test

Sun Cluster: Guía de administración del sistema para SO Solaris

Capítulo 2 Sun Cluster y RBAC

En este capítulo se describe RBAC (Control de acceso basado en rol) en relación con Sun Cluster. Se tratan los siguientes temas:

Instalación y utilización de RBAC con Sun Cluster

Utilice la tabla siguiente para determinar la documentación que debe consultar acerca de la instalación y utilización de RBAC. Más adelante en este mismo capítulo se indican los pasos específicos para instalar y utilizar RBAC con Sun Cluster.

Para 

Consulte 

Ampliar la información sobre RBAC 

“Role-Based Access Control (Overview)” in System Administration Guide: Security Services

Instalar, gestionar los elementos y utilizar RBAC 

“Role-Based Access Control (Tasks)” in System Administration Guide: Security Services

Ampliar la información sobre los elementos y herramientas de RBAC 

“Role-Based Access Control (Reference)” in System Administration Guide: Security Services

Perfiles de derechos de RBAC en Sun Cluster

SunPlex Manager y algunas órdenes y opciones de línea de órdenes de Sun Cluster utilizan RBAC para tareas de autenticación. Sun Cluster incluye varios perfiles de derechos de RBAC que pueden asignarse a usuarios o roles para otorgar a éstos distintos niveles de acceso a Sun Cluster. Sun incluye en el software de Sun Cluster los siguientes perfiles de derechos.

Perfil de derechos 

Autorizaciones incluidas 

Esta autorización permite a la identidad del rol 

Órdenes de Sun Cluster 

Ninguna, pero incluye una lista de órdenes de Sun Cluster que se ejecutan con euid=0

Ejecutar determinadas órdenes de Sun Cluster que se utilizan para configurar y gestionar un clúster, incluidos: 

scgdevs(1M)

scswitch(1M) (opciones seleccionadas)

scha_control(1HA)

scha_resource_get(1HA)

scha_resource_setstatus(1HA)

scha_resourcegroup_get(1HA)

scha_resourcetype_get(1HA)

Usuario Solaris básico 

Este perfil de derechos de Solaris contiene autorizaciones de Solaris, como:  

Efectuar las mismas operaciones que puede llevar a cabo la identidad de rol Usuario Solaris básico, como: 

 

solaris.cluster.device.read

Leer información acerca de grupos de dispositivos  

  

solaris.cluster.gui

Acceder a SunPlex Manager 

  

solaris.cluster.network.read

Leer información acerca de Ruta múltiple de red IP 

Nota –

Esta autorización no se aplica a SunPlex Manager.

  

solaris.cluster.node.read

Leer información acerca de los atributos de nodos 

  

solaris.cluster.quorum.read

Leer información acerca de los dispositivos del quórum y del estado del quórum 

  

solaris.cluster.resource.read

Leer información acerca de los recursos y grupos de recursos 

  

solaris.cluster.system.read

Leer el estado del clúster 

  

solaris.cluster.transport.read

Leer información acerca de los transportes 

Funcionamiento del clúster 

solaris.cluster.appinstall

Instalar aplicaciones en clúster 

  

solaris.cluster.device.admin

Efectuar tareas administrativas en los atributos de grupos de dispositivos 

 

solaris.cluster.device.read

Leer información acerca de grupos de dispositivos 

  

solaris.cluster.gui

Acceder a SunPlex Manager 

  

solaris.cluster.install

Instalar software de clúster 

Nota –

Esta autorización no se aplica a SunPlex Manager.

  

solaris.cluster.network.admin

Efectuar tareas administrativas en los atributos de ruta múltiple de red IP 

Nota –

Esta autorización no se aplica a SunPlex Manager.

  

solaris.cluster.network.read

Leer información acerca de Ruta múltiple de red IP 

Nota –

Esta autorización no se aplica a SunPlex Manager.

  

solaris.cluster.node.admin

Efectuar tareas administrativas en los atributos de nodos 

  

solaris.cluster.node.read

Leer información acerca de los atributos de nodos 

  

solaris.cluster.quorum.admin

Efectuar tareas administrativas en los atributos de dispositivos del quórum y de estado del quórum  

  

solaris.cluster.quorum.read

Leer información acerca de los dispositivos del quórum y del estado del quórum 

  

solaris.cluster.resource.admin

Efectuar tareas administrativas en atributos de recursos y de grupos de recursos  

  

solaris.cluster.resource.read

Leer información acerca de los recursos y grupos de recursos 

  

solaris.cluster.system.admin

Administrar el sistema 

Nota –

Esta autorización no se aplica a SunPlex Manager.

  

solaris.cluster.system.read

Leer el estado del clúster 

  

solaris.cluster.transport.admin

Efectuar tareas administrativas en los atributos de transportes 

  

solaris.cluster.transport.read

Leer información acerca de los transportes 

Administrador del sistema 

Este perfil de Solaris contiene las mismas autorizaciones que el perfil Gestión del clúster. 

Efectuar las mismas operaciones que puede llevar a cabo la identidad de rol Gestión del clúster, aparte de otras operaciones de administración del sistema. 

