统还将上述配置文件下发到了其它服务器中；对于其它服务器而言，配置文件中记录的用户A对服务器A所拥有的/bin/cat的执行权限为冗余信息；随着需要集中管理的服务器的数量的剧增，用户数量的增加，配置文件中记录的冗余信息将巨幅增长，造成资源浪费。

发明内容

本发明的实施例提供了一种用户root权限集中管理系统和管理方法，用以节约用户root权限集中管理系统中的资源。

根据本发明的一个方面，提供了一种root权限命令集中授权系统，包括：授权管理服务器、数据中心，以及服务器集群；其中，

所述授权管理服务器用于接收具有root权限的管理员输入的用户权限修改信息后，生成相应的数据库操作语句；并根据生成的数据库操作语句，更新所述数据中心的权限信息数据库中的记录；

所述服务器集群中的服务器在用户登录、输入root权限命令后，根据该用户登录的用户名生成查询条件，向所述数据中心发送携带所述查询条件的查询请求；所述数据中心根据接收的查询请求，将所述权限信息数据库中与所述查询条件相匹配的用户权限的信息作为查询结果返回；所述服务器根据返回的查询结果确认权限验证是否通过；若确认通过，则执行输入的root权限命令；