test

Sun Cluster: Guía de administración del sistema para SO Solaris

Creación y asignación de un rol de RBAC con un perfil de derechos de gestión de Sun Cluster

Para crear un rol, deberá asumir uno que tenga asignado el perfil de derechos de Administrador principal o convertirse en usuario root.

Cómo crear un rol mediante la herramienta Roles administrativos

  1. Inicie la herramienta Roles administrativos.

    Ejecute la herramienta Roles administrativos e inicie Solaris Management Console, como se describe en “How to Assume a Role in the Console Tools” in System Administration Guide: Security Services. A continuación, abra la Colección de herramientas del usuario y haga clic en el icono Roles administrativos.

  2. Inicie el asistente Agregar rol administrativo.

    Seleccione Agregar rol administrativo en el menú Acción para iniciar el asistente Agregar rol administrativo para la configuración de roles.

  3. Configure un rol que tenga asignado el perfil de derechos Gestión del clúster.

    Utilice los botones Siguiente y Atrás para desplazarse entre los cuadros de diálogo. Tenga en cuenta que el botón Siguiente no se activa mientras no se hayan completado los campos obligatorios. El último cuadro de diálogo permite revisar los datos introducidos y retroceder para cambiarlos o hacer clic en Terminar para guardar el nuevo rol. La Tabla 2–1 resume los cuadros de diálogo.

    Nota –

    Deberá situar este perfil en el primer lugar de la lista de perfiles asignados al rol.

  4. Agregue los usuarios que deban utilizar las funciones de SunPlex Manager o las órdenes de Sun Cluster al rol que acaba de crear.

    Para agregar una cuenta de usuario al sistema se utiliza la orden useradd(1M). La opción -P asigna un rol a una cuenta de usuario.

  5. Haga clic en Terminar cuando haya finalizado.

  6. Abra una ventana de terminal, conviértase en usuario root e inicie y pare el daemon de antememoria del servicio de nombres.

    Los nuevos roles no se activarán hasta que no se reinicie el daemon de antememoria del servicio de nombres. Una vez convertido en usuario root, escriba: 


    # /etc/init.d/nscd stop
# /etc/init.d/nscd start
Tabla 2–1 Asistente Agregar rol administrativo: cuadros de diálogo y campos

Cuadro de diálogo 

Campos  

Descripción del campo 

Paso 1: Escribir un nombre de rol 

Nombre de rol  

Nombre breve del rol.  

 

Nombre completo 

Versión larga del nombre.  

 

Descripción 

Descripción del rol.  

 

Número de ID del rol 

UID del rol; se incrementa automáticamente.  

 

Shell de rol 

Shells de perfil disponibles para los roles: C del administrador, Bourne del administrador o Korn del administrador.  

 

Crear un lista de correo del rol  

Crea una lista de correo para los usuarios que tienen asignado este rol. 

Paso 2: Escribir una contraseña de rol 

Contraseña de rol  

********  

 

Confirmar contraseña 

******** 

Paso 3: Seleccionar derechos de rol 

Derechos disponibles / Derechos concedidos 

Asigna o elimina los perfiles de derechos de un rol  

Tenga en cuenta que el sistema no impide escribir varias veces la misma orden. Los atributos asignados a la primera aparición de una orden en un perfil de derechos tienen prioridad, y las apariciones subsiguientes son ignoradas. Utilice las flechas Arriba y Abajo para cambiar el orden. 

Paso 4: Seleccionar un directorio de inicio 

Servidor  

Servidor del directorio de inicio.  

 

Ruta 

Ruta del directorio de inicio. 

Paso 5: Asignar usuarios a este rol 

Añadir  

Agrega usuarios que pueden asumir este rol. Deben estar dentro del mismo ámbito.  

 

Suprimir 

Suprime los usuarios asignados a este rol. 

Cómo crear un rol desde la línea de órdenes

  1. Conviértase en usuario root o asuma un rol que pueda crear otros roles.

  2. Seleccione un método para la creación del rol:

    • Para los roles del ámbito local, utilice la orden roleadd(1M) para especificar un nuevo rol local y sus atributos.

    • Otra posibilidad para roles del ámbito local es editar el archivo user_attr(4) para agregar un usuario con type=role.

      Se recomienda utilizar este método únicamente en caso de emergencia, ya que es fácil cometer errores mecanográficos.

    • Para los roles en un servicio de nombres, utilice la orden smrole(1M) para especificar el nuevo rol y sus atributos.

      Esta orden requiere la autenticación por parte del usuario root o de un rol que pueda crear otros roles. La orden smrole puede aplicarse a todos los servicios de nombres. Esta orden se ejecuta como cliente del servidor de Solaris Management Console.

  3. Inicie y pare el daemon de antememoria del servicio de nombres.

    Los nuevos roles no se activarán hasta que no se reinicie el daemon de antememoria del servicio de nombres. Como usuario root, escriba: 


    # /etc/init.d/nscd stop
# /etc/init.d/nscd start
Ejemplo 2–1 Crear un rol de operador personalizado mediante la orden smrole

En la secuencia siguiente se muestra la creación de un rol mediante la orden smrole. En este ejemplo, se crea una nueva versión del rol de Operador que tiene asignados los perfiles de derechos estándar de Operador y de Restaurar soporte. 


% su adminprincipal
# /usr/sadm/bin/smrole add -H miSistema -- -c "Operador personalizado" -n oper2
-a juanNadie \ -d /export/home/oper2 -F "Operador Copia de seguridad/Restaurar" -p "Operador"
-p "Restaurar soporte"
Authenticating as user: adminprincipal

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <escriba contraseña adminprincipal>

Loading Tool: com.sun.admin.usermgrclústeri.role.UserMgrRoleCli from miSistema
Login to miSistema as user adminprincipal was successful.
Download of com.sun.admin.usermgrclústeri.role.UserMgrRoleCli from miSistema was successful.

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password ::<escriba contraseña oper2>

# /etc/init.d/nscd stop
# /etc/init.d/nscd start

Para ver el rol acabado de crear (o cualquier otro) utilice la orden smrole con la opción list, como se indica a continuación: 


# /usr/sadm/bin/smrole list --
Authenticating as user: adminprincipal

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <escriba contraseña adminprincipal>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to miSistema as user adminprincipal was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from miSistema was successful.
root                    0               Super-User
primaryadmin            100             Most powerful role
sysadmin                101             Performs non-security admin tasks
oper2                   102             Operador personalizado