JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Guide d'administration d'Oracle VM Server for SPARC 2.2     Oracle VM Server for SPARC (Fran├žais)
search filter icon
search icon

Informations document

Préface

Partie I Logiciel Oracle VM Server for SPARC .2.2

1.  Présentation du logiciel Oracle VM Server for SPARC

2.  Installation et activation du logiciel

3.  Sécurité d'Oracle VM Server for SPARC

Délégation de la gestion de Logical Domains à l'aide de RBAC

Utilisation des profils de droits et des rôles

Gestion des profils de droits utilisateurs

Assignation de rôles aux utilisateurs

Profils contenus dans Logical Domains Manager

Contrôle de l'accès à une console de domaine à l'aide de RBAC

Procédure de contrôle de l'accès à toutes les consoles de domaines par le biais de rôles

Procédure de contrôle de l'accès à toutes les consoles de domaines par le biais de profils de droits

Procédure de contrôle de l'accès à une console unique par le biais de rôles

Procédure de contrôle de l'accès à une console unique par le biais de profils de droits

Activation et utilisation de l'audit

Procédure d'activation de l'audit

Procédure de désactivation de l'audit

Procédure d'examen des enregistrements d'audit

Procédure de rotation des journaux d'audit

4.  Configuration des services et du domaine de contrôle

5.  Configuration des domaines invités

6.  Configuration des domaines d'E/S

7.  Utilisation des disques virtuels

8.  Utilisation des réseaux virtuels

9.  Migration des domaines

10.  Gestion des ressources

11.  Gestion des configurations de domaine

12.  Réalisation d'autres tâches d'administration

Partie II Logiciel Oracle VM Server for SPARC facultatif

13.  Outil de conversion physique-à-virtuel Oracle VM Server for SPARC

14.  Assistant de configuration d'Oracle VM Server for SPARC (Oracle Solaris 10)

15.  Utilisation du logiciel MIB (Management Information Base ) Oracle VM Server for SPARC

16.  Recherche de Logical Domains Manager

17.  Utilisation de l'interface XML avec Logical Domains Manager

Glossaire

Index

Contrôle de l'accès à une console de domaine à l'aide de RBAC

Par défaut, tous les utilisateurs peuvent accéder à toutes les consoles de domaines. Pour contrôler l'accès à une console, configurez le démon vntsd de manière à ce qu'il procède à une vérification des autorisations. Le démon vntsd fournit la propriété SMF (Service Management Facility, utilitaire de gestion des services) appelée vntsd/authorization. Cette propriété peut être configurée de manière à activer la vérification des autorisations des utilisateurs et des rôles pour une console de domaine ou un groupe de consoles. Pour activer le contrôle d'autorisation, utilisez la commande svccfg pour définir la valeur de cette propriété sur true. Lorsque cette option est activée, vntsd écoute et accepte les connexions uniquement sur localhost. Si la propriété listen_addr indique une autre adresse IP lorsque vntsd/authorization est activé, vntsd ignore l'autre adresse IP et continue à écouter uniquement sur localhost.


Attention

Attention - Ne configurez pas le service vntsd pour utiliser un hôte autre que localhost.

Si vous spécifiez un hôte différent de localhost, vous n'êtes plus empêché de vous connecter aux consoles de domaine invitées à partir du domaine de contrôle. Si vous vous connectez à distance à un domaine invité à l'aide de la commande telnet, les informations d'identification de connexion sont transmises en texte clair sur le réseau.


Par défaut, une autorisation d'accès à toutes les consoles invitées est présente dans la base de données auth_attr locale.

solaris.vntsd.consoles:::Access All LDoms Guest Consoles::

Servez-vous de la commande usermod pour affecter les autorisations requises à des utilisateurs ou des rôles dans les fichiers locaux. Avec cette commande, seul l'utilisateur ou le rôle qui possède les autorisations requises peut accéder à une console de domaine ou un groupe de consoles donné. Pour affecter des autorisations à des utilisateurs ou des rôles dans un service de noms, reportez-vous au manuel Guía de administración del sistema: Servicios de nombres y directorios (DNS, NIS y LDAP).

