JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Guide d'administration d'Oracle VM Server for SPARC 2.1     Oracle VM Server for SPARC (Fran├žais)
search filter icon
search icon

Informations document

Préface

Partie I Logiciel Oracle VM Server for SPARC 2.1

1.  Présentation du logiciel Oracle VM Server for SPARC

2.  Installation et activation du logiciel

3.  Sécurité

Autorisation du gestionnaire de domaines logiques

Création d'autorisations et de profils, et affectation de rôles aux comptes utilisateur

Gestion des autorisations utilisateur

Affectation d'une autorisation à un utilisateur

Suppression de toutes les autorisations affectées à un utilisateur

Gestion des profils utilisateur

Affectation d'un profil à un utilisateur

Suppression de tous les profils affectés à un utilisateur

Assignation de rôles aux utilisateurs

Création d'un rôle et assignation du rôle à un utilisateur

Configuration de RBAC pour l'accès à la console invité

Ajout d'une autorisation à une console de domaine

Activation et utilisation de l'audit

Activation de l'audit

Désactivation de l'audit

Impression de la sortie d'audit

Rotation des journaux d'audit

4.  Configuration des services et du domaine de contrôle

5.  Configuration des domaines invités

6.  Configuration des domaines d'E/S

7.  Utilisation des disques virtuels

8.  Utilisation des réseaux virtuels

9.  Migration des domaines

10.  Gestion des ressources

11.  Gestion des configurations

12.  Réalisation d'autres tâches d'administration

Partie II Logiciel Oracle VM Server for SPARC facultatif

13.  Outil de conversion physique-à-virtuel Oracle VM Server for SPARC

14.  Assistant de configuration Oracle VM Server for SPARC

15.  Utilisation du logiciel MIB (Management Information Base ) Oracle VM Server for SPARC

16.  Recherche du gestionnaire de domaines logiques

17.  Utilisation de l'interface XML avec le gestionnaire de domaines logiques

Glossaire

Index

Création d'autorisations et de profils, et affectation de rôles aux comptes utilisateur

La fonctionnalité RBAC (role-based access control, contrôle d'accès basé sur les rôles) du SE Oracle Solaris permet de gérer les autorisations et les profils, et d'affecter des rôles aux comptes utilisateur. Pour plus d'informations sur RBAC, reportez-vous au System Administration Guide: Security Services .

Vous disposez des méthodes suivantes pour configurer les utilisateurs, autorisations, profils et rôles :

L'installation du gestionnaire de domaines logiques ajoute les autorisations et profils nécessaires dans les fichiers locaux. Pour configurer les utilisateurs, autorisations, profils et rôles dans un service de nommage, reportez-vous au System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .

L'autorisation du gestionnaire de domaines logiques a deux niveaux :

Voici les entrées domaines logiques qui sont ajoutées automatiquement au fichier /etc/security/auth_attr local du SE Oracle Solaris.

Gestion des autorisations utilisateur

Les procédures suivantes permettent de gérer les autorisations utilisateur sur le système à l'aide de fichiers locaux. Pour gérer les autorisations utilisateur dans un service de nommage, reportez-vous au System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .

Affectation d'une autorisation à un utilisateur

Pour affecter des autorisations aux utilisateurs gestionnaire de domaines logiques, suivez la procédure ci-dessous. Ces informations d'affectation d'autorisation sont stockées dans le fichier /etc/security/auth_attr local.


Remarque - Le superutilisateur possède déjà l'autorisation solaris.* qui inclut les autorisations solaris.Idoms.*.


  1. Devenez un superutilisateur ou assumez un rôle équivalent.

    Les rôles contiennent des autorisations et des commandes nécessitant des droits d'accès. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

  2. Affectez l'autorisation de lecture ou de lecture et d'écriture à un utilisateur.
    • Affectez l'autorisation de lecture à un utilisateur.

      # usermod -A solaris.ldoms.read username
    • Affectez l'autorisation de lecture et d'écriture à un utilisateur.

      # usermod -A solaris.ldoms.write username

    Remarque - Veillez à inclure toutes les autorisations existantes de l'utilisateur dans la commande usermod -A. Les autorisations que vous spécifiez à l'aide de cette commande remplacent celles qui ont déjà été affectées à l'utilisateur. Reportez-vous à la page de manuel usermod(1M).


    Pour obtenir la liste des autorisations requises par les sous-commandes ldm, reportez-vous au Tableau 3-1.

