ゲストコンソールアクセス用の RBAC の構成

vntsd デーモンは、vntsd/authorization という名前のサービス管理機能 (Service Management Facility、SMF) プロパティーを提供します。このプロパティーを構成すると、ドメインコンソールまたはコンソールグループ用にユーザーおよび役割の承認チェックを有効にできます。承認チェックを有効にするには、svccfg コマンドを使用して、このプロパティーの値を true に設定します。このオプションが有効な場合、vntsd は、localhost のみで接続を待機して受け入れます。vntsd/authorization が有効な場合、listen_addr プロパティーに代替 IP アドレスを指定していても、vntsd は代替 IP アドレスを無視し、引き続き localhost のみで待機します。

---

注意 - localhost 以外のホストを使用するには、vntsd サービスを構成しないでください。 localhost 以外のホストを指定すると、制御ドメインからゲストドメインコンソールへの接続が制限されなくなります。ゲストドメインへのリモート接続に telnet コマンドを使用する場合は、平文のログイン認証がネットワーク上に渡されます。

---

デフォルトで、すべてのゲストコンソールへのアクセスの承認は auth_attr データベースにあります。

solaris.vntsd.consoles:::Access All LDoms Guest Consoles::

usermod コマンドを使用して、ローカルファイル上のほかのユーザーまたは役割に必要な承認を割り当てます。これにより、指定のドメインコンソールまたはコンソールグループへのアクセスには、必要な承認を持つユーザーまたは役割のみが許可されるようになります。ネームサービスでほかのユーザーまたは役割に承認を割り当てるには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。

次の例は、ローカルファイルを更新することで、ユーザー terry にすべてのドメインコンソールにアクセスする承認を付与しています。

# usermod -A "solaris.vntsd.consoles" terry

ドメインコンソールへ承認を追加する

この手順は、特定のドメインコンソールに対する新しい承認を追加する方法と、ローカルファイルを使用してその承認をユーザーに割り当てる方法を示します。ネームサービスで承認とユーザーを管理するには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。

承認および RBAC の詳細は、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。

1. 承認エントリをドメインに対応するローカルの auth_attr ファイルに追加します。

   solaris.vntsd.console-domain-name:::Access domain-name Guest Console::

2. 新しい承認をユーザーに割り当てます。

   # usermod -A "solaris.vntsd.console-domain-name" username

例 3-2 ドメインコンソールへの承認の追加

次の例は、ldg1 という名前の特定のドメインコンソール用の新しい承認を追加し、この承認をユーザー sam に割り当てます。

次の承認エントリが、ドメイン ldg1 に対応する auth_attr ファイルに追加されます。

solaris.vntsd.console-ldg1:::Access ldg1 Guest Console::

次のコマンドは、新しい承認をユーザー sam に割り当てます。

# usermod -A "solaris.vntsd.console-ldg1" sam