跳过导航链接 | |
退出打印视图 | |
在 Oracle Solaris 11.1 中使用反应性网络配置连接系统 Oracle Solaris 11.1 Information Library (简体中文) |
反应性网络配置的安全包括以下组件:
CLI(netcfg 和 netadm 命令)
网络管理 GUI
网络配置文件系统信息库守护进程 (netcfgd)
网络管理守护进程 (nwamd)
网络配置管理库 (libnwam)
netcfgd 守护进程控制作为所有网络配置信息的存储位置的系统信息库。netcfg 命令、网络管理 GUI 和 nwamd 守护进程向 netcfgd 守护进程发送访问系统信息库的请求。这些功能组件通过网络配置管理库 (libnwam) 发出请求。
当前网络配置实现使用以下授权执行特定的任务:
solaris.network.autoconf.read-允许读取网络配置数据,由 netcfgd 守护进程验证
solaris.network.autoconf.write-允许写入网络配置数据,由 netcfgd 守护进程验证
solaris.network.autoconf.select-允许应用新的配置数据,由 nwamd 守护进程验证
solaris.network.autconf.wlan-允许写入已知 WLAN 配置数据
这些授权在 auth_attr 数据库中注册。有关更多信息,请参见 auth_attr(4) 手册页。
solaris.network.autoconf.read 授权包含在 "Basic Solaris User"(基本 Solaris 用户)权限配置文件中,该配置文件缺省指定给所有用户。具有此授权的任何用户因此能够查看所有网络配置文件的当前网络状态和内容。
提供了两个其他权限配置文件:"Network Autoconf User"(网络自动配置用户)和 "Network Autoconf Admin"(网络自动配置管理员)。"Network Autoconf User"(网络自动配置用户)配置文件具有 read、select 和 wlan 授权。"Network Autoconf Admin"(网络自动配置管理员)配置文件添加了 write 授权。"Network Autoconf User"(网络自动配置用户)配置文件将指定给 "Console User"(控制台用户)配置文件。因此,缺省情况下,登录到控制台的任何人都可以查看、启用和禁用配置文件。因为没有向 "Console User"(控制台用户)配置文件指定 solaris.network.autoconf.write 授权,所以拥有该授权的任何用户不能创建或修改 NCP、NCU、位置或 ENM。不过,"Console User"(控制台用户)配置文件可以查看、创建和修改 WLAN。
具有 "Basic Solaris User"(基本 Solaris 用户)权限配置文件的任何用户都可以使用 netcfg 和 netadm 命令查看网络配置文件。缺省情况下该配置文件会指定给所有用户。
具有 "Network Autoconf User"(网络自动配置用户)或 "Console User"(控制台用户)配置文件的任何用户都可以使用 netadm 命令启用网络配置文件。"Console User"(控制台用户)配置文件会自动指定给从 /dev/console 登录到系统的用户。
要使用 netcfg 命令修改网络配置文件,需要 solaris.network.autoconf.write 授权或 "Network Autoconf Admin"(网络自动配置管理员)配置文件。
您可以将 profiles 命令和配置文件名称一起使用来确定与权限配置文件相关联的特权。有关更多信息,请参见 profiles(1) 手册页。
例如,要确定与 "Console User"(控制台用户)权限配置文件相关联的特权,请使用以下命令:
$ profiles -p "Console User" info Found profile in files repository. name=Console User desc=Manage System as the Console User auths=solaris.system.shutdown,solaris.device.cdrw,solaris.smf.manage.vbiosd, solaris.smf.value.vbiosd profiles=Suspend To RAM,Suspend To Disk,Brightness,CPU Power Management, Network Autoconf User,Desktop Removable Media User help=RtConsUser.html
网络管理 GUI 包括以下三个不享有特权的组件。为这些组件授予的权限根据其启动方式和需要执行的任务。
该组件是桌面中的面板 applet,使用户能够与网络配置进行交互。该面板可由任何用户运行,用于监视系统的自动配置和处理事件通知。该面板还可用于执行一些基本的网络配置任务,例如,选择 WiFi 网络或手动切换位置。要执行这些类型的任务,需要 "Network Autoconf User"(网络自动配置用户)权限配置文件。缺省配置中提供了此权限配置文件,因为该面板的运行授权来自从 /dev/console 登录的用户,因而具有 "Console User"(控制台用户)配置文件。
网络管理 GUI(以前称为 NWAM GUI)是从桌面与网络配置交互的主要方式。GUI 用于查看网络状态、创建和修改 NCP 与位置配置文件、启动和停止配置的 ENM。与 GUI 交互需要四个 solaris.network.autoconf 授权或 "Network Autoconf Admin"(网络自动配置管理员)配置文件。缺省情况下,"Console User"(控制台用户)配置文件提供的授权足以使用 GUI 查看网络状态和配置文件。此外,要使用 GUI 修改配置文件,您需有 solaris.network.autoconf.write 授权或 "Network Autoconf Admin"(网络自动配置管理员)配置文件。
您可以通过以下方式之一获取额外的授权:
将 "Network Autoconf Admin"(网络自动配置管理员)配置文件指定给特定的用户。
可通过编辑给定用户的 /etc/user_attr 文件将适当的授权或权限配置文件直接指定给该用户。
将 "Network Autoconf Admin"(网络自动配置管理员)配置文件指定给 "Console User"(控制台用户)配置文件。
可将此配置文件指定给 "Console User"(控制台用户)配置文件,而不指定给缺省情况下指定的 "Network Autoconf User"(网络自动配置用户)配置文件。要指定此配置文件,请编辑 /etc/security/prof_attr 文件中的条目。