test

Sun Cluster: Guía de administración del sistema para el SO Solaris

Capítulo 2 Sun Cluster y RBAC

En este capítulo se describe RBAC (Control de acceso basado en rol) en relación con Sun Cluster. Se tratan los siguientes temas:

Instalación y utilización de RBAC con Sun Cluster

Utilice la tabla siguiente para determinar la documentación que debe consultar acerca de la instalación y utilización de RBAC. Más adelante en este mismo capítulo se indican los pasos específicos para instalar y utilizar RBAC con Sun Cluster.

Consulte 

Ampliar la información sobre RBAC 

Capítulo 8, Using Roles and Privileges (Overview) de System Administration Guide: Security Services

Instalar, gestionar los elementos y utilizar RBAC 

Capítulo 9, Using Role-Based Access Control (Tasks) de System Administration Guide: Security Services

Ampliar la información sobre los elementos y herramientas de RBAC 

Capítulo 10, Role-Based Access Control (Reference) de System Administration Guide: Security Services

Perfiles de derechos de RBAC en Sun Cluster

Las opciones y los comandos seleccionados de Sun Cluster y SunPlex Manager que se incluyen en la línea de comandos utilizan RBAC para la autorización. Sun Cluster incluye varios perfiles de derechos de RBAC que pueden asignarse a usuarios o roles para otorgar a éstos distintos niveles de acceso a Sun Cluster. Sun incluye en el software de Sun Cluster los siguientes perfiles de derechos.

Perfil de derechos 

Autorizaciones incluidas 

Esta autorización permite a la identidad del rol 

Comandos de Sun Cluster 

Ninguna, pero incluye una lista de comandos de Sun Cluster que se ejecutan con euid=0

Ejecutar determinados comandos de Sun Cluster que se utilizan para configurar y gestionar un clúster, incluidos: 

scgdevs(1M)

scswitch(1M) (opciones seleccionadas)

scha_control(1HA)

scha_resource_get(1HA)

scha_resource_setstatus(1HA)

scha_resourcegroup_get(1HA)

scha_resourcetype_get(1HA)

Usuario Solaris básico 

Este perfil de derechos de Solaris contiene autorizaciones de Solaris, como: 

Efectuar las mismas operaciones que puede llevar a cabo la identidad de rol Usuario Solaris básico, como: 

 

solaris.cluster.device.read

Leer información acerca de grupos de dispositivos 

  

solaris.cluster.gui

Acceder a SunPlex Manager 

  

solaris.cluster.network.read

Leer información acerca de Ruta múltiple de red IP 

  

solaris.cluster.node.read

Leer información acerca de los atributos de nodos 

  

solaris.cluster.quorum.read

Leer información acerca de los dispositivos del quórum y del estado del quórum 

  

solaris.cluster.resource.read

Leer información acerca de los recursos y grupos de recursos 

  

solaris.cluster.system.read

Leer el estado del clúster 

  

solaris.cluster.transport.read

Leer información acerca de los transportes 

Funcionamiento del clúster 

solaris.cluster.appinstall

Instalar aplicaciones en clúster 

  

solaris.cluster.device.admin

Efectuar tareas administrativas en los atributos de grupos de dispositivos 

 

solaris.cluster.device.read

Leer información acerca de grupos de dispositivos 

  

solaris.cluster.gui

Acceder a SunPlex Manager 

  

solaris.cluster.install

Instalar software de clúster 

  

solaris.cluster.network.admin

Efectuar tareas administrativas en los atributos de ruta múltiple de red IP 

  

solaris.cluster.network.read

Leer información acerca de Ruta múltiple de red IP 

  

solaris.cluster.node.admin

Efectuar tareas administrativas en los atributos de nodos 

  

solaris.cluster.node.read

Leer información acerca de los atributos de nodos 

  

solaris.cluster.quorum.admin

Efectuar tareas administrativas en los atributos de dispositivos del quórum y de estado del quórum 

  

solaris.cluster.quorum.read

Leer información acerca de los dispositivos del quórum y del estado del quórum 

  

solaris.cluster.resource.admin

Efectuar tareas administrativas en atributos de recursos y de grupos de recursos 

  

solaris.cluster.resource.read

Leer información acerca de los recursos y grupos de recursos 

  

solaris.cluster.system.admin

Administrar el sistema 

  

solaris.cluster.system.read

Leer el estado del clúster 

  

solaris.cluster.transport.admin

Efectuar tareas administrativas en los atributos de transportes 

  

solaris.cluster.transport.read

Leer información acerca de los transportes 

Administrador del sistema 

Este perfil de Solaris contiene las mismas autorizaciones que el perfil Gestión del clúster. 

Efectuar las mismas operaciones que puede llevar a cabo la identidad de rol Gestión del clúster, aparte de otras operaciones de administración del sistema. 

