JavaScript is required to for searching.
Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
Guía de administración del servidor Oracle VM para SPARC 2.1     Oracle VM Server for SPARC (Español)
Red de tecnolog�a de Oracle
Biblioteca
PDF
Vista de impresi�n
Comentarios
search filter icon
search icon

Información del documento

Prólogo

Parte I Software Oracle VM Server for SPARC 2.1

1.  Información general sobre el software del Oracle VM Server for SPARC

2.  Instalación y habilitación del software

3.  Seguridad

Autorización de Dominios lógicos Manager

Creación de autorizaciones y perfiles y asignación de funciones a las cuentas de usuario

Administración de las autorizaciones de usuario

Asignación de una autorización a un usuario

Supresión de todas las autorizaciones asignadas a un usuario

Administración de los perfiles de usuario

Asignación de un perfil a un usuario

Supresión de todos los perfiles asignados a un usuario

Asignación de funciones a usuarios

Creación de una función y asignación de la función a un usuario

Configuración de RBAC para el acceso de la consola huésped

Adición de una autorización para una consola de dominio

Activación y utilización auditoría

Activar auditoría

Inhabilitación de auditorías

Impresión de una salida de auditoría

Giro de los registros de la auditoría

4.  Configuración de servicios y el dominio de control

5.  Configuración de los dominios huésped

6.  Configuración de dominios E/S

7.  Uso de discos virtuales

8.  Uso de las redes virtuales

9.  Migración de dominios

10.  Administración de recursos

11.  Administración de las configuraciones

12.  Realización de otras tareas administrativas

Parte II Software Oracle VM Server for SPARC opcional

13.  Herramienta de conversión física a virtual del Oracle VM Server for SPARC

14.  Asistente para la configuración de Oracle VM Server for SPARC

15.  Uso del software de Base de datos de información de administración de Oracle VM Server for SPARC

16.  Descubrimiento del Dominios lógicos Manager

17.  Uso de la interfaz XML con el Dominios lógicos Manager

Glosario

Índice

Creación de autorizaciones y perfiles y asignación de funciones a las cuentas de usuario

Puede administrar las autorizaciones y los perfiles, y asignar funciones a las cuentas de usuario utilizando la función de control de acceso basado en funciones (RBAC) del SO de Solaris de Oracle. Para obtener más información sobre RBAC, consulte Guía de administración del sistema: servicios de seguridad.

Los usuarios, las autorizaciones, los perfiles y las funciones se pueden configurar de los modos siguientes:

Al instalar Dominios lógicos Manager se añaden las autorizaciones y los perfiles necesarios para los archivos locales. Para configurar usuarios, autorizaciones, perfiles y funciones en un servicio de asignación de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .

La autorización para el Dominios lógicos Manager tiene dos niveles:

A continuación se indican las entradas de Dominios lógicos que se añaden automáticamente al archivo /etc/security/auth_attr local del SO de Solaris de Oracle:

Administración de las autorizaciones de usuario

En los procedimientos siguientes se muestra cómo administrar las autorizaciones de usuario en el sistema mediante el uso de archivos locales. Para administrar las autorizaciones de usuario en un servicio de asignación de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .

Asignación de una autorización a un usuario

Siga este procedimiento para asignar autorizaciones a los usuarios de Dominios lógicos Manager. Esta información sobre la asignación de autorizaciones se almacena en el archivo /etc/security/auth_attr local.

Nota - El superusuario ya tiene la autorización solaris.*, que incluye las autorizaciones solaris.ldoms.*.

  1. Conviértase en un superusuario o asuma una función equivalente.

    Las funciones contienen autorizaciones y comandos con privilegios. Para más información sobre las funciones, véase Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.

  2. Asigne la autorización de lectura o de lectura y escritura a un usuario.

    • Asigne la autorización de lectura a un usuario.

      # usermod -A solaris.ldoms.read username

    • Asigne la autorización de lectura y escritura a un usuario.

      # usermod -A solaris.ldoms.write username

    Nota - Asegúrese de incluir todas las autorizaciones existentes para el usuario en el comando usermod -A. Las autorizaciones que especifique con este comando sustituirán las autorizaciones que ya se hayan asignado al usuario. Consulte la página de comando man usermod(1M).

    Para ver la lista de autorizaciones de usuario que necesitan los subcomandos ldm, consulte la Tabla 3-1.

