JavaScript is required to for searching.
Omitir Vínculos de navegación
Salir de la Vista de impresión
Guía de administración de Oracle VM Server for SPARC 3.0     Oracle VM Server for SPARC (Español)
Red de tecnología de Oracle
Biblioteca
PDF
Vista de impresión
Comentarios
search filter icon
search icon

Información del documento

Prólogo

Parte I Software Oracle VM Server for SPARC 3.0

1.  Información general sobre el software de Oracle VM Server for SPARC

2.  Instalación y habilitación del software

3.  Seguridad de Oracle VM Server for SPARC

Delegación de gestión de dominios lógicos utilizando RBAC

Uso de perfiles de derechos y roles

Gestión de perfiles de derechos de usuario

Asignación de funciones a usuarios

Contenidos de perfil de Logical Domains Manager

Control de acceso a una consola de dominio mediante RBAC

Cómo controlar el acceso a todas las consolas de dominio mediante roles

Cómo controlar el acceso a todas las consolas de dominio mediante perfiles de derechos

Cómo controlar el acceso a una única consola mediante roles

Cómo controlar el acceso a una única consola mediante perfiles de derechos

Activación y utilización de auditoría

Cómo activar la auditoría

Cómo desactivar la auditoría

Cómo revisar los registros de auditoría

Cómo rotar registros de auditoría

4.  Configuración de servicios y el dominio de control

5.  Configuración de los dominios invitados

6.  Configuración de dominios de E/S

7.  Uso de discos virtuales

8.  Uso de las redes virtuales

9.  Migración de dominios

10.  Administración de recursos

11.  Gestión de configuraciones de dominios

12.  Realización de otras tareas administrativas

Parte II Software Oracle VM Server for SPARC opcional

13.  Herramienta de conversión física a virtual del Oracle VM Server for SPARC

14.  Asistente de configuración de Oracle VM Server for SPARC (Oracle Solaris 10)

15.  Uso de la gestión de energía

16.  Uso del software de Base de datos de información de administración de Oracle VM Server for SPARC

17.  Descubrimiento del Logical Domains Manager

18.  Uso de la interfaz XML con los Logical Domains Manager

Glosario

Índice

Control de acceso a una consola de dominio mediante RBAC

De manera predeterminada, cualquier usuario puede acceder a todas las consolas de dominio. Para controlar el acceso a una consola de dominio, configure el daemon vntsd para realizar la comprobación de la autorización. El daemon vntsd ofrece una propiedad de dispositivo de administración de servicios (SMF) denominada vntsd/authorization. Esta propiedad puede configurarse para activar la comprobación de autorización de usuarios y roles para una consola de dominio o un grupo de consola. Para habilitar la comprobación de autorización, use el comando svccfg para fijar el valor de esta propiedad en true. Mientras esta opción está habilitada, vntsd escucha y acepta conexiones sólo en localhost. Si la propiedad listen_addr especifica una dirección IP alternativa cuando vntsd/authorization está habilitado, vntsd ignora las direcciones IP alternativas y continúa escuchando sólo en localhost.

Precaución

Precaución - No configure el servicio vntsd para usar un host que no sea localhost.

Si especifica un host que no sea localhost, ya no se le impedirá conectarse a las consolas de dominio invitado desde el dominio de control. Si utiliza el comando telnet para conectarse remotamente a un dominio invitado, las credenciales de inicio de sesión se transferirán como texto no cifrado por la red.

De modo predeterminado, en la base de datos auth_attr local hay una autorización para acceder a todas las consolas invitado.

solaris.vntsd.consoles:::Access All LDoms Guest Consoles::

Utilice el comando usermod para asignar las autorizaciones requeridas a usuarios o roles en archivos locales. Esto permite que sólo el usuario o el rol que tiene las autorizaciones necesarias pueda acceder a una consola de dominio o grupo de consola específicos. Para asignar autorizaciones a usuarios o roles en un servicio de nombres, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).

Puede controlar el acceso a todas las consolas de dominio o a una única consola de dominio.

