Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración de Oracle VM Server for SPARC 2.2 Oracle VM Server for SPARC (Español) |
Parte I Software Oracle VM Server for SPARC 2.2
1. Información general sobre el software del Oracle VM Server for SPARC
2. Instalación y habilitación del software
3. Seguridad de Oracle VM Server for SPARC
Delegación de gestión de dominios lógicos utilizando RBAC
Uso de perfiles de derechos y roles
Gestión de perfiles de derechos de usuario
Asignación de funciones a usuarios
Contenidos de perfil de Logical Domains Manager
Control de acceso a una consola de dominio mediante RBAC
Cómo controlar el acceso a todas las consolas de dominio mediante roles
Cómo controlar el acceso a todas las consolas de dominio mediante perfiles de derechos
Cómo controlar el acceso a una única consola mediante roles
Cómo controlar el acceso a una única consola mediante perfiles de derechos
Activación y utilización de auditoría
Cómo revisar los registros de auditoría
Cómo rotar registros de auditoría
4. Configuración de servicios y el dominio de control
5. Configuración de los dominios invitados
6. Configuración de dominios de E/S
10. Administración de recursos
11. Gestión de configuraciones de dominios
12. Realización de otras tareas administrativas
Parte II Software Oracle VM Server for SPARC opcional
13. Herramienta de conversión física a virtual del Oracle VM Server for SPARC
14. Asistente de configuración de Oracle VM Server for SPARC (Oracle Solaris 10)
15. Uso del software de Base de datos de información de administración de Oracle VM Server for SPARC
16. Descubrimiento del Logical Domains Manager
De manera predeterminada, cualquier usuario puede acceder a todas las consolas de dominio. Para controlar el acceso a una consola de dominio, configure el daemon vntsd para realizar la comprobación de la autorización. El daemon vntsd ofrece una propiedad de dispositivo de administración de servicios (SMF) denominada vntsd/authorization. Esta propiedad puede configurarse para activar la comprobación de autorización de usuarios y roles para una consola de dominio o un grupo de consola. Para habilitar la comprobación de autorización, use el comando svccfg para fijar el valor de esta propiedad en true. Mientras esta opción está habilitada, vntsd escucha y acepta conexiones sólo en localhost. Si la propiedad listen_addr especifica una dirección IP alternativa cuando vntsd/authorization está habilitado, vntsd ignora las direcciones IP alternativas y continúa escuchando sólo en localhost.
Precaución - No configure el servicio vntsd para usar un host que no sea localhost. Si especifica un host que no sea localhost, ya no se le impedirá conectarse a las consolas de dominio invitado desde el dominio de control. Si utiliza el comando telnet para conectarse remotamente a un dominio invitado, las credenciales de inicio de sesión se transferirán como texto no cifrado por la red. |
De modo predeterminado, en la base de datos auth_attr local hay una autorización para acceder a todas las consolas invitado.
solaris.vntsd.consoles:::Access All LDoms Guest Consoles::
Utilice el comando usermod para asignar las autorizaciones requeridas a usuarios o roles en archivos locales. Esto permite que sólo el usuario o el rol que tiene las autorizaciones necesarias pueda acceder a una consola de dominio o grupo de consola específicos. Para asignar autorizaciones a usuarios o roles en un servicio de nombres, consulte la Guide d’administration système : Services d’annuaire et de nommage (DNS, NIS et LDAP).
Puede controlar el acceso a todas las consolas de dominio o a una única consola de dominio.
Para controlar el acceso a todas las consolas de dominio, consulte Cómo controlar el acceso a todas las consolas de dominio mediante roles y Cómo controlar el acceso a todas las consolas de dominio mediante perfiles de derechos.
Para controlar el acceso a una única consola de dominio, consulte Cómo controlar el acceso a una única consola mediante roles y Cómo controlar el acceso a una única consola mediante perfiles de derechos.
primary# svccfg -s vntsd setprop vntsd/authorization = true primary# svcadm refresh vntsd primary# svcadm restart vntsd
primary# roleadd -A solaris.vntsd.consoles role-name primary# passwd all_cons
primary# usermod -R role-name username
Ejemplo 3-2 Control de acceso a todas las consolas de dominio mediante roles
En primer lugar, se debe activar la comprobación de autorización de consola para restringir el acceso a una consola de dominio.
primary# svccfg -s vntsd setprop vntsd/authorization = true primary# svcadm refresh vntsd primary# svcadm restart vntsd primary# ldm ls NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME primary active -n-cv- UART 8 16G 0.2% 47m ldg1 active -n--v- 5000 2 1G 0.1% 17h 50m ldg2 active -t---- 5001 4 2G 25% 11s
En el ejemplo siguiente se muestra cómo crear el rol all_cons con la autorización solaris.vntsd.consoles, que permite acceder a todas las consolas de dominio.
primary# roleadd -A solaris.vntsd.consoles all_cons primary# passwd all_cons New Password: Re-enter new Password: passwd: password successfully changed for all_cons
Este comando asigna el rol all_cons al usuario sam.
primary# usermod -R all_cons sam
El usuario sam asume el rol all_cons y puede acceder a cualquier consola. Por ejemplo:
$ id uid=700299(sam) gid=1(other) -bash-3.2$ su all_cons Password: $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg1" in group "ldg1" .... Press ~? for control options .. $ telnet 0 5001 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg2" in group "ldg2" .... Press ~? for control options ..
