移动资管系统权限管理子系统操作手册v3.0.doc

浪潮乐金权限管理子系统用户操作手册 权限管理子系统操作手册版本号：30浪潮乐金信息系统有限公司2005年7月目录第一章 引言 41.1 编写目的 412 背景 413 定义 414 参考资料 51.5 用户的特点 51.6 使用范围 51.7 使用环境 5第二章 系统操作 621 功能概述 62.11 模块关系图 62.1.2 赋权流程 62.1.3 权限规则 72.2 登录 722.1 操作 72.22 说明 82.3 用户管理 92.31 新建用户 92.32 用户查询 1223.3 修改密码 1523.4 退出登录 152.4 用户组管理 1521 新建组 162.42 组查询 192.5 角色管理 232.5.1 角色新建 2422 角色查询 252.6 功能维护 2826.1 功能类型 282.6.2 功能项 3027 资源管理 3121 新增资源 3227.2 资源查询 342.8 基本信息管理 3521 员工信息 352.82 部门管理 362.9 系统维护 4029.1 规则维护 4029.2 参数设置 4223 LDAP同步 442.10 取回密码 442。

101 密码保护 4422 取回密码 45211 帮助 452.11.1 操作手册 4522 关于 47第一章 引言1.1 编写目的为了保证用户熟练使用《浪潮乐金权限管理软件》，有效地管理浪潮乐金综合网管系统中的权限,为系统的使用提供方便的指导，浪潮乐金NMS产品部WEB项目组编写了《浪潮乐金权限管理子系统用户操作手册》本手册的读者包括各使用浪潮综合网管系统的用户、研发部、质量管理部、新品规划部、工程部及其它相关部门和人员1.2 背景说明：l 软件系统的名称：浪潮乐金权限管理软件l 本项目的任务提出者：NMS产品部l 本项目的开发者：山东浪潮乐金信息系统有限公司NMS产品部WEB研发组l 本项目的用户:各通信公司网络管理中心维护操作人员l 实现该系统的计算机中心或计算机网络:各通信集团公司广域网、各省公司广域网、省网管中心局域网和地市网管中心局域网；l 该系统同其他系统相互来往关系：本系统为其他网管系统提供集中鉴权功能,其他系统通过本系统来管理权限相关事宜l 其它说明:本项目是根据中国移动通信集团公司和中国联通有关规范中的安全自身管理部分要求和网管系统实施规划而提出的，本项目的开发目的是为综合网管系统提供集中灵活的权限管理功能，实现对用户使用者所有权限的集中控制和灵活分配。

1.3 定义 本文件中可能用到的缩略语定义如下：RBACRole Based Access ControlBSCBase Station ControllerBTSBase Transceiver StationGSMGlobal System for Mobile communicationHLRHome Location RegisterMSCMobile Switching CenterNENetwork ElementNMCNetwork Management CenterOMCOperation ＆ Maintenance CenterOMC—BOMC for the Base Station SubsystemOMC—SOMC for the Switching SubsystemOMC—ROMC for the Radio subsystemPLMNPublic Land Mobile NetworkPSTNPublic Switched Telephone NetworkPMPerformance ManagementQoSQuality of ServiceSSSSwitching SubsystemVLRVisiting Location RegisterWSWork Station权限 基本功能项 + 该功能所涉及的资源项角色 权限的集合 ，角色基本对应于实际应用当中的职位用户 系统使用人员，原则上与员工一一对应用户组用户的集合，对应于实际应用中的部门,或虚拟部门实体角色，用户组,用户等具有一定自身属性在系统具有特定属性的对象功能各个综合网管系统1.4 参考资料山东移动通信集团公司：《山东移动话务网网管系统三期技术方案.doc》：建设原则及功能要求 （2003年11月)中国移动通信集团公司：《附件一：中国移动网安全管理系统规范。

doc》:（2002年11月）中国联通：《CDMA95/1X网络管理技术规范– 第2部分:总部网管系统技术要(暂行）》National Institute of Standards and Technology：《Proposed NIST Standard for Role-Based》 1.5 用户的特点本软件的最终用户是各通信公司网管中心,操作人员一般是网管中心负责移动网络运行、维护和管理的有关人员,大部分是高等院校的毕业生，专业一般是通信、电子或计算机应用，熟知网络管理的流程，通晓WEB操作，可以熟练使用本的权限管理软件.1.6 使用范围本文件适用于浪潮乐金权限管理子系统v21.7 使用环境Windows 平台，需要IE5.5以上浏览器软件.其它平台，需要相应高版本浏览器软件第二章 系统操作2.1 功能概述2.1.1 模块关系图此系统共有七部分组成,包括:基本信息维护,资源维护，功能维护，角色管理,组管理，用户管理和日志管理其关系图如下:图1.1模块关系图2.1.2 赋权流程 系统提供了多种赋权流程，如图1中绿色路线和红色路线所示详细思路说明如下：u 绿色通道：权限－>角色－〉用户组－>用户极力推荐赋权流程！根据管理模式，创建角色，角色支持继承，可以通过先分配小角色,然后形成综合角色，体现用户组织的管理结构，把权限分配给角色。

