RBAC の使用による論理ドメインの管理の委任

Logical Domains Manager パッケージは、2 つの定義済みの役割ベースのアクセス制御 (RBAC) 権利プロファイルを、ローカル RBAC 構成に追加します。これらの権利プロファイルを使用して、特権のないユーザーに次の管理権限を委任できます。

LDoms Management プロファイルは、ユーザーにすべての ldm サブコマンドの使用を許可します。
LDoms Review プロファイルは、ユーザーにすべてのリスト関連の ldm サブコマンドの使用を許可します。

これらの権利プロファイルは、ユーザー、またはその後ユーザーに割り当てられる役割に、直接割り当てることができます。これらのプロファイルのいずれかがユーザーに直接割り当てられている場合、ドメインを管理するために ldm コマンドを正常に使用するには、pfexec コマンド、または pfbash または pfksh などのプロファイルシェルを使用する必要があります。役割または権利プロファイルのどちらを使用するかは、使用している RBAC 構成に基づいて決定します。『System Administration Guide: Security Services 』または『Oracle Solaris 11.1 Administration: Security Services』のパート III「Roles, Rights Profiles, and Privileges」を参照してください。

ユーザー、承認、権利プロファイル、および役割は、次の方法で構成できます。

ファイルを使用してシステム上でローカルで構成する
LDAP などのネームサービスで一元的に構成する

Logical Domains Manager をインストールすると、必要な権利プロファイルがローカルファイルに追加されます。ネームサービスでプロファイルおよび役割を構成するには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。この章の例はすべて、RBAC 構成がローカルファイルを使用すると仮定しています。Logical Domains Manager パッケージによって提供される承認および実行属性の概要は、「Logical Domains Manager プロファイルの内容」を参照してください。

権利プロファイルと役割の使用

注意 - usermod および rolemod コマンドを使用して承認、権利プロファイル、または役割を追加する際は、注意してください。

Oracle Solaris 10 OS の場合、usermod または rolemod コマンドは既存の値を置き換えます。

値を置き換える代わりに追加するには、既存の値と新しい値のコンマ区切りのリストを指定します。
Oracle Solaris 11 OS の場合は、追加する承認ごとにプラス記号 (+) を使用して値を追加します。

たとえば、usermod -A +auth username コマンドは、rolemod コマンドと同様に、auth 承認を username ユーザーに付与します。

ユーザー権利プロファイルの管理

次の手順は、ローカルファイルを使用してシステム上のユーザー権利プロファイルを管理する方法を示しています。ネームサービスでユーザープロファイルを管理するには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。

権利プロファイルをユーザーに割り当てる方法

LDoms Management プロファイルに直接割り当てられているユーザーは、プロファイルシェルを起動し、ldm コマンドをセキュリティー属性を使用して実行する必要があります。詳細は、『System Administration Guide: Security Services 』または『Oracle Solaris 11.1 Administration: Security Services』のパート III「Roles, Rights Profiles, and Privileges」を参照してください。

管理者になります。
Oracle Solaris 10 の場合は、『System Administration Guide: Security Services』の「Configuring RBAC (Task Map)」を参照してください。Oracle Solaris 11.1 の場合は、『Oracle Solaris 11.1 Administration: Security Services』のパート III「Roles, Rights Profiles, and Privileges」を参照してください。
管理プロファイルをローカルユーザーアカウントに割り当てます。
LDoms Review プロファイルまたは LDoms Management プロファイルのいずれかをユーザーアカウントに割り当てることができます。
```
# usermod -P "profile-name" username
```
次のコマンドは、LDoms Management プロファイルをユーザー sam に割り当てます。
```
# usermod -P "LDoms Management" sam
```

ユーザーへの役割の割り当て

次の手順は、ローカルファイルを使用して役割を作成し、ユーザーに割り当てる方法を示しています。ネームサービスで役割を管理するには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。

この手順を使用する利点は、特定の役割が割り当てられたユーザーだけがその役割になれることです。役割にパスワードが割り当てられている場合は、その役割になるときにパスワードが必要です。次の 2 つのセキュリティー階層は、パスワードを保有するユーザーが、割り当てられていない役割になることを防止します。

役割を作成し、ユーザーにその役割を割り当てる方法

管理者になります。
Oracle Solaris 10 の場合は、『System Administration Guide: Security Services』の「Configuring RBAC (Task Map)」を参照してください。Oracle Solaris 11.1 の場合は、『Oracle Solaris 11.1 Administration: Security Services』のパート III「Roles, Rights Profiles, and Privileges」を参照してください。
役割を作成します。
```
# roleadd -P "profile-name" role-name
```
役割にパスワードを割り当てます。
新しいパスワードを指定し、確認するようにプロンプトが表示されます。
```
# passwd role-name
```
ユーザーに役割を割り当てます。
```
# useradd -R role-name username
```
ユーザーにパスワードを割り当てます。
新しいパスワードを指定し、確認するようにプロンプトが表示されます。
```
# passwd username
```
必要に応じてそのユーザーになり、パスワードを入力します。
```
# su username
```
ユーザーが割り当てられた役割にアクセスできることを確認します。
```
$ id
uid=nn(username) gid=nn(group-name)
$ roles
role-name
```
必要に応じてその役割になり、パスワードを入力します。
```
$ su role-name
```
ユーザーがその役割になったことを確認します。
```
$ id
uid=nn(role-name) gid=nn(group-name)
```

例 3-1 役割の作成とユーザーへの割り当て

次の例では、ldm_read の役割を作成し、その役割を user_1 ユーザーに割り当てて user_1 ユーザーになり、ldm_read の役割を引き受けます。

# roleadd -P "LDoms Review" ldm_read
# passwd ldm_read
New Password: ldm_read-password
Re-enter new Password: ldm_read-password
passwd: password successfully changed for ldm_read
# useradd -R ldm_read user_1
# passwd user_1
New Password: user_1-password
Re-enter new Password: user_1-password
passwd: password successfully changed for user_1
# su user_1
Password: user_1-password
$ id
uid=95555(user_1) gid=10(staff)
$ roles
ldm_read
$ su ldm_read
Password: ldm_read-password
$ id
uid=99667(ldm_read) gid=14(sysadmin)

Logical Domains Manager プロファイルの内容

Logical Domains Manager パッケージは、次の RBAC プロファイルをローカルの /etc/security/prof_attr ファイルに追加します。

LDoms Review:::Review LDoms configuration:profiles=auths=solaris.ldoms.read
LDoms Management:::Manage LDoms domains:profiles=auths=solaris.ldoms.*

Logical Domains Manager パッケージは、LDoms Management プロファイルに関連付けられている次の実行属性も、ローカルの /etc/security/exec_attr ファイルに追加します。

LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search

ldm サブコマンドと、そのコマンドの実行に必要な対応するユーザー承認を次の表に示します。

表 3-1 ldm サブコマンドおよびユーザー承認

ldm サブコマンド¹	ユーザー承認
`add-*`	`solaris.ldoms.write`
`bind-domain`	`solaris.ldoms.write`
`list`	`solaris.ldoms.read`
`list-*`	`solaris.ldoms.read`
`panic-domain`	`solaris.ldoms.write`
`remove-*`	`solaris.ldoms.write`
`set-*`	`solaris.ldoms.write`
`start-domain`	`solaris.ldoms.write`
`stop-domain`	`solaris.ldoms.write`
`unbind-domain`	`solaris.ldoms.write`

¹ 追加、表示、削除、または設定できるすべてのリソースを指します。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Oracle VM Server for SPARC 3.0 管理ガイド Oracle VM Server for SPARC (日本語)