Gestión del clúster 

Este perfil de derechos contiene las mismas autorizaciones que el perfil Funcionamineto del clúster, y las siguientes autorizaciones adicionales:  

Efectuar las mismas operaciones que la identidad de rol Funcionamineto del clúster, así como: 

  

solaris.cluster.device.modify

Modificar los atributos de los grupos de dispositivos 

  

solaris.cluster.gui

Acceder a SunPlex Manager 

  

solaris.cluster.network.modify

Modificar los atributos de ruta múltiple de red IP 

Nota –

Esta autorización no se aplica a SunPlex Manager.

  

solaris.cluster.node.modify

Modificar los atributos del nodo 

Nota –

Esta autorización no se aplica a SunPlex Manager.

  

solaris.cluster.quorum.modify

Modificar los atributos de dispositivos del quórum y de estado del quórum 

  

solaris.cluster.resource.modify

Modificar los atributos de los recursos y de grupos de recursos 

  

solaris.cluster.system.modify

Modificar los atributos del sistema 

Nota –

Esta autorización no se aplica a SunPlex Manager.

  

solaris.cluster.transport.modify

Modificar los atributos de transporte 

Creación y asignación de un rol de RBAC con un perfil de derechos de gestión de Sun Cluster

Para crear un rol, deberá asumir uno que tenga asignado el perfil de derechos de Administrador principal o convertirse en usuario root.

Cómo crear un rol mediante la herramienta Roles administrativos

  1. Inicie la herramienta Roles administrativos.

    Ejecute la herramienta Roles administrativos e inicie Solaris Management Console, como se describe en “How to Assume a Role in the Console Tools” in System Administration Guide: Security Services. A continuación, abra la Colección de herramientas del usuario y haga clic en el icono Roles administrativos.

  2. Inicie el asistente Agregar rol administrativo.

    Seleccione Agregar rol administrativo en el menú Acción para iniciar el asistente Agregar rol administrativo para la configuración de roles.

  3. Configure un rol que tenga asignado el perfil de derechos Gestión del clúster.

    Utilice los botones Siguiente y Atrás para desplazarse entre los cuadros de diálogo. Tenga en cuenta que el botón Siguiente no se activa mientras no se hayan completado los campos obligatorios. El último cuadro de diálogo permite revisar los datos introducidos y retroceder para cambiarlos o hacer clic en Terminar para guardar el nuevo rol. La Tabla 2–1 resume los cuadros de diálogo.

    Nota –

    Deberá situar este perfil en el primer lugar de la lista de perfiles asignados al rol.

  4. Agregue los usuarios que deban utilizar las funciones de SunPlex Manager o las órdenes de Sun Cluster al rol que acaba de crear.

    Para agregar una cuenta de usuario al sistema se utiliza la orden useradd(1M). La opción -P asigna un rol a una cuenta de usuario.

  5. Haga clic en Terminar cuando haya finalizado.

  6. Abra una ventana de terminal, conviértase en usuario root e inicie y pare el daemon de antememoria del servicio de nombres.

    Los nuevos roles no se activarán hasta que no se reinicie el daemon de antememoria del servicio de nombres. Una vez convertido en usuario root, escriba: 


    # /etc/init.d/nscd stop
# /etc/init.d/nscd start
Tabla 2–1 Asistente Agregar rol administrativo: cuadros de diálogo y campos

Cuadro de diálogo 

Campos  

Descripción del campo 

Paso 1: Escribir un nombre de rol 

Nombre de rol  

Nombre breve del rol.  

 

Nombre completo 

Versión larga del nombre.  

 

Descripción 

Descripción del rol.  

 

Número de ID del rol 

UID del rol; se incrementa automáticamente.  

 

Shell de rol 

Shells de perfil disponibles para los roles: C del administrador, Bourne del administrador o Korn del administrador.  

 

Crear un lista de correo del rol  

Crea una lista de correo para los usuarios que tienen asignado este rol. 

Paso 2: Escribir una contraseña de rol 

Contraseña de rol  

********  

 

Confirmar contraseña 

******** 

Paso 3: Seleccionar derechos de rol 

Derechos disponibles / Derechos concedidos 

Asigna o elimina los perfiles de derechos de un rol  

Tenga en cuenta que el sistema no impide escribir varias veces la misma orden. Los atributos asignados a la primera aparición de una orden en un perfil de derechos tienen prioridad, y las apariciones subsiguientes son ignoradas. Utilice las flechas Arriba y Abajo para cambiar el orden. 

Paso 4: Seleccionar un directorio de inicio 

Servidor  

Servidor del directorio de inicio.  

 

Ruta 

Ruta del directorio de inicio. 

Paso 5: Asignar usuarios a este rol 

Añadir  

Agrega usuarios que pueden asumir este rol. Deben estar dentro del mismo ámbito.  

 

Suprimir 

Suprime los usuarios asignados a este rol. 

Cómo crear un rol desde la línea de órdenes

  1. Conviértase en usuario root o asuma un rol que pueda crear otros roles.

  2. Seleccione un método para la creación del rol:

    • Para los roles del ámbito local, utilice la orden roleadd(1M) para especificar un nuevo rol local y sus atributos.