然后根据组织结构，创建组，组可以对应具体的公司部门，体系组织层次结构.把角色分配给组然后为员工创建用户账号,把用户分配到组中，完成赋权.本流程充分利用了角色和用户组，通过权限管理子系统，展示出客户公司的管理模式和组织结构思路清晰，灵活,简便(权限可以逐层分配）.u 蓝色路线：权限－角色－用户适用情况：为少数几个用户分配不同的特殊临时权限.可以通过“角色管理"创建几个不同的角色,然后进行“功能分配”，为角色分配权限，再通过“用户管理”－“角色分配”，直接把角色分配给用户，完成赋权本流程也体现了角色的功能，可以使用，但如果要给大批用户进行赋权，则不太方便u 红色路线1:权限－组－用户适用情况：为大量用户分配或禁止少数几个权限可以先把权限分配给组，然后把用户分配到组里，实现赋权流程根据需要灵活使用.u 红色路线2：权限－用户适用情况：需要对某个用户进行禁用或赋予某些特权用户直接赋权.根据需要灵活使用.2.1.3 权限规则 权限具有等级：从高到低次序为：用户权限－>用户组权限－〉角色权限用户直接获得权限高于通过组获得的权限，通过组获得权限高于通过角色获得的权限 权限必须明确定义:只有经过明确授权用户才能访问相应的功能和资源.若没有设定则无访问权限。

权限具有层次性：不同用户由于拥有的权限不同，所能进行的操作也不同.权限会逐层缩减 权限支持自动发现新资源：如果没有选定某个资源类别，则可以自动发现下面所有的资源2.2 登录2.2.1 操作通过在浏览器中输入：http:// IP：PORT/ＷebAppName （使用实际发布的连接地址，类似格式为：http：//10.16.1.2：8088/qxgl )进入系统登录界面(通过单点登录系统中的相关连接访问）输入用户名/密码直接登录本系统说明1：因为WEB系统会根据需要进行相应更新，实际使用中的WEB界面可能与本处图示有所不同，但操作类似下同，不再另外说明）1 登录界面以超级管理员登录后，用户将看到主界面如下.上面是主功能模块导航菜单，点击各个连接后；左面会显示具体功能的导航菜单；点击具体功能后，右面信息显示界面会出现具体的操作界面说明2：用户所能使用的功能和资源与权限密切相关，所以用户可能无法使用本操作手册中所提供的功能或无法对特定资源进行操作.下同，不再另外说明)图2.2 root用户系统主界面图23 以某个子用户登录后的主界面2.2.2 说明如果一个用户在一定时间内（例如5分钟)连续错误登录一定次数(例如6次)，系统会暂时锁定该用户或永久锁定该用户.暂时锁定的意思是用户过一定时间后，如果能输入正确的用户名和密码，还可以登录，系统会对该用户自动解锁；永久锁定是指用户被永久锁定，除非管理员为该用户解锁。

在参数设置中有相的参数，参数名称为“登录锁定”2.3 用户管理管理用户登录帐号,包括新建帐号, 用户查询，修改帐号信息，锁定帐号，激活账号,删除帐号等功能每个功能包括若干个功能点,来完成对用户基本属性和权限的操作2.3.1 新建用户用于为员工创建登录帐号其中包括四个功能点：用户基本属性，角色分配,组分配，功能分配.2.3.1.1 用户属性： 页面显示新建用户时，需要设置的帐号、密码、员工名等一些基本属性和锁定，访问日期和访问时间等访问控制项.图3.1 用户属性2.3.1.1.1 基本信息用户帐号:用户登录使用 密码、确认密码：用户登录时使用密码，此密码已采用MD5加密处理，即使超级管理员也无法知道用户的密码 员工：选择新建的帐号所属的员工，系统账号必须与员工对应如为临时账号则发布图3.2 选择员工2.3.1.1.2 访问控制 访问星期： 用于控制帐号访问日期 开始时间: 能访问的日期的开始时间(输入时间时的格式必须时HH：MM：SS ） 结束时间: 能访问的日期的结束时间（输入时间时的格式必须时HH：MM：SS )锁定状态： 修改帐号状态(锁定状态指用户仍然存在，但不能使用登录正常状态:能正常用于登录状态)注意：本处所设置的访问控制仅针对采用本系统鉴权的系统.2.3.1.2 角色分配点击 “角色分配”标签，页面显示如下,图3.3 角色分配可用角色： 用户能够使用的角色,包括本用户所创建的角色和规则所容许使用的角色.已选角色: 用户已经选择的角色.功能说明： 新建用户时,可以通过已有角色来获得其所具有的权限。

使用说明：a) 选中可用角色中的角色，单击向右箭头,添加到已选角色b) 选中已选角色，单击向左箭头，删除已选角色c) 按住Ctrl 键可进行复选,可一次加或减多个角色d） 按住Shift键单击起始角色,中止角色可连续选择多个角色,一次加或减多个角色2.3.1.3 组分配点击 “组分配"标签，页面显示如下4 组分配可选择组： 显示用户能够使用的组,显示用户创建的组和通过规则容许使用的组，具体规则设定请参考“规则维护”.已选组： 已经选择的组功能说明： 新建用户时可以通过把用户分配到已有组来获得组所具有的权限使用说明:a) 选中可。