Gestión del clúster 

Este perfil de derechos contiene las mismas autorizaciones que el perfil Funcionamiento del clúster, y las siguientes autorizaciones adicionales: 

Efectuar las mismas operaciones que la identidad de rol Funcionamineto del clúster, así como: 

  

solaris.cluster.device.modify

Modificar los atributos de los grupos de dispositivos 

  

solaris.cluster.gui

Acceder a SunPlex Manager 

  

solaris.cluster.network.modify

Modificar los atributos de ruta múltiple de red IP 

  

solaris.cluster.node.modify

Modificar los atributos del nodo 

  

solaris.cluster.quorum.modify

Modificar los atributos de dispositivos del quórum y de estado del quórum 

  

solaris.cluster.resource.modify

Modificar los atributos de los recursos y de grupos de recursos 

  

solaris.cluster.system.modify

Modificar los atributos del sistema 

  

solaris.cluster.transport.modify

Modificar los atributos de transporte 

Creación y asignación de un rol de RBAC con un perfil de derechos de gestión de Sun Cluster

Para crear un rol, debe asumir un rol que disponga del perfil de derechos del administrador principal asignado a él o ejecutar el usuario root.

Tabla 2–1 Asistente Agregar rol administrativo: cuadros de diálogo y campos

Cuadro de diálogo 

Campos 

Descripción del campo 

Paso 1: Escribir un nombre de rol 

Nombre de rol 

Nombre breve del rol. 

 

Nombre completo 

Versión larga del nombre. 

 

Descripción 

Descripción del rol. 

 

Número de ID del rol 

UID del rol; se incrementa automáticamente. 

 

Shell de rol 

Shells de perfil disponibles para los roles: C del administrador, Bourne del administrador o Korn del administrador. 

 

Crear un lista de correo del rol 

Crea una lista de correo para los usuarios que tienen asignado este rol. 

Paso 2: Escribir una contraseña de rol 

Contraseña de rol 

******** 

 

Contraseña (confirmar) 

******** 

Paso 3: Seleccionar derechos de rol 

Derechos disponibles / Derechos concedidos 

Asigna o elimina los perfiles de derechos de un rol 

Tenga en cuenta que el sistema no impide escribir varias veces el mismo comando. Los atributos asignados a la primera aparición de un comando en un perfil de derechos tienen prioridad, y las apariciones subsiguientes son ignoradas. Utilice las flechas Arriba y Abajo para cambiar el orden. 

Paso 4: Seleccionar un directorio de inicio 

Servidor 

Servidor del directorio de inicio. 

 

Ruta 

Ruta del directorio de inicio. 

Paso 5: Asignar usuarios a este rol 

Añadir 

Agrega usuarios que pueden asumir este rol. Deben estar dentro del mismo ámbito. 

 

Eliminar 

Suprime los usuarios asignados a este rol. 

ProcedureCómo crear un rol mediante la herramienta Roles administrativos

Pasos

  1. Inicie la herramienta Roles administrativos.

    Ejecute la herramienta Roles administrativos e inicie Solaris Management Console, como se describe en How to Assume a Role in the Solaris Management Console de System Administration Guide: Security Services en System Administration Guide: Security Services. A continuación, abra la Colección de herramientas del usuario y haga clic en el icono Roles administrativos.

  2. Inicie el asistente Agregar rol administrativo.

    Seleccione Agregar rol administrativo en el menú Acción para iniciar el asistente Agregar rol administrativo para la configuración de roles.

  3. Configure un rol que tenga asignado el perfil de derechos Gestión del clúster.

    Utilice los botones Siguiente y Atrás para desplazarse entre los cuadros de diálogo. Tenga en cuenta que el botón Siguiente no se activa mientras no se hayan completado los campos obligatorios. El último cuadro de diálogo permite revisar los datos introducidos y retroceder para cambiarlos o hacer clic en Terminar para guardar el nuevo rol. La Tabla 2–1 resume los cuadros de diálogo.

    Nota –

    Deberá situar este perfil en el primer lugar de la lista de perfiles asignados al rol.

  4. Agregue los usuarios que deban utilizar las funciones de SunPlex Manager o los comandos de Sun Cluster al rol que acaba de crear.

    Para agregar una cuenta de usuario al sistema, se utiliza el comando useradd(1M). La opción -P asigna un rol a una cuenta de usuario.

  5. Haga clic en Terminar cuando haya finalizado.

  6. Abra una ventana de terminal, conviértase en usuario root e inicie y pare el daemon de antememoria del servicio de nombres.

    Los nuevos roles no se activarán hasta que no se reinicie el daemon de antememoria del servicio de nombres. Una vez convertido en usuario root, escriba: 


    # /etc/init.d/nscd stop
# /etc/init.d/nscd start

ProcedureCómo crear un rol desde la línea de comandos

Pasos

  1. Conviértase en usuario root o asuma un rol con capacidad para crear otros roles.

  2. Seleccione un método para la creación del rol:

    • Para los roles del ámbito local, utilice el comando roleadd(1M) para especificar un nuevo rol local y sus atributos.

