JavaScript is required to for searching.
跳过导航链接
退出打印视图
Oracle VM Server for SPARC 2.2 管理指南     Oracle VM Server for SPARC (简体中文)
search filter icon
search icon

文档信息

前言

第 1 部分Oracle VM Server for SPARC 2.2 软件

1.  Oracle VM Server for SPARC 软件概述

2.  安装和启用软件

3.  Oracle VM Server for SPARC 安全

使用 RBAC 委托管理逻辑域

使用权限配置文件和角色

管理用户权限配置文件

给用户分配角色

Logical Domains Manager 配置文件内容

使用 RBAC 控制对域控制台的访问

如何使用角色控制对所有域控制台的访问

如何使用权限配置文件控制对所有域控制台的访问

如何使用角色控制对单一控制台的访问

如何使用权限配置文件控制对单个控制台的访问

启用并使用审计

如何启用审计

如何禁用审计

如何查看审计记录

如何轮转审计日志

4.  设置服务和控制域

5.  设置来宾域

6.  设置 I/O 域

7.  使用虚拟磁盘

8.  使用虚拟网络

9.  迁移域

10.  管理资源

11.  管理域配置

12.  执行其他管理任务

第 2 部分可选的 Oracle VM Server for SPARC 软件

13.  Oracle VM Server for SPARC 物理机到虚拟机转换工具

14.  Oracle VM Server for SPARC Configuration Assistant (Oracle Solaris 10)

15.  使用 Oracle VM Server for SPARC 管理信息库软件

16.  Logical Domains Manager 发现

17.  将 XML 接口与 Logical Domains Manager 结合使用

词汇表

索引

使用 RBAC 委托管理逻辑域

Logical Domains Manager 软件包将两个预先定义的基于角色的访问控制 (role-based access control, RBAC) 权限配置文件添加到本地 RBAC 配置。通过使用这些权限配置文件,您可以将以下管理特权委托给非特权用户:

这些权限配置文件可以直接分配给用户或之后会分配给用户的角色。如果将其中一种配置文件直接分配给用户,您必须使用 pfexec 命令或配置文件 shell(例如 pfbashpfksh),以成功使用 ldm 命令管理您的域。根据您的 RBAC 配置确定是使用角色还是权限配置文件。请参见《系统管理指南:安全性服务》《Oracle Solaris 管理:安全服务》中的第 III 部分, "角色、权限配置文件和特权"

用户、授权、权限配置文件和角色可以按如下方式进行配置:

安装 Logical Domains Manager 会在本地文件中添加必需的权限配置文件。要在命名服务中配置配置文件和角色,请参见《系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)》。本章中的所有示例都假定 RBAC 配置使用本地文件。有关 Logical Domains Manager 软件包所提供的授权和执行属性的概述,请参见Logical Domains Manager 配置文件内容

使用权限配置文件和角色


注意

注意 - 使用 usermodrolemod 命令添加授权、权限配置文件或角色时要谨慎。

  • 对于 Oracle Solaris 10 OS,usermodrolemod 命令会取代任何现有值。

    要添加值而不是取代值,请指定现有值和新值的逗号分隔列表。

  • 在 Oracle Solaris 11 OS 中,对于添加的每个授权,使用加号 (+) 来添加值。

    例如,usermod -A +auth username 命令将 auth 授权授予 username 用户,对于 rolemod 命令也是如此。


管理用户权限配置文件

以下过程说明如何在系统上使用本地文件管理用户权限配置文件。要在命名服务中管理用户配置文件,请参见《系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)》

如何将权限配置文件分配给用户

直接分配有 LDoms Management 配置文件的用户必须调用配置文件 shell 以运行具有安全属性的 ldm 命令。有关更多信息,请参见《系统管理指南:安全性服务》《Oracle Solaris 管理:安全服务》中的第 III 部分, "角色、权限配置文件和特权"

  1. 成为管理员、超级用户或承担等效角色。

    对于 Oracle Solaris 10,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。对于 Oracle Solaris 11,请参见《Oracle Solaris 管理:安全服务》中的第 III 部分, "角色、权限配置文件和特权"

  2. 为本地用户帐户分配管理配置文件。

    您可以为用户帐户分配 LDoms Review 配置文件或 LDoms Management 配置文件。

    # usermod -P "profile-name" username

    以下命令可以将 LDoms Management 配置文件分配给用户 sam

    # usermod -P "LDoms Management" sam

给用户分配角色

以下过程说明如何使用本地文件创建角色并将其分配给用户。要在命名服务中管理角色,请参见《系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)》

使用此过程的优势是,只有分配有特定角色的用户才能承担该角色。承担角色时,如果已经为该角色分配了一个密码,则需要输入该密码。这两个安全层防止尚未分配有角色、但已经有密码的用户承担该角色。

如何创建角色并将该角色分配给用户

  1. 成为管理员、超级用户或承担等效角色。

    对于 Oracle Solaris 10,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。对于 Oracle Solaris 11,请参见《Oracle Solaris 管理:安全服务》中的第 III 部分, "角色、权限配置文件和特权"

  2. 创建角色。
    # roleadd -P "profile-name" role-name
  3. 为该角色指定密码。

    系统将提示您指定并确认新密码。

    # passwd role-name
  4. 将该角色分配给用户。
    # useradd -R role-name username
  5. 为用户分配密码。

    系统将提示您指定并确认新密码。

    # passwd username
  6. 必要时成为该用户并提供密码。
    # su username
  7. 验证该用户是否能够访问为其分配的角色。
    $ id
    uid=nn(username) gid=nn(group-name)
    $ roles
    role-name
  8. 必要时承担该角色并提供密码。
    $ su role-name
  9. 验证该用户是否能够承担此角色。
    $ id
    uid=nn(role-name) gid=nn(group-name)

示例 3-1 创建角色并将该角色分配给用户

此示例说明如何创建 ldm_read 角色、将该角色分配给 user_1 用户、成为 user_1 用户并承担 ldm_read 角色。

# roleadd -P "LDoms Review" ldm_read
# passwd ldm_read
New Password: ldm_read-password
Re-enter new Password: ldm_read-password
passwd: password successfully changed for ldm_read
# useradd -R ldm_read user_1
# passwd user_1
New Password: user_1-password
Re-enter new Password: user_1-password
passwd: password successfully changed for user_1
# su user_1
Password: user_1-password
$ id
uid=95555(user_1) gid=10(staff)
$ roles
ldm_read
$ su ldm_read
Password: ldm_read-password
$ id
uid=99667(ldm_read) gid=14(sysadmin)

Logical Domains Manager 配置文件内容

Logical Domains Manager 软件包将以下 RBAC 配置文件添加到本地 /etc/security/prof_attr 文件:

Logical Domains Manager 软件包还将以下与 LDoms Management 配置文件关联的执行属性添加到本地 /etc/security/exec_attr 文件:

LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search

下表列出了 ldm 子命令以及执行这些命令所需的相应用户授权。

表 3-1 ldm 子命令和用户授权

ldm 子命令1
用户授权
add-*
solaris.ldoms.write
bind-domain
solaris.ldoms.write
list
solaris.ldoms.read
list-*
solaris.ldoms.read
panic-domain
solaris.ldoms.write
remove-*
solaris.ldoms.write
set-*
solaris.ldoms.write
start-domain
solaris.ldoms.write
stop-domain
solaris.ldoms.write
unbind-domain
solaris.ldoms.write

1涉及您可以添加、列出、删除或设置的所有资源。