Vous pouvez contrôler l'accès à toutes les consoles de domaines ou à une seule console de domaine.

Procédure de contrôle de l'accès à toutes les consoles de domaines par le biais de rôles

  1. Restreignez l'accès à une console de domaine en activant la vérification des autorisations de la console.
    primary# svccfg -s vntsd setprop vntsd/authorization = true
    primary# svcadm refresh vntsd
    primary# svcadm restart vntsd
  2. Créez un rôle possédant l'autorisation solaris.vntsd.consoles, qui permet d'accéder à toutes les consoles de domaines.
    primary# roleadd -A solaris.vntsd.consoles role-name
    primary# passwd all_cons
  3. Assignez le nouveau rôle à un utilisateur.
    primary# usermod -R role-name username

Exemple 3-2 Contrôle de l'accès à toutes les consoles de domaines par le biais de rôles

Activez tout d'abord la vérification des autorisations de la console pour restreindre l'accès à une console de domaine.

primary# svccfg -s vntsd setprop vntsd/authorization = true
primary# svcadm refresh vntsd
primary# svcadm restart vntsd
primary# ldm ls
NAME             STATE      FLAGS   CONS    VCPU  MEMORY   UTIL  UPTIME
primary          active     -n-cv-  UART    8     16G      0.2%  47m
ldg1             active     -n--v-  5000    2     1G       0.1%  17h 50m
ldg2             active     -t----  5001    4     2G        25%  11s

L'exemple suivant décrit la création du rôle all_cons avec l'autorisation solaris.vntsd.consoles, laquelle permet d'accéder à toutes les consoles de domaines.

primary# roleadd -A solaris.vntsd.consoles all_cons
primary# passwd all_cons
New Password:
Re-enter new Password:
passwd: password successfully changed for all_cons

Cette commande affecte le rôle all_cons à l'utilisateur sam.

primary# usermod -R all_cons sam

L'utilisateur sam prend le rôle all_cons et peut accéder à n'importe quelle console. Par exemple :

$ id
uid=700299(sam) gid=1(other)
-bash-3.2$ su all_cons
Password:
$ telnet 0 5000
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.

Connecting to console "ldg1" in group "ldg1" ....
Press ~? for control options ..

$ telnet 0 5001
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.

Connecting to console "ldg2" in group "ldg2" ....
Press ~? for control options ..

Cet exemple montre ce qui se produit lorsqu'un utilisateur non autorisé, dana, tente d'accéder à une console de domaine :

$ id
uid=702048(dana) gid=1(other)
$ telnet 0 5000
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.
Connection to 0 closed by foreign host.

Procédure de contrôle de l'accès à toutes les consoles de domaines par le biais de profils de droits

  1. Créez un profil de droits comportant l'autorisation solaris.vntsd.consoles.
    • Sous Oracle Solaris 10, modifiez le fichier /etc/security/prof_attr.

      Incluez l'entrée suivante :

      LDoms Consoles:::Access LDoms Consoles:auths=solaris.vntsd.consoles
    • Sous Oracle Solaris 11, créez un profil à l'aide de la commande profiles.
      primary# profiles -p "LDoms Consoles" \ 'set desc="Access LDoms Consoles"; set auths=solaris.vntsd.consoles'
  2. Affectez le profil de droits à un utilisateur.
    • Sous Oracle Solaris 10, affectez le profil de droits à un utilisateur.
      primary# usermod -P "All,Basic Solaris User,LDoms Consoles" username

      Veuillez à indiquer les éventuels profils préexistants lorsque vous ajoutez le profil LDoms Consoles. La commande qui précède indique que l'utilisateur possédait déjà les profils All et Basic Solaris User.

