JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Guide d'administration d'Oracle VM Server for SPARC 2.2     Oracle VM Server for SPARC (Fran├žais)
search filter icon
search icon

Informations document

Préface

Partie I Logiciel Oracle VM Server for SPARC .2.2

1.  Présentation du logiciel Oracle VM Server for SPARC

2.  Installation et activation du logiciel

3.  Sécurité d'Oracle VM Server for SPARC

Délégation de la gestion de Logical Domains à l'aide de RBAC

Utilisation des profils de droits et des rôles

Gestion des profils de droits utilisateurs

Assignation de rôles aux utilisateurs

Profils contenus dans Logical Domains Manager

Contrôle de l'accès à une console de domaine à l'aide de RBAC

Procédure de contrôle de l'accès à toutes les consoles de domaines par le biais de rôles

Procédure de contrôle de l'accès à toutes les consoles de domaines par le biais de profils de droits

Procédure de contrôle de l'accès à une console unique par le biais de rôles

Procédure de contrôle de l'accès à une console unique par le biais de profils de droits

Activation et utilisation de l'audit

Procédure d'activation de l'audit

Procédure de désactivation de l'audit

Procédure d'examen des enregistrements d'audit

Procédure de rotation des journaux d'audit

4.  Configuration des services et du domaine de contrôle

5.  Configuration des domaines invités

6.  Configuration des domaines d'E/S

7.  Utilisation des disques virtuels

8.  Utilisation des réseaux virtuels

9.  Migration des domaines

10.  Gestion des ressources

11.  Gestion des configurations de domaine

12.  Réalisation d'autres tâches d'administration

Partie II Logiciel Oracle VM Server for SPARC facultatif

13.  Outil de conversion physique-à-virtuel Oracle VM Server for SPARC

14.  Assistant de configuration d'Oracle VM Server for SPARC (Oracle Solaris 10)

15.  Utilisation du logiciel MIB (Management Information Base ) Oracle VM Server for SPARC

16.  Recherche de Logical Domains Manager

17.  Utilisation de l'interface XML avec Logical Domains Manager

Glossaire

Index

Délégation de la gestion de Logical Domains à l'aide de RBAC

Le package Logical Domains Manager ajoute deux profils de droits de contrôle d'accès basé sur les rôles (RBAC) prédéfinis à la configuration RBAC locale. A l'aide de ces profils de droits, vous pouvez déléguer les privilèges administratifs suivants à des utilisateurs dépourvus de privilèges :

Ces profils de droits peuvent être affectés directement à des utilisateurs ou ils peuvent être affectés à un rôle qui sera à son tour affecté à des utilisateurs. Lorsque l'un de ces profils est directement affecté à un utilisateur, vous devez utiliser la commande pfexec ou un shell de profil tel que pfbash ou pfksh pour utiliser correctement la commande ldm afin de gérer les domaines. Optez pour les rôles ou les profils de droits en fonction de votre configuration RBAC. Reportez-vous au manuel Guía de administración del sistema: servicios de seguridad ou à la Partie III, Roles, perfiles de derechos y privilegios du manuel Administración de Oracle Solaris: servicios de seguridad.

Les utilisateurs, autorisations, profils de droits et rôles peuvent être configurés de l'une des manières suivantes :

L'installation de Logical Domains Manager ajoute les profils de droits et autorisations nécessaires dans les fichiers locaux. Pour configurer les profils et les rôles dans un service de noms, reportez-vous au manuel Guía de administración del sistema: Servicios de nombres y directorios (DNS, NIS y LDAP). Tous les exemples de ce chapitre supposent que la configuration RBAC utilise des fichiers locaux. Pour une vue d'ensemble des autorisations et des attributs d'exécution fournis par le package Logical Domains Manager, reportez-vous à la section Profils contenus dans Logical Domains Manager.

Utilisation des profils de droits et des rôles


Attention

Attention - Faites preuve de prudence lorsque vous utilisez les commandes usermod et rolemod pour ajouter des autorisations, des profils de droits ou des rôles.

  • Pour le système d'exploitation Oracle Solaris 10, la commande usermod ou rolemod remplace toutes les valeurs existantes.

    Pour ajouter des valeurs au lieu de les remplacer, spécifiez une liste séparée par des virgules comprenant les valeurs existantes et les nouvelles valeurs.

  • Pour le SE Oracle Solaris 11, ajoutez des valeurs en utilisant le signe plus (+) pour chaque autorisation que vous ajoutez.

    Par exemple, la commande usermod -A +auth username accorde l'autorisation auth à l'utilisateur username ; il en va de même pour la commande rolemod.


Gestion des profils de droits utilisateurs

Les procédures suivantes permettent de gérer les profils de droits utilisateurs sur le système à l'aide de fichiers locaux. Pour gérer les profils utilisateur dans un service de noms, reportez-vous au Guía de administración del sistema: Servicios de nombres y directorios (DNS, NIS y LDAP).

