test

Sun Cluster: Guía de administración del sistema para el SO Solaris

Creación y asignación de un rol de RBAC con un perfil de derechos de gestión de Sun Cluster

Para crear un rol, debe asumir un rol que disponga del perfil de derechos del administrador principal asignado a él o ejecutar el usuario root.

Tabla 2–1 Asistente Agregar rol administrativo: cuadros de diálogo y campos

Cuadro de diálogo 

Campos 

Descripción del campo 

Paso 1: Escribir un nombre de rol 

Nombre de rol 

Nombre breve del rol. 

 

Nombre completo 

Versión larga del nombre. 

 

Descripción 

Descripción del rol. 

 

Número de ID del rol 

UID del rol; se incrementa automáticamente. 

 

Shell de rol 

Shells de perfil disponibles para los roles: C del administrador, Bourne del administrador o Korn del administrador. 

 

Crear un lista de correo del rol 

Crea una lista de correo para los usuarios que tienen asignado este rol. 

Paso 2: Escribir una contraseña de rol 

Contraseña de rol 

******** 

 

Contraseña (confirmar) 

******** 

Paso 3: Seleccionar derechos de rol 

Derechos disponibles / Derechos concedidos 

Asigna o elimina los perfiles de derechos de un rol 

Tenga en cuenta que el sistema no impide escribir varias veces el mismo comando. Los atributos asignados a la primera aparición de un comando en un perfil de derechos tienen prioridad, y las apariciones subsiguientes son ignoradas. Utilice las flechas Arriba y Abajo para cambiar el orden. 

Paso 4: Seleccionar un directorio de inicio 

Servidor 

Servidor del directorio de inicio. 

 

Ruta 

Ruta del directorio de inicio. 

Paso 5: Asignar usuarios a este rol 

Añadir 

Agrega usuarios que pueden asumir este rol. Deben estar dentro del mismo ámbito. 

 

Eliminar 

Suprime los usuarios asignados a este rol. 

ProcedureCómo crear un rol mediante la herramienta Roles administrativos

Pasos

  1. Inicie la herramienta Roles administrativos.

    Ejecute la herramienta Roles administrativos e inicie Solaris Management Console, como se describe en How to Assume a Role in the Solaris Management Console de System Administration Guide: Security Services en System Administration Guide: Security Services. A continuación, abra la Colección de herramientas del usuario y haga clic en el icono Roles administrativos.

  2. Inicie el asistente Agregar rol administrativo.

    Seleccione Agregar rol administrativo en el menú Acción para iniciar el asistente Agregar rol administrativo para la configuración de roles.

  3. Configure un rol que tenga asignado el perfil de derechos Gestión del clúster.

    Utilice los botones Siguiente y Atrás para desplazarse entre los cuadros de diálogo. Tenga en cuenta que el botón Siguiente no se activa mientras no se hayan completado los campos obligatorios. El último cuadro de diálogo permite revisar los datos introducidos y retroceder para cambiarlos o hacer clic en Terminar para guardar el nuevo rol. La Tabla 2–1 resume los cuadros de diálogo.

    Nota –

    Deberá situar este perfil en el primer lugar de la lista de perfiles asignados al rol.

  4. Agregue los usuarios que deban utilizar las funciones de SunPlex Manager o los comandos de Sun Cluster al rol que acaba de crear.

    Para agregar una cuenta de usuario al sistema, se utiliza el comando useradd(1M). La opción -P asigna un rol a una cuenta de usuario.

  5. Haga clic en Terminar cuando haya finalizado.

  6. Abra una ventana de terminal, conviértase en usuario root e inicie y pare el daemon de antememoria del servicio de nombres.

    Los nuevos roles no se activarán hasta que no se reinicie el daemon de antememoria del servicio de nombres. Una vez convertido en usuario root, escriba: 


    # /etc/init.d/nscd stop
# /etc/init.d/nscd start

ProcedureCómo crear un rol desde la línea de comandos

Pasos

  1. Conviértase en usuario root o asuma un rol con capacidad para crear otros roles.

  2. Seleccione un método para la creación del rol:

    • Para los roles del ámbito local, utilice el comando roleadd(1M) para especificar un nuevo rol local y sus atributos.

    • Otra posibilidad para roles del ámbito local es editar el archivo user_attr(4) para agregar un usuario con type=role.

      Se recomienda utilizar este método únicamente en caso de emergencia, ya que es fácil cometer errores mecanográficos.

    • Para los roles en un servicio de nombres, utilice el comando smrole(1M) para especificar el nuevo rol y sus atributos.

      Este comando requiere la autenticación por parte del usuario root o de un rol que pueda crear otros roles. El comando smrole puede aplicarse a todos los servicios de nombres. Este comando se ejecuta como cliente del servidor de Solaris Management Console.

  3. Inicie y pare el daemon de antememoria del servicio de nombres.

    Los nuevos roles no se activarán hasta que no se reinicie el daemon de antememoria del servicio de nombres. Como usuario root, escriba: 


    # /etc/init.d/nscd stop
# /etc/init.d/nscd start
Ejemplo 2–1 Crear un rol de operador personalizado mediante el comando smrole

La siguiente secuencia muestra cómo se crea un rol con el comando smrole. En este ejemplo se crea una nueva versión del rol Operador que tiene asignado el perfil de derechos de Operador estándar, así como el perfil de Restaurar soporte. 


% su primaryadmin 
# /usr/sadm/bin/smrole add -H myHost -- -c "Custom Operator" -n oper2 -a johnDoe \
-d /export/home/oper2 -F "Backup/Restore Operator" -p "Operator" -p "Media Restore"

Authenticating as user: primaryadmin

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <type primaryadmin password>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadmin was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password ::<type oper2 password>

# /etc/init.d/nscd stop
# /etc/init.d/nscd start

Para ver el rol recién creado (o cualquier otro) utilice el comando smrole con la opción list, como se indica a continuación: 


# /usr/sadm/bin/smrole list --
Authenticating as user: primaryadmin

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <type  primaryadmin password>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadmin was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.
root                    0               Super-User
primaryadmin            100             Most powerful role
sysadmin                101             Performs non-security admin tasks
oper2                   102             Custom Operator