Cómo controlar el acceso a todas las consolas de dominio mediante roles

  1. Restrinja el acceso a una consola de dominio activando la comprobación de autorización de consola.
    primary# svccfg -s vntsd setprop vntsd/authorization = true
primary# svcadm refresh vntsd
primary# svcadm restart vntsd
  2. Cree un rol que tenga la autorización solaris.vntsd.consoles, que permite acceso a todas las consolas de dominio.
    primary# roleadd -A solaris.vntsd.consoles role-name
primary# passwd all_cons
  3. Asigne un nuevo rol a un usuario.
    primary# usermod -R role-name username

Ejemplo 3-2 Control de acceso a todas las consolas de dominio mediante roles

En primer lugar, se debe activar la comprobación de autorización de consola para restringir el acceso a una consola de dominio.

primary# svccfg -s vntsd setprop vntsd/authorization = true
primary# svcadm refresh vntsd
primary# svcadm restart vntsd
primary# ldm ls
NAME             STATE      FLAGS   CONS    VCPU  MEMORY   UTIL  UPTIME
primary          active     -n-cv-  UART    8     16G      0.2%  47m
ldg1             active     -n--v-  5000    2     1G       0.1%  17h 50m
ldg2             active     -t----  5001    4     2G        25%  11s

En el ejemplo siguiente se muestra cómo crear el rol all_cons con la autorización solaris.vntsd.consoles, que permite acceder a todas las consolas de dominio.

primary# roleadd -A solaris.vntsd.consoles all_cons
primary# passwd all_cons
New Password:
Re-enter new Password:
passwd: password successfully changed for all_cons

Este comando asigna el rol all_cons al usuario sam.

primary# usermod -R all_cons sam

El usuario sam asume el rol all_cons y puede acceder a cualquier consola. Por ejemplo:

$ id
uid=700299(sam) gid=1(other)
$ su all_cons
Password:
$ telnet 0 5000
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.

Connecting to console "ldg1" in group "ldg1" ....
Press ~? for control options ..

$ telnet 0 5001
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.

Connecting to console "ldg2" in group "ldg2" ....
Press ~? for control options ..

En este ejemplo, se muestra lo que ocurre cuando un usuario no autorizado, dana, intenta acceder a una consola de dominio:

$ id
uid=702048(dana) gid=1(other)
$ telnet 0 5000
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.
Connection to 0 closed by foreign host.

Cómo controlar el acceso a todas las consolas de dominio mediante perfiles de derechos

  1. Restrinja el acceso a una consola de dominio activando la comprobación de autorización de consola.
    primary# svccfg -s vntsd setprop vntsd/authorization = true
primary# svcadm refresh vntsd
primary# svcadm restart vntsd
  2. Cree un perfil de derechos con la autorización solaris.vntsd.consoles.
    • Para el sistema operativo Oracle Solaris 10, edite el archivo /etc/security/prof_attr.

      Incluya la siguiente entrada:

      LDoms Consoles:::Access LDoms Consoles:auths=solaris.vntsd.consoles
    • Para el sistema operativo Oracle Solaris 11, utilice el comando profiles para crear un nuevo perfil.
      primary# profiles -p "LDoms Consoles" \
'set desc="Access LDoms Consoles"; set auths=solaris.vntsd.consoles'
  3. Asigne el perfil de derechos a un usuario.
    • Para el sistema operativo Oracle Solaris 10, asigne el perfil de derechos a un usuario.
      primary# usermod -P "All,Basic Solaris User,LDoms Consoles" username

      Tenga cuidado a la hora de especificar cualquier perfil preexistente al agregar el perfil LDoms Consoles. El comando anterior muestra que el usuario ya tiene los perfiles All y Basic Solaris User.

