ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle VM Server for SPARC 2.1 管理ガイド Oracle VM Server for SPARC (日本語) |
パート I Oracle VM Server for SPARC 2.1 ソフトウェア
1. Oracle VM Server for SPARC ソフトウェアの概要
パート II オプションの Oracle VM Server for SPARC ソフトウェア
13. Oracle VM Server for SPARC 物理から仮想への変換ツール
14. Oracle VM Server for SPARC Configuration Assistant
15. Oracle VM Server for SPARC 管理情報ベース (Management Information Base、MIB) ソフトウェアの使用
16. Logical Domains Manager の検出
Oracle Solaris OS の役割に基づくアクセス制御 (Role-Based Access Control、RBAC) 機能を使用して、ユーザーアカウントに対する承認とプロファイルを管理し、役割を割り当てできます。RBAC の詳細については、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。
ユーザー、承認、プロファイル、および役割は、次の方法で構成できます。
ファイルを使用してシステム上でローカルで構成する
LDAP などのネームサービスで一元的に構成する
Logical Domains Manager をインストールすると、必要な承認とプロファイルがローカルファイルに追加されます。ネームサービスでユーザー、承認、プロファイル、および役割を構成するには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。
Logical Domains Manager の承認には、次の 2 つのレベルがあります。
読み取り - 構成を表示できるが、変更はできない
読み取りおよび書き込み - 構成を表示および変更できる
ローカルの Oracle Solaris OS /etc/security/auth_attr ファイルには、次の Logical Domains エントリが自動的に追加されます。
solaris.ldoms.:::LDoms Administration::
Solaris.ldoms.grant:::Delegate Ldoms Configuration::
Solaris.ldoms.read:::View Ldoms Configuration::
Solaris.ldoms.write:::Manage Ldoms Configuration::
solaris.smf.manage.ldoms:::Manage Start/Stop LDoms::
次の手順は、ローカルファイルを使用してシステム上のユーザー承認を管理する方法を示しています。ネームサービスでユーザー承認を管理するには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。
次の手順に従って、Logical Domains Manager ユーザーに承認を割り当てます。この承認の割り当てについての情報は、/etc/security/auth_attr ファイルに保存されています。
注 - スーパーユーザーがすでに保有する solaris.* 承認には、solaris.ldoms.* 承認が含まれています。
役割には、承認および特権付きコマンドが含まれます。役割の詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」 を参照してください。
ユーザーに読み取り承認を割り当てます。
# usermod -A solaris.ldoms.read username
ユーザーに読み取りおよび書き込み承認を割り当てます。
# usermod -A solaris.ldoms.write username
注 - ユーザーに対する既存の承認が usermod -A コマンドに含まれていることを確認してください。このコマンドで指定した承認によって、すでにユーザーに割り当てられている承認がすべて置き換えられます。usermod(1M) マニュアルページを参照してください。
ldm サブコマンドで必要とされるユーザー承認の一覧は、表 3-1を参照してください。
役割には、承認および特権付きコマンドが含まれます。役割の詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」 を参照してください。
# usermod -A "" username
次の手順は、ローカルファイルを使用してシステム上のユーザープロファイルを管理する方法を示しています。ネームサービスでユーザープロファイルを管理するには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。
SUNWldm パッケージにより、システムで定義済みの 2 つの RBAC プロファイルがローカルの /etc/security/prof_attr ファイルに追加されます。次のプロファイルは、未承認のユーザーによる Logical Domains Manager へのアクセスを承認するために使用します。
LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read
LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*
SUNWldm パッケージは、LDoms 管理プロファイルに関連付けられている次の実行属性も定義します。
LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search
LDoms 管理プロファイルに直接割り当てられているユーザーは、プロファイルシェルを起動し、ldm コマンドをセキュリティー属性を使用して実行する必要があります。詳細については、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。
役割には、承認および特権付きコマンドが含まれます。役割の詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」 を参照してください。
LDoms 確認プロファイルまたは LDoms 管理プロファイルのいずれかをユーザーアカウントに割り当てることができます。
# usermod -P "profile-name" username
次のコマンドは、LDoms 管理プロファイルをユーザー sam に割り当てます。
# usermod -P "LDoms Management" sam
役割には、承認および特権付きコマンドが含まれます。役割の詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」 を参照してください。
# usermod -P "" username
次の手順は、ローカルファイルを使用して役割を作成し、ユーザーに割り当てる方法を示しています。ネームサービスで役割を管理するには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。
この手順を使用する利点は、特定の役割が割り当てられたユーザーだけがその役割になれることです。役割にパスワードが割り当てられている場合は、その役割になるときにパスワードが必要です。次の 2 つのセキュリティー階層は、パスワードを保有するユーザーが、割り当てられていない役割になることを防止します。
役割には、承認および特権付きコマンドが含まれます。役割の詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」 を参照してください。
# roleadd -P "profile-name" role-name
新しいパスワードを指定し、確認するようにプロンプトが表示されます。
# passwd role-name
# useradd -R role-name username
新しいパスワードを指定し、確認するようにプロンプトが表示されます。
# passwd username
# su username
$ id uid=nn(username) gid=nn(group-name) $ roles role-name
$ su role-name
$ id uid=nn(role-name) gid=nn(group-name)
例 3-1 役割の作成とユーザーへの割り当て
次の例では、ldm_read の役割を作成し、その役割を user_1 ユーザーに割り当てて user_1 ユーザーになり、ldm_read の役割を引き受けます。
# roleadd -P "LDoms Review" ldm_read # passwd ldm_read New Password: ldm_read-password Re-enter new Password: ldm_read-password passwd: password successfully changed for ldm_read # useradd -R ldm_read user_1 # passwd user_1 New Password: user_1-password Re-enter new Password: user_1-password passwd: password successfully changed for user_1 # su user_1 Password: user_1-password $ id uid=95555(user_1) gid=10(staff) $ roles ldm_read $ su ldm_read Password: ldm_read-password $ id uid=99667(ldm_read) gid=14(sysadmin)