Supresión de todas las autorizaciones asignadas a un usuario

  1. Conviértase en un superusuario o asuma una función equivalente.

    Las funciones contienen autorizaciones y comandos con privilegios. Para más información sobre las funciones, véase Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.

  2. Suprima todas las autorizaciones asignadas a un usuario local.
    # usermod -A "" username

Administración de los perfiles de usuario

En los procedimientos siguientes se muestra cómo administrar los perfiles de usuario en el sistema mediante el uso de archivos locales. Para administrar los perfiles de usuario en un servicio de asignación de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .

El paquete SUNWldm agrega dos perfiles RBAC definidos por sistema en el archivo /etc/security/prof_attr local. Los perfiles siguientes se utilizan para acceder a Dominios lógicos Manager con usuarios sin privilegios:

El paquete SUNWldm también define el siguiente atributo de ejecución que está asociado con el perfil de administración LDoms:

LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search

Asignación de un perfil a un usuario

Los usuarios a los que se ha asignado directamente el perfil de administración LDoms deben invocar un shell de perfil para ejecutar el comando ldm con los atributos de seguridad. Para más información, consulte Guía de administración del sistema: servicios de seguridad.

  1. Conviértase en un superusuario o asuma una función equivalente.

    Las funciones contienen autorizaciones y comandos con privilegios. Para más información sobre las funciones, véase Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.

  2. Asigne un perfil administrativo a una cuenta de usuario local.

    Puede asignar el perfil de revisión LDoms o el perfil de administración LDoms a una cuenta de usuario.

    # usermod -P "profile-name" username

    El comando siguiente asigna el perfil de administración LDoms al usuario sam:

    # usermod -P "LDoms Management" sam

Supresión de todos los perfiles asignados a un usuario

  1. Conviértase en un superusuario o asuma una función equivalente.

    Las funciones contienen autorizaciones y comandos con privilegios. Para más información sobre las funciones, véase Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.

  2. Suprima todos los perfiles asignados a un usuario local.
    # usermod -P "" username

Asignación de funciones a usuarios

El procedimiento siguiente muestra cómo crear una función y asignarla a un usuario mediante el uso de archivos locales. Para administrar las funciones en un servicio de asignación de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .

La ventaja de utilizar este procedimiento es que sólo un usuario al que se ha asignado una función específica puede asumir dicha función. Al asumir una función, se necesita una contraseña si se ha asignado una contraseña a la función. Estas dos capas de seguridad impiden que un usuario que tenga la contraseña pueda asumir una función si no se le ha asignado.

Creación de una función y asignación de la función a un usuario

  1. Conviértase en un superusuario o asuma una función equivalente.

    Las funciones contienen autorizaciones y comandos con privilegios. Para más información sobre las funciones, véase Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.

  2. Cree una función.
    # roleadd -P "profile-name" role-name
  3. Asigne una contraseña a la función.

    Se le solicitará que especifique la nueva contraseña y que la verifique.

    # passwd role-name
  4. Asigne una función a un usuario.
    # useradd -R role-name username
  5. Asigne una contraseña al usuario.

    Se le solicitará que espeifique la nueva contraseña y que la verifique.

    # passwd username
  6. Conviértase en usuario y especifique la contraseña, si es preciso.
    # su username
  7. Compruebe que el usuario tenga acceso a la función asignada.
    $ id
uid=nn(username) gid=nn(group-name)
$ roles
role-name
  8. Asuma la función y especifique la contraseña, si es preciso.
    $ su role-name
  9. Compruebe que el usuario haya asumido la función.
    $ id
uid=nn(role-name) gid=nn(group-name)

Ejemplo 3-1 Creación de una función y asignación de la función a un usuario

En este ejemplo se muestra cómo crear la función ldm_read, asignar la función al usuario user_1, convertirse en el usuario user_1 y asumir la función ldm_read.

# roleadd -P "LDoms Review" ldm_read
# passwd ldm_read
New Password: ldm_read-password
Re-enter new Password: ldm_read-password
passwd: password successfully changed for ldm_read
# useradd -R ldm_read user_1
# passwd user_1
New Password: user_1-password
Re-enter new Password: user_1-password
passwd: password successfully changed for user_1
# su user_1
Password: user_1-password
$ id
uid=95555(user_1) gid=10(staff)
$ roles
ldm_read
$ su ldm_read
Password: ldm_read-password
$ id
uid=99667(ldm_read) gid=14(sysadmin)
Copyright © 2007, 2011, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior Siguiente