    • Otra posibilidad para roles del ámbito local es editar el archivo user_attr(4) para agregar un usuario con type=role.

      Se recomienda utilizar este método únicamente en caso de emergencia, ya que es fácil cometer errores mecanográficos.

    • Para los roles en un servicio de nombres, utilice la orden smrole(1M) para especificar el nuevo rol y sus atributos.

      Esta orden requiere la autenticación por parte del usuario root o de un rol que pueda crear otros roles. La orden smrole puede aplicarse a todos los servicios de nombres. Esta orden se ejecuta como cliente del servidor de Solaris Management Console.

  3. Inicie y pare el daemon de antememoria del servicio de nombres.

    Los nuevos roles no se activarán hasta que no se reinicie el daemon de antememoria del servicio de nombres. Como usuario root, escriba: 


    # /etc/init.d/nscd stop
# /etc/init.d/nscd start
Ejemplo 2–1 Crear un rol de operador personalizado mediante la orden smrole

En la secuencia siguiente se muestra la creación de un rol mediante la orden smrole. En este ejemplo, se crea una nueva versión del rol de Operador que tiene asignados los perfiles de derechos estándar de Operador y de Restaurar soporte. 


% su adminprincipal
# /usr/sadm/bin/smrole add -H miSistema -- -c "Operador personalizado" -n oper2
-a juanNadie \ -d /export/home/oper2 -F "Operador Copia de seguridad/Restaurar" -p "Operador"
-p "Restaurar soporte"
Authenticating as user: adminprincipal

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <escriba contraseña adminprincipal>

Loading Tool: com.sun.admin.usermgrclústeri.role.UserMgrRoleCli from miSistema
Login to miSistema as user adminprincipal was successful.
Download of com.sun.admin.usermgrclústeri.role.UserMgrRoleCli from miSistema was successful.

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password ::<escriba contraseña oper2>

# /etc/init.d/nscd stop
# /etc/init.d/nscd start

Para ver el rol acabado de crear (o cualquier otro) utilice la orden smrole con la opción list, como se indica a continuación: 


# /usr/sadm/bin/smrole list --
Authenticating as user: adminprincipal

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <escriba contraseña adminprincipal>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to miSistema as user adminprincipal was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from miSistema was successful.
root                    0               Super-User
primaryadmin            100             Most powerful role
sysadmin                101             Performs non-security admin tasks
oper2                   102             Operador personalizado

Modificación de las propiedades de RBAC de un usuario

Para modificar las propiedades de un usuario se debe ejecutar la Colección de herramientas del usuario como usuario root o asumir un rol que tenga asignado el perfil de derechos Administrador principal.

Cómo modificar las propiedades de RBAC de un usuario mediante la herramienta Cuentas de usuario

  1. Inicie la herramienta Cuentas de usuario.

    Para ejecutar la herramienta Cuentas de usuario deberá iniciar Solaris Management Console, como se describe en “How to Assume a Role in the Console Tools” in System Administration Guide: Security Services. A continuación, abra la Colección de herramientas del usuario y haga clic en el icono Cuentas de usuario.

    Una vez iniciada la herramienta Cuentas de usuario, los iconos correspondientes a las cuentas de usuario existentes se muestran en el panel de visualización.

  2. Haga clic en el icono de la cuenta de usuario que se debe modificar y seleccione Propiedades en el menú Acción (o haga doble clic en el icono).

  3. Haga clic en la pestaña apropiada del cuadro de diálogo según la propiedad que se desee modificar, como se indica a continuación:

    • Para cambiar los roles asignados al usuario, haga clic en la pestaña Roles y mueva la asignación de rol que se debe modificar a la columna apropiada: Roles disponibles o Roles asignados.

    • Para cambiar los perfiles de derechos asignados al usuario, haga clic en la pestaña Derechos y mueva los perfiles a la columna apropiada: Derechos disponibles o Derechos asignados.

      Nota –

      No es conveniente asignar perfiles de derechos directamente a los usuarios. Es más adecuado forzar a éstos a que asuman roles para poder ejecutar aplicaciones con privilegios. Esta estrategia impide que los usuarios normales abusen de los privilegios.

Cómo modificar las propiedades de RBAC de un usuario desde la línea de órdenes

  1. Conviértase en usuario root o adquiera un rol que tenga permiso para modificar los archivos de usuario.

  2. Utilice la orden apropiada:

    • Para cambiar las autorizaciones, roles o perfiles de derechos asignados a un usuario definido en el ámbito local, utilice la orden usermod(1M).

    • Otra posibilidad es editar el archivo user_attr.

      Se recomienda utilizar este método únicamente en caso de emergencia, ya que es fácil cometer errores mecanográficos.

    • Para cambiar las autorizaciones, roles o perfiles de derechos asignados a un usuario definido en un servicio de nombres, utilice la orden smuser(1M).

      Esta orden requiere la autenticación por parte del usuario root o de un rol que pueda modificar archivos de usuario. La orden smuser puede aplicarse a todos los servicios de nombres. smuser se ejecuta como cliente del servidor de Solaris Management Console.