Délégation de la gestion de Logical Domains à l'aide de RBAC

Le package Logical Domains Manager ajoute deux profils de droits de contrôle d'accès basé sur les rôles (RBAC) prédéfinis à la configuration RBAC locale. A l'aide de ces profils de droits, vous pouvez déléguer les privilèges administratifs suivants à des utilisateurs dépourvus de privilèges :

• Le profil LDoms Management (Gestion de domaines logiques) permet à un utilisateur d'utiliser toutes les sous-commandes ldm.

• Le profil LDoms Review (Vérification de domaines logiques) permet à un utilisateur d'utiliser toutes les sous-commandes liées aux listes de ldm.

Ces profils de droits peuvent être affectés directement à des utilisateurs ou ils peuvent être affectés à un rôle qui sera à son tour affecté à des utilisateurs. Lorsque l'un de ces profils est directement affecté à un utilisateur, vous devez utiliser la commande pfexec ou un shell de profil tel que pfbash ou pfksh pour utiliser correctement la commande ldm afin de gérer les domaines. Optez pour les rôles ou les profils de droits en fonction de votre configuration RBAC. Reportez-vous au manuel Guía de administración del sistema: servicios de seguridad ou à la Partie III, Roles, perfiles de derechos y privilegios du manuel Administración de Oracle Solaris: servicios de seguridad.

Les utilisateurs, autorisations, profils de droits et rôles peuvent être configurés de l'une des manières suivantes :

• De manière locale sur le système à l'aide de fichiers

• De manière centrale dans un service de noms tel que LDAP

L'installation de Logical Domains Manager ajoute les profils de droits et autorisations nécessaires dans les fichiers locaux. Pour configurer les profils et les rôles dans un service de noms, reportez-vous au manuel Guía de administración del sistema: Servicios de nombres y directorios (DNS, NIS y LDAP). Tous les exemples de ce chapitre supposent que la configuration RBAC utilise des fichiers locaux. Pour une vue d'ensemble des autorisations et des attributs d'exécution fournis par le package Logical Domains Manager, reportez-vous à la section Profils contenus dans Logical Domains Manager.

Utilisation des profils de droits et des rôles

---

Attention - Faites preuve de prudence lorsque vous utilisez les commandes usermod et rolemod pour ajouter des autorisations, des profils de droits ou des rôles. Pour le système d'exploitation Oracle Solaris 10, la commande usermod ou rolemod remplace toutes les valeurs existantes. Pour ajouter des valeurs au lieu de les remplacer, spécifiez une liste séparée par des virgules comprenant les valeurs existantes et les nouvelles valeurs. Pour le SE Oracle Solaris 11, ajoutez des valeurs en utilisant le signe plus (+) pour chaque autorisation que vous ajoutez. Par exemple, la commande usermod -A +auth username accorde l'autorisation auth à l'utilisateur username ; il en va de même pour la commande rolemod.

---

Gestion des profils de droits utilisateurs

Les procédures suivantes permettent de gérer les profils de droits utilisateurs sur le système à l'aide de fichiers locaux. Pour gérer les profils utilisateur dans un service de noms, reportez-vous au Guía de administración del sistema: Servicios de nombres y directorios (DNS, NIS y LDAP).

Procédure d'affectation d'un profil de droits à un utilisateur

Les utilisateurs auxquels le profil LDoms Management a été affecté directement doivent appeler un shell de profil pour exécuter la commande ldm avec des attributs de sécurité. Pour plus d'informations, reportez-vous au manuel Guía de administración del sistema: servicios de seguridad ou à la Partie III, Roles, perfiles de derechos y privilegios du manuel Administración de Oracle Solaris: servicios de seguridad.

1. Prenez le rôle d'administrateur, de superutilisateur ou un rôle équivalent.

   Pour Oracle Solaris 10, reportez-vous à la section Configuración de RBAC (mapa de tareas) du manuel Guía de administración del sistema: servicios de seguridad. Pour Oracle Solaris 11, reportez-vous à la Partie III, Roles, perfiles de derechos y privilegios du manuel Administración de Oracle Solaris: servicios de seguridad.