Suppression de toutes les autorisations affectées à un utilisateur

  1. Devenez un superutilisateur ou assumez un rôle équivalent.

    Les rôles contiennent des autorisations et des commandes nécessitant des droits d'accès. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

  2. Supprimez toutes les autorisations affectées à un utilisateur local.
    # usermod -A "" username

Gestion des profils utilisateur

Les procédures suivantes permettent de gérer les profils utilisateur sur le système à l'aide de fichiers locaux. Pour gérer les profils utilisateur dans un service de nommage, reportez-vous au System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .

Le package SUNWldm ajoute deux profils RBAC définis par le système dans le fichier /etc/security/prof_attr local. Les profils suivants permettent d'autoriser des utilisateurs sans privilèges à accéder au gestionnaire de domaines logiques.

Le package SUNWldm définit également l'attribut d'exécution suivant qui est associé au profil de gestion LDoms :

LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search

Affectation d'un profil à un utilisateur

Les utilisateurs auxquels le profil LDoms Management a été affecté directement doivent appeler un shell de profil pour exécuter la commande ldm avec des attributs de sécurité. Pour plus d'informations, reportez-vous au System Administration Guide: Security Services .

  1. Devenez un superutilisateur ou assumez un rôle équivalent.

    Les rôles contiennent des autorisations et des commandes nécessitant des droits d'accès. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

  2. Affectez un profil d'administration à un compte utilisateur local.

    Vous pouvez affecter le profil LDoms Review ou le profil LDoms Management à un compte utilisateur.

    # usermod -P "profile-name" username

    La commande suivante affecte le profil LDoms Management à l'utilisateur sam.

    # usermod -P "LDoms Management" sam

Suppression de tous les profils affectés à un utilisateur

  1. Devenez un superutilisateur ou assumez un rôle équivalent.

    Les rôles contiennent des autorisations et des commandes nécessitant des droits d'accès. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

  2. Supprimez tous les profils affectés à un utilisateur local.
    # usermod -P "" username

Assignation de rôles aux utilisateurs

La procédure suivante permet de créer un rôle et de l'affecter à un utilisateur à l'aide de fichiers locaux. Pour gérer les rôles dans un service de nommage, reportez-vous au System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .

Cette procédure présente l'avantage que les rôles ne sont endossés que par les utilisateurs à qui ils ont été affectés. Lorsqu'un utilisateur endosse un rôle, il doit fournir le mot de passe qui a été affecté au rôle, le cas échéant. Ces deux niveaux de sécurité empêchent un utilisateur d'endosser un rôle pour lequel il détient le mot de passe, mais qui ne lui a pas été affecté.

Création d'un rôle et assignation du rôle à un utilisateur

  1. Devenez un superutilisateur ou assumez un rôle équivalent.

    Les rôles contiennent des autorisations et des commandes nécessitant des droits d'accès. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

  2. Créez un rôle.
    # roleadd -P "profile-name" role-name
  3. Assignez un mot de passe au rôle.

    Vous êtes invité à spécifier un nouveau mot de passe et à le vérifier.

    # passwd role-name
  4. Assignez le rôle à un utilisateur.
    # useradd -R role-name username
  5. Assignez un mot de passe à un utilisateur.

    Vous êtes invité à spécifier un nouveau mot de passe et à le vérifier.

    # passwd username
  6. Devenez l'utilisateur et fournissez le mot de passe, si nécessaire.
    # su username
  7. Vérifiez que l'utilisateur peut accéder au rôle affecté.
    $ id
    uid=nn(username) gid=nn(group-name)
    $ roles
    role-name
  8. Endossez le rôle et fournissez le mot de passe, si nécessaire.
    $ su role-name
  9. Vérifiez que l'utilisateur a endossé le rôle.
    $ id
    uid=nn(role-name) gid=nn(group-name)

Exemple 3-1 Création d'un rôle et affectation du rôle à un utilisateur

Cet exemple illustre comment créer le rôle ldm_read, affecter le rôle à l'utilisateur user_1, devenir l'utilisateur user_1 et endosser le rôle ldm_read.

# roleadd -P "LDoms Review" ldm_read
# passwd ldm_read
New Password: ldm_read-password
Re-enter new Password: ldm_read-password
passwd: password successfully changed for ldm_read
# useradd -R ldm_read user_1
# passwd user_1
New Password: user_1-password
Re-enter new Password: user_1-password
passwd: password successfully changed for user_1
# su user_1
Password: user_1-password
$ id
uid=95555(user_1) gid=10(staff)
$ roles
ldm_read
$ su ldm_read
Password: ldm_read-password
$ id
uid=99667(ldm_read) gid=14(sysadmin)