    • Sous Oracle Solaris 11, affectez le profil de droits à un utilisateur.
      primary# usermod -P +"LDoms Consoles" username
  3. Connectez-vous à la console du domaine sous le nom de d'utilisateur concerné.
    $ telnet 0 5000

Exemple 3-3 Contrôle de l'accès à toutes les consoles de domaines par le biais de profils de droits

Les exemples qui suivent illustrent l'utilisation de profils de droits pour contrôler l'accès à toutes les consoles de domaines :

Procédure de contrôle de l'accès à une console unique par le biais de rôles

  1. Ajoutez une autorisation pour un seul domaine dans le fichier /etc/security/auth_attr.

    Le nom de l'autorisation est dérivé du nom du domaine et se présente sous la forme : solaris.vntsd.console-domain-name :

    solaris.vntsd.console-domain-name:::Access domain-name Console::
  2. Créez un rôle possédant la nouvelle autorisation pour n'autoriser l'accès qu'à la console de domaine.
    primary# roleadd -A solaris.vntsd.console-domain-name role-name
    primary# passwd role-name
    New Password:
    Re-enter new Password:
    passwd: password successfully changed for role-name
  3. Assignez le rôle role-name à un utilisateur.
    primary# usermod -R role-name username

Exemple 3-4 Accès à une console de domaine unique

Dans cet exemple, l'utilisateur terry prend le rôle ldg1cons et accède à la console du domaine ldg1.

Ajoutez tout d'abord une autorisation pour un domaine unique ldg1 dans le fichier /etc/security/auth_attr :

solaris.vntsd.console-ldg1:::Access ldg1 Console::

Créez ensuite un rôle possédant la nouvelle autorisation pour n'autoriser l'accès qu'à la console de domaine.

primary# roleadd -A solaris.vntsd.console-ldg1 ldg1cons
primary# passwd ldg1cons
New Password:
Re-enter new Password:
passwd: password successfully changed for ldg1cons

Affectez le rôle ldg1cons à l'utilisateur terry, prenez le rôle ldg1cons et accédez à la console de domaine :

primary# usermod -R ldg1cons terry
primary# su ldg1cons
Password:
$ id
uid=700303(ldg1cons) gid=1(other)
$ telnet 0 5000
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.

Connecting to console "ldg1" in group "ldg1" ....
Press ~? for control options ..

Le message ci-dessous indique que l'utilisateur terry ne peut pas accéder à la console du domaine ldg2 :

$ telnet 0 5001
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.
Connection to 0 closed by foreign host.

Procédure de contrôle de l'accès à une console unique par le biais de profils de droits

  1. Ajoutez une autorisation pour un seul domaine dans le fichier /etc/security/auth_attr.

    L'exemple d'entrée suivant ajoute l'autorisation pour une console de domaine :

    solaris.vntsd.console-domain-name:::Access domain-name Console::
  2. Créez un profil de droits comportant une autorisation d'accès à une console de domaine particulière.
    • Sous Oracle Solaris 10, modifiez le fichier /etc/security/prof_attr.
      domain-name Console:::Access domain-name
      Console:auths=solaris.vntsd.console-domain-name

      Cette entrée doit être placée sur une seule ligne.

    • Sous Oracle Solaris 11, créez un profil à l'aide de la commande profiles.
      primary# profiles -p "domain-name Console" \ 'set desc="Access domain-name Console"; set auths=solaris.vntsd.console-domain-name'
  3. Affectez le profil de droits à un utilisateur.

    Les commandes suivantes assignent le profil à un utilisateur :

    • Sous Oracle Solaris 10, assignez le profil de droits.
      primary# usermod -P "All,Basic Solaris User,domain-name Console" username

      Notez que les profils All et Basic Solaris User sont indispensables.

    • Sous Oracle Solaris 11, assignez le profil de droits.
      primary# usermod -P +"domain-name Console" username