    • Otra posibilidad para roles del ámbito local es editar el archivo user_attr(4) para agregar un usuario con type=role.

      Se recomienda utilizar este método únicamente en caso de emergencia, ya que es fácil cometer errores mecanográficos.

    • Para los roles en un servicio de nombres, utilice el comando smrole(1M) para especificar el nuevo rol y sus atributos.

      Este comando requiere la autenticación por parte del usuario root o de un rol que pueda crear otros roles. El comando smrole puede aplicarse a todos los servicios de nombres. Este comando se ejecuta como cliente del servidor de Solaris Management Console.

  3. Inicie y pare el daemon de antememoria del servicio de nombres.

    Los nuevos roles no se activarán hasta que no se reinicie el daemon de antememoria del servicio de nombres. Como usuario root, escriba: 


    # /etc/init.d/nscd stop
# /etc/init.d/nscd start
Ejemplo 2–1 Crear un rol de operador personalizado mediante el comando smrole

La siguiente secuencia muestra cómo se crea un rol con el comando smrole. En este ejemplo se crea una nueva versión del rol Operador que tiene asignado el perfil de derechos de Operador estándar, así como el perfil de Restaurar soporte. 


% su primaryadmin 
# /usr/sadm/bin/smrole add -H myHost -- -c "Custom Operator" -n oper2 -a johnDoe \
-d /export/home/oper2 -F "Backup/Restore Operator" -p "Operator" -p "Media Restore"

Authenticating as user: primaryadmin

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <type primaryadmin password>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadmin was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password ::<type oper2 password>

# /etc/init.d/nscd stop
# /etc/init.d/nscd start

Para ver el rol recién creado (o cualquier otro) utilice el comando smrole con la opción list, como se indica a continuación: 


# /usr/sadm/bin/smrole list --
Authenticating as user: primaryadmin

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <type  primaryadmin password>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadmin was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.
root                    0               Super-User
primaryadmin            100             Most powerful role
sysadmin                101             Performs non-security admin tasks
oper2                   102             Custom Operator

Modificación de las propiedades de RBAC de un usuario

Para modificar las propiedades de un usuario, debe ejecutar la colección de herramientas del usuario como usuario rooto asumir un rol que disponga del perfil de derechos de administrador principal asignado a él.

ProcedureCómo modificar las propiedades de RBAC de un usuario mediante la herramienta Cuentas de usuario

Pasos

  1. Inicie la herramienta Cuentas de usuario.

    Para ejecutar la herramienta Cuentas de usuario, debe iniciar Solaris Management Console, como se describe en How to Assume a Role in the Solaris Management Console de System Administration Guide: Security Services en System Administration Guide: Security Services. A continuación, abra la Colección de herramientas del usuario y haga clic en el icono Cuentas de usuario.

    Una vez iniciada la herramienta Cuentas de usuario, los iconos correspondientes a las cuentas de usuario existentes se muestran en el panel de visualización.

  2. Haga clic en el icono de la cuenta de usuario que se debe modificar y seleccione Propiedades en el menú Acción (o haga doble clic en el icono).

  3. Haga clic en la pestaña apropiada del cuadro de diálogo según la propiedad que se desee modificar, como se indica a continuación:

    • Para cambiar los roles asignados al usuario, haga clic en la pestaña Roles y mueva la asignación de rol que se debe modificar a la columna apropiada: Roles disponibles o Roles asignados.

    • Para cambiar los perfiles de derechos asignados al usuario, haga clic en la pestaña Derechos y mueva los perfiles a la columna apropiada: Derechos disponibles o Derechos asignados.

      Nota –

      No es conveniente asignar perfiles de derechos directamente a los usuarios. Es más adecuado forzar a éstos a que asuman roles para poder ejecutar aplicaciones con privilegios. Esta estrategia impide que los usuarios normales abusen de los privilegios.

ProcedureCómo modificar las propiedades de RBAC de un usuario desde la línea de comandos

Pasos

  1. Conviértase en usuario root o asuma un rol que permita modificar archivos de usuario.

  2. Utilice el comando apropiado:

    • Para cambiar las autorizaciones, los roles o los perfiles de derechos asignados a un usuario definido en el ámbito local, utilice el comando usermod(1M).

    • Otra posibilidad es editar el archivo user_attr.

      Se recomienda utilizar este método únicamente en caso de emergencia, ya que es fácil cometer errores mecanográficos.

    • Para cambiar las autorizaciones, los roles o los perfiles de derechos asignados a un usuario definido en un servicio de nombres, utilice el comando smuser(1M).

      Este comando requiere la autenticación por parte del usuario root o de un rol que pueda modificar archivos de usuario. El comando smuser puede aplicarse a todos los servicios de nombres. smuser se ejecuta como cliente del servidor de Solaris Management Console.