Procédure d'affectation d'un profil de droits à un utilisateur

Les utilisateurs auxquels le profil LDoms Management a été affecté directement doivent appeler un shell de profil pour exécuter la commande ldm avec des attributs de sécurité. Pour plus d'informations, reportez-vous au manuel Guía de administración del sistema: servicios de seguridad ou à la Partie III, Roles, perfiles de derechos y privilegios du manuel Administración de Oracle Solaris: servicios de seguridad.

  1. Prenez le rôle d'administrateur, de superutilisateur ou un rôle équivalent.

    Pour Oracle Solaris 10, reportez-vous à la section Configuración de RBAC (mapa de tareas) du manuel Guía de administración del sistema: servicios de seguridad. Pour Oracle Solaris 11, reportez-vous à la Partie III, Roles, perfiles de derechos y privilegios du manuel Administración de Oracle Solaris: servicios de seguridad.

  2. Affectez un profil d'administration à un compte utilisateur local.

    Vous pouvez affecter le profil LDoms Review ou le profil LDoms Management à un compte utilisateur.

    # usermod -P "profile-name" username

    La commande suivante affecte le profil LDoms Management à l'utilisateur sam.

    # usermod -P "LDoms Management" sam

Assignation de rôles aux utilisateurs

La procédure suivante permet de créer un rôle et de l'affecter à un utilisateur à l'aide de fichiers locaux. Pour gérer les rôles dans un service de noms, reportez-vous au Guía de administración del sistema: Servicios de nombres y directorios (DNS, NIS y LDAP).

Cette procédure présente l'avantage que les rôles ne sont endossés que par les utilisateurs à qui ils ont été affectés. Lorsqu'un utilisateur endosse un rôle, il doit fournir le mot de passe qui a été affecté au rôle, le cas échéant. Ces deux niveaux de sécurité empêchent un utilisateur d'endosser un rôle pour lequel il détient le mot de passe, mais qui ne lui a pas été affecté.

Procédure de création d'un rôle et d'affectation du rôle à un utilisateur

  1. Prenez le rôle d'administrateur, de superutilisateur ou un rôle équivalent.

    Pour Oracle Solaris 10, reportez-vous à la section Configuración de RBAC (mapa de tareas) du manuel Guía de administración del sistema: servicios de seguridad. Pour Oracle Solaris 11, reportez-vous à la Partie III, Roles, perfiles de derechos y privilegios du manuel Administración de Oracle Solaris: servicios de seguridad.

  2. Créez un rôle.
    # roleadd -P "profile-name" role-name
  3. Assignez un mot de passe au rôle.

    Vous êtes invité à spécifier un nouveau mot de passe et à le vérifier.

    # passwd role-name
  4. Assignez le rôle à un utilisateur.
    # useradd -R role-name username
  5. Assignez un mot de passe à un utilisateur.

    Vous êtes invité à spécifier un nouveau mot de passe et à le vérifier.

    # passwd username
  6. Devenez l'utilisateur et fournissez le mot de passe, si nécessaire.
    # su username
  7. Vérifiez que l'utilisateur peut accéder au rôle affecté.
    $ id
    uid=nn(username) gid=nn(group-name)
    $ roles
    role-name
  8. Endossez le rôle et fournissez le mot de passe, si nécessaire.
    $ su role-name
  9. Vérifiez que l'utilisateur a endossé le rôle.
    $ id
    uid=nn(role-name) gid=nn(group-name)

Exemple 3-1 Création d'un rôle et affectation du rôle à un utilisateur

Cet exemple illustre comment créer le rôle ldm_read, affecter le rôle à l'utilisateur user_1, devenir l'utilisateur user_1 et endosser le rôle ldm_read.

# roleadd -P "LDoms Review" ldm_read
# passwd ldm_read
New Password: ldm_read-password
Re-enter new Password: ldm_read-password
passwd: password successfully changed for ldm_read
# useradd -R ldm_read user_1
# passwd user_1
New Password: user_1-password
Re-enter new Password: user_1-password
passwd: password successfully changed for user_1
# su user_1
Password: user_1-password
$ id
uid=95555(user_1) gid=10(staff)
$ roles
ldm_read
$ su ldm_read
Password: ldm_read-password
$ id
uid=99667(ldm_read) gid=14(sysadmin)

Profils contenus dans Logical Domains Manager

Le package Logical Domains Manager ajoute les profils RBAC suivants dans le fichier /etc/security/prof_attr local.

Le package Logical Domains Manager ajoute également au fichier /etc/security/exec_attr l'attribut d'exécution suivant, associé au profil LDoms Management :

LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search

Le tableau suivant répertorie les sous-commandes ldm avec l'autorisation utilisateur requise pour utiliser les commandes.

Tableau 3-1 Sous-commandes ldm et autorisations utilisateur

Sous-commande ldm1
Autorisation utilisateur
add-*
solaris.ldoms.write
bind-domain
solaris.ldoms.write
list
solaris.ldoms.read
list-*
solaris.ldoms.read
panic-domain
solaris.ldoms.write
remove-*
solaris.ldoms.write
set-*
solaris.ldoms.write
start-domain
solaris.ldoms.write
stop-domain
solaris.ldoms.write
unbind-domain
solaris.ldoms.write

1Concerne toutes les ressources que vous pouvez ajouter, répertorier, supprimer ou configurer.