    • Para el sistema operativo Oracle Solaris 11, asigne el perfil de derechos a un usuario.
      primary# usermod -P +"LDoms Consoles" username
  4. Conéctese a la consola de dominio como el usuario.
    $ telnet 0 5000

Ejemplo 3-3 Control de acceso a todas las consolas de dominio mediante perfiles de derechos

En los ejemplos siguientes se muestra cómo utilizar perfiles de derechos para controlar el acceso a todas las consolas de dominio:

Cómo controlar el acceso a una única consola mediante roles

  1. Restrinja el acceso a una consola de dominio activando la comprobación de autorización de consola.
    primary# svccfg -s vntsd setprop vntsd/authorization = true
primary# svcadm refresh vntsd
primary# svcadm restart vntsd
  2. Agregue una autorización para un único dominio al archivo /etc/security/auth_attr.

    El nombre de autorización proviene del nombre del dominio y tiene el formato solaris.vntsd.console-domain-name:

    solaris.vntsd.console-domain-name:::Access domain-name Console::
  3. Cree un rol con la nueva autorización para permitir el acceso únicamente a la consola de dominio.
    primary# roleadd -A solaris.vntsd.console-domain-name role-name
primary# passwd role-name
New Password:
Re-enter new Password:
passwd: password successfully changed for role-name
  4. Asigne el rol role-name a un usuario.
    primary# usermod -R role-name username

Ejemplo 3-4 Acceso a una única consola de dominio

En este ejemplo se muestra cómo terry asume el rol ldg1cons y accede a la consola de dominio ldg1.

En primer lugar, agregue una autorización para un único dominio, ldg1, al archivo /etc/security/auth_attr.

solaris.vntsd.console-ldg1:::Access ldg1 Console::

Luego, cree un rol con la nueva autorización para permitir el acceso únicamente a la consola de dominio.

primary# roleadd -A solaris.vntsd.console-ldg1 ldg1cons
primary# passwd ldg1cons
New Password:
Re-enter new Password:
passwd: password successfully changed for ldg1cons

Asigne el rol ldg1cons al usuario terry, asuma el rol ldg1cons y acceda a la consola de dominio.

primary# usermod -R ldg1cons terry
primary# su terry
Password: 
$ id
uid=700300(terry) gid=1(other)
$ su ldg1cons
Password:
$ id
uid=700303(ldg1cons) gid=1(other)
$ telnet 0 5000
Trying 0.0.0.0...
Escape character is '^]'.

Connecting to console "ldg1" in group "ldg1" ....
Press ~? for control options ..

Lo siguiente muestra que el usuario terry no puede acceder a la consola de dominio ldg2:

$ telnet 0 5001
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.
Connection to 0 closed by foreign host.

Cómo controlar el acceso a una única consola mediante perfiles de derechos

  1. Restrinja el acceso a una consola de dominio activando la comprobación de autorización de consola.
    primary# svccfg -s vntsd setprop vntsd/authorization = true
primary# svcadm refresh vntsd
primary# svcadm restart vntsd
  2. Agregue una autorización para un único dominio al archivo /etc/security/auth_attr.

    En el siguiente ejemplo, una entrada agrega la autorización para una consola de dominio:

    solaris.vntsd.console-domain-name:::Access domain-name Console::
  3. Cree un perfil de derechos con una autorización para acceder a una consola de dominio específica.
    • Para el sistema operativo Oracle Solaris 10, edite el archivo /etc/security/prof_attr.
      domain-name Console:::Access domain-name
Console:auths=solaris.vntsd.console-domain-name

      Esta entrada debe estar en una sola línea.

    • Para el sistema operativo Oracle Solaris 11, utilice el comando profiles para crear un nuevo perfil.
      primary# profiles -p "domain-name Console" \
'set desc="Access domain-name Console";
set auths=solaris.vntsd.console-domain-name'
  4. Asigne el perfil de derechos a un usuario.

    Los siguientes comandos asignan el perfil a un usuario:

    • Para el sistema operativo Oracle Solaris 10, asigne el perfil de derechos.
      primary# usermod -P "All,Basic Solaris User,domain-name Console" username

      Tenga en cuenta que son necesarios los perfiles All y Basic Solaris User.

    • Para el sistema operativo Oracle Solaris 11, asigne el perfil de derechos.
      primary# usermod -P +"domain-name Console" username
Copyright © 2007, 2013, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior Siguiente