En este ejemplo, se muestra lo que ocurre cuando un usuario no autorizado, dana, intenta acceder a una consola de dominio:
$ id uid=702048(dana) gid=1(other) $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connection to 0 closed by foreign host.
Incluya la siguiente entrada:
LDoms Consoles:::Access LDoms Consoles:auths=solaris.vntsd.consoles
primary# profiles -p "LDoms Consoles" \ 'set desc="Access LDoms Consoles"; set auths=solaris.vntsd.consoles'
primary# usermod -P "All,Basic Solaris User,LDoms Consoles" username
Tenga cuidado a la hora de especificar cualquier perfil preexistente al agregar el perfil LDoms Consoles. El comando anterior muestra que el usuario ya tiene los perfiles All y Basic Solaris User.
primary# usermod -P +"LDoms Consoles" username
$ telnet 0 5000
Ejemplo 3-3 Control de acceso a todas las consolas de dominio mediante perfiles de derechos
En los ejemplos siguientes se muestra cómo utilizar perfiles de derechos para controlar el acceso a todas las consolas de dominio:
Oracle Solaris 10: cree un perfil de derechos con la autorización solaris.vntsd.consoles agregando la siguiente entrada al archivo /etc/security/prof_attr:
LDoms Consoles:::Access LDoms Consoles:auths=solaris.vntsd.consoles
Asigne el perfil de derechos a username.
primary# usermod -P "All,Basic Solaris User,LDoms Consoles" username
Los siguientes comandos muestran cómo verificar que el usuario sea sam y que los perfiles All, Basic Solaris User y LDoms Consoles estén en vigor. El comando telnet muestra cómo acceder a la consola de dominio ldg1.
$ id uid=702048(sam) gid=1(other) $ profiles All Basic Solaris User LDoms Consoles $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg1" in group "ldg1" .... Press ~? for control options ..
Oracle Solaris 11: utilice el comando profiles para crear un perfil de derechos con la autorización solaris.vntsd.consoles en el archivo /etc/security/prof_attr.
primary# profiles -p "LDoms Consoles" \ 'set desc="Access LDoms Consoles"; set auths=solaris.vntsd.consoles'
Asigne el perfil de derechos a un usuario.
primary# usermod -P +"LDoms Consoles" sam
Los siguientes comandos muestran cómo verificar que el usuario sea sam y que los perfiles All, Basic Solaris User y LDoms Consoles estén en vigor. El comando telnet muestra cómo acceder a la consola de dominio ldg1.
$ id uid=702048(sam) gid=1(other) $ profiles All Basic Solaris User LDoms Consoles $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg1" in group "ldg1" .... Press ~? for control options ..
El nombre de autorización proviene del nombre del dominio y tiene el formato solaris.vntsd.console-domain-name:
solaris.vntsd.console-domain-name:::Access domain-name Console::
primary# roleadd -A solaris.vntsd.console-domain-name role-name primary# passwd role-name New Password: Re-enter new Password: passwd: password successfully changed for role-name
primary# usermod -R role-name username
Ejemplo 3-4 Acceso a una única consola de dominio
En este ejemplo se muestra cómo terry asume el rol ldg1cons y accede a la consola de dominio ldg1.
En primer lugar, agregue una autorización para un único dominio, ldg1, al archivo /etc/security/auth_attr:
solaris.vntsd.console-ldg1:::Access ldg1 Console::
Luego, cree un rol con la nueva autorización para permitir el acceso únicamente a la consola de dominio.
primary# roleadd -A solaris.vntsd.console-ldg1 ldg1cons primary# passwd ldg1cons New Password: Re-enter new Password: passwd: password successfully changed for ldg1cons
Asigne el rol ldg1cons al usuario terry, asuma el rol ldg1cons y acceda a la consola de dominio:
primary# usermod -R ldg1cons terry primary# su ldg1cons Password: $ id uid=700303(ldg1cons) gid=1(other) $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg1" in group "ldg1" .... Press ~? for control options ..
Lo siguiente muestra que el usuario terry no puede acceder a la consola de dominio ldg2:
$ telnet 0 5001 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connection to 0 closed by foreign host.
En el siguiente ejemplo, una entrada agrega la autorización para una consola de dominio:
solaris.vntsd.console-domain-name:::Access domain-name Console::
domain-name Console:::Access domain-name Console:auths=solaris.vntsd.console-domain-name
Esta entrada debe estar en una sola línea.
primary# profiles -p "domain-name Console" \ 'set desc="Access domain-name Console"; set auths=solaris.vntsd.console-domain-name'
Los siguientes comandos asignan el perfil a un usuario:
primary# usermod -P "All,Basic Solaris User,domain-name Console" username
Tenga en cuenta que son necesarios los perfiles All y Basic Solaris User.
primary# usermod -P +"domain-name Console" username