2. Affectez un profil d'administration à un compte utilisateur local.

   Vous pouvez affecter le profil LDoms Review ou le profil LDoms Management à un compte utilisateur.

   # usermod -P "profile-name" username

   La commande suivante affecte le profil LDoms Management à l'utilisateur sam.

   # usermod -P "LDoms Management" sam

Assignation de rôles aux utilisateurs

La procédure suivante permet de créer un rôle et de l'affecter à un utilisateur à l'aide de fichiers locaux. Pour gérer les rôles dans un service de noms, reportez-vous au Guía de administración del sistema: Servicios de nombres y directorios (DNS, NIS y LDAP).

Cette procédure présente l'avantage que les rôles ne sont endossés que par les utilisateurs à qui ils ont été affectés. Lorsqu'un utilisateur endosse un rôle, il doit fournir le mot de passe qui a été affecté au rôle, le cas échéant. Ces deux niveaux de sécurité empêchent un utilisateur d'endosser un rôle pour lequel il détient le mot de passe, mais qui ne lui a pas été affecté.

Procédure de création d'un rôle et d'affectation du rôle à un utilisateur

1. Prenez le rôle d'administrateur, de superutilisateur ou un rôle équivalent.

   Pour Oracle Solaris 10, reportez-vous à la section Configuración de RBAC (mapa de tareas) du manuel Guía de administración del sistema: servicios de seguridad. Pour Oracle Solaris 11, reportez-vous à la Partie III, Roles, perfiles de derechos y privilegios du manuel Administración de Oracle Solaris: servicios de seguridad.

2. Créez un rôle.

   # roleadd -P "profile-name" role-name

3. Assignez un mot de passe au rôle.

   Vous êtes invité à spécifier un nouveau mot de passe et à le vérifier.

   # passwd role-name

4. Assignez le rôle à un utilisateur.

   # useradd -R role-name username

5. Assignez un mot de passe à un utilisateur.

   Vous êtes invité à spécifier un nouveau mot de passe et à le vérifier.

   # passwd username

6. Devenez l'utilisateur et fournissez le mot de passe, si nécessaire.

   # su username

7. Vérifiez que l'utilisateur peut accéder au rôle affecté.

   $ id
   uid=nn(username) gid=nn(group-name)
   $ roles
   role-name

8. Endossez le rôle et fournissez le mot de passe, si nécessaire.

   $ su role-name

9. Vérifiez que l'utilisateur a endossé le rôle.

   $ id
   uid=nn(role-name) gid=nn(group-name)

Exemple 3-1 Création d'un rôle et affectation du rôle à un utilisateur

Cet exemple illustre comment créer le rôle ldm_read, affecter le rôle à l'utilisateur user_1, devenir l'utilisateur user_1 et endosser le rôle ldm_read.

# roleadd -P "LDoms Review" ldm_read
# passwd ldm_read
New Password: ldm_read-password
Re-enter new Password: ldm_read-password
passwd: password successfully changed for ldm_read
# useradd -R ldm_read user_1
# passwd user_1
New Password: user_1-password
Re-enter new Password: user_1-password
passwd: password successfully changed for user_1
# su user_1
Password: user_1-password
$ id
uid=95555(user_1) gid=10(staff)
$ roles
ldm_read
$ su ldm_read
Password: ldm_read-password
$ id
uid=99667(ldm_read) gid=14(sysadmin)

Profils contenus dans Logical Domains Manager

Le package Logical Domains Manager ajoute les profils RBAC suivants dans le fichier /etc/security/prof_attr local.

• LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read

• LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*

Le package Logical Domains Manager ajoute également au fichier /etc/security/exec_attr l'attribut d'exécution suivant, associé au profil LDoms Management :

LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search

Le tableau suivant répertorie les sous-commandes ldm avec l'autorisation utilisateur requise pour utiliser les commandes.

Tableau 3-1 Sous-commandes ldm et autorisations utilisateur

¹Concerne toutes les ressources que vous pouvez ajouter, répertorier, supprimer ou configurer.