test

Sun Cluster Handbuch Systemverwaltung für Solaris OS

Erstellen und Zuweisen einer RBAC-Rolle mit einem Sun Cluster-Verwaltungs-Rechteprofil

Zum Erstellen einer Rolle müssen Sie entweder eine Rolle übernehmen, der das Rechteprofil “Primärverwalter” zugewiesen ist, oder Sie müssen sich als root-Benutzer anmelden.

So erstellen Sie eine Rolle mithilfe des Tools “Administrative Roles”

  1. Starten Sie das Tool “Administrative Roles”.

    Führen Sie das Tool “Administrative Roles” aus, und starten Sie die Solaris-Verwaltungskonsole wie unter “How to Assume a Role in the Console Tools” in System Administration Guide: Security Services beschrieben. Dann öffnen Sie “User Tool Collection”, und klicken Sie auf das Symbol “Administrative Roles”.

  2. Starten Sie den Assistenten zum Hinzufügen von Verwaltungsrollen.

    Wählen Sie im Menü “Action” den Befehl “Add Administrative Role” aus, um den Assistenten zum Hinzufügen von Verwaltungsrollen zum Konfigurieren von Rollen zu starten.

  3. Konfigurieren Sie eine Rolle, der das Rechteprofil “Cluster-Verwaltung” zugewiesen ist.

    Mit den Schaltflächen “Next” und “Back” können Sie zwischen den Dialogfeldern navigieren. Beachten Sie, dass die Schaltfläche “Next” erst verfügbar ist, wenn Sie alle erforderlichen Felder ausgefüllt haben. Im letzten Dialogfeld können Sie die eingegebenen Daten überprüfen; an dieser Stelle können Sie zurückgehen, um Eingaben zu ändern, oder Sie klicken auf “Finish”, um die neue Rolle zu speichern.Tabelle 2–1 fasst die Dialogfelder zusammen.

    Hinweis –

    Sie müssen dieses Profil an die erste Stelle in der Liste der Profile setzen, die der Rolle zugewiesen sind.

  4. Fügen Sie die Benutzer, die SunPlex-Manager-Funktionen oder Sun Cluster-Befehle benötigen, der neu erstellten Rolle hinzu.

    Mit dem useradd(1M)-Befehl fügen Sie dem System ein Benutzerkonto hinzu. Die Option -P weist einem Benutzerkonto eine Rolle zu.

  5. Wenn Sie fertig sind, klicken Sie auf “Finish”.

  6. Öffnen Sie ein Terminalfenster, melden Sie sich als root an, und starten und stoppen Sie den Namensdienst-Cache-Dämon.

    Die neue Rolle ist erst nach einem Neustart des Namensdienst-Cache-Dämons wirksam. Nachdem Sie sich als root angemeldet haben, geben Sie Folgendes ein: 


    # /etc/init.d/nscd stop
# /etc/init.d/nscd start
Tabelle 2–1 Assistent zum Hinzufügen der Verwaltungsrolle: Dialogfelder und Felder

Dialogfeld 

Felder  

Feldbeschreibung 

Step 1: Enter a role name 

Role Name  

Kurzname der Rolle.  

 

Full Name 

Ausgeschriebener Name.  

 

Beschreibung 

Beschreibung der Rolle.  

 

Role ID Number 

Benutzer-ID für die Rolle (wird automatisch erhöht).  

 

Role Shell 

Die für Rollen verfügbaren Profil-Shells: C-Shell Verwalter, Bourne-Shell Verwalter oder Korn-Shell Verwalter.  

 

Create a role mailing list  

Erstellt eine Adressenliste der Benutzer, die dieser Rolle zugewiesen sind. 

Step 2: Enter a role password 

Role Password  

********  

 

Confirm Password 

******** 

Step 3: Select role rights 

Available Rights / Granted Rights 

Weist einer Rolle Rechteprofile zu oder entfernt sie daraus.  

Beachten Sie, dass Sie das System nicht daran hindert, denselben Befehl mehrmals einzugeben. Die Attribute, die dem ersten Vorkommen eines Befehls in einem Rechteprofil zugewiesen sind, haben Vorrang, und alle nachfolgenden Eingaben desselben Befehls werden ignoriert. Mit den Pfeilen “Nach oben” bzw. “Nach unten” können Sie die Reihenfolge ändern. 

Step 4: Select a home directory 

Server  

Server für das Home-Verzeichnis.  

 

Path 

Home-Verzeichnispfad. 

Step 5: Assign users to this role 

Hinzufügen  

Fügt Benutzer hinzu, die diese Rolle übernehmen können. Sie müssen denselben Geltungsbereich haben.  

 

Delete 

Löscht Benutzer, die dieser Rolle zugewiesen sind. 

So erstellen Sie eine Rolle mit der Befehlszeile

  1. Melden Sie sich als Superbenutzer an oder übernehmen Sie eine Rolle, mit der Sie weitere Rollen erstellen können.

  2. Wählen Sie eine Methode zur Erstellung einer Rolle aus:

    • Für Rollen im lokalen Geltungsbereich verwenden Sie den roleadd(1M)-Befehl, um eine neue lokale Rolle mit den dazugehörigen Attributen anzugeben.

    • Alternativ dazu können Sie für Rollen im lokalen Geltungsbereich die user_attr(4 )-Datei bearbeiten und mit type=roleBenutzer hinzufügen.

      Diese Methode wird nur für den Notfall empfohlen, weil beim Eingeben leicht Fehler entstehen.

    • Für Rollen in einem Namensdienst verwenden Sie den smrole(1M)-Befehl, um die neue Rolle und die dazugehörigen Attribute anzugeben.

      Zur Ausführung dieses Befehls benötigen Sie eine Authentisierung als Superbenutzer oder eine Rolle, die andere Rollen erstellen kann. Sie können smrole auf alle Namensdienste anwenden. Dieser Befehl wird als Client des Solaris Management Console-Servers ausgeführt.

  3. Starten und Stoppen Sie den Namensdienst-Cache-Dämon.

    Neue Rollen sind erst nach einem Neustart des Namensdienst-Cache-Dämons wirksam. Als root geben Sie Folgendes ein: 


    # /etc/init.d/nscd stop
# /etc/init.d/nscd start
Beispiel 2–1 Erstellen einer benutzerdefinierten Rolle “Bediener” mit dem smrole-Befehl

Die nachstehende Sequenz zeigt die Erstellung einer Rolle mit dem smrole-Befehl. In diesem Beispiel wird eine neue Version der Rolle “Bediener” erstellt, dem das Standard-Rechteprofil “Bediener” und das Rechteprofil “Medienwiederherstellung” zugewiesen ist. 


% su primaryadmin
# /usr/sadm/bin/smrole add -H myHost -- -c "Custom Operator" -n oper2 -a johnDoe \
-d /export/home/oper2 -F "Backup/Restore Operator" -p "Operator" -p "Media Restore"
Authenticating as user: primaryadmin

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <geben Sie das Verwalterpasswort für den Primärknoten ein>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadmin was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password ::<type oper2 password>

# /etc/init.d/nscd stop
# /etc/init.d/nscd start

Verwenden Sie smrole mit der >list-Option wie folgt, um die neu erstellte Rolle (und jede andere Rolle) anzuzeigen: 


# /usr/sadm/bin/smrole list --
Authenticating as user: primaryadmin

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <geben Sie das Verwalterpasswort für den Primärknoten ein>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadmin was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.
root                    0               Super-User
primaryadmin            100             Most powerful role
sysadmin                101             Performs non-security admin tasks
oper2                   102             Custom Operator