test

Guide d'administration système de Sun Cluster pour SE Solaris

Création et attribution d'un rôle RBAC avec un profil d'autorisations de gestion Sun Cluster

Pour créer un rôle, vous devez endosser un rôle avec un profil d'autorisation d'administrateur principal ou vous connecter en tant que root.

Tableau 2–1 Assistant d'ajout de rôles administratifs : boîtes de dialogue et champs

boîtes de dialogue 

champs 

Description du champ 

Étape 1 : entrer un nom de rôle 

Nom du rôle 

Nom abrégé du rôle 

 

Nom complet 

Version longue du nom 

 

Description 

Description du rôle 

 

ID du rôle 

ID utilisateur pour le rôle, automatiquement incrémenté 

 

Shell du rôle 

Shells de profils disponibles pour les rôles : C shell administrateur, bourne-shell administrateur ou korn-shell administrateur 

 

Créez une liste de distribution du rôle 

Création d'une liste de distribution pour les utilisateurs auxquels est assigné ce rôle. 

Étape 2 : entrer un mot de passe de rôle 

Mot de passe du rôle 

******** 

 

Confirmation du mot de passe 

******** 

Étape 3 : sélectionner les autorisations d'accès au rôle 

Autorisations disponibles / autorisations accordées 

Permet d'attribuer ou de supprimer des profils d'autorisations 

Vous remarquerez que le système d'entrer vous permet de saisir plusieurs occurrences de la même commande. Les attributs affectés à la première occurrence d'une commande dans un profil d'autorisations sont prioritaires et toutes les autres occurrences sont ignorées. Les flèches vers le haut et vers le bas vous permettent d'en modifier l'ordre. 

Étape 4 : sélectionner un répertoire personnel 

Serveur 

Serveur du répertoire personnel 

 

Chemin 

Chemin du répertoire personnel 

Étape 5 : affecter des utilisateurs à ce rôle 

Ajouter 

Permet d'ajouter des utilisateurs pouvant utiliser ce rôle. Ils doivent avoir la même portée. 

 

Supprimer 

Permet de supprimer les utilisateurs affectés à ce rôle. 

ProcedureCréation d'un rôle à l'aide de l'outil Rôles administratifs

Étapes

  1. Démarrez l'outil Rôles administratifs.

    Exécutez l'outil Rôles administratifs, démarrez la console de gestion Solaris, comme décrit dans la section How to Assume a Role in the Solaris Management Console du System Administration Guide: Security Services. Des services de sécurité: Puis, ouvrez la User Tool Collection et cliquez sur l'icône Rôles administratifs.

  2. Lancez l'assistant Ajout de rôles administratifs.

    Sélectionnez Ajouter un rôle administratif dans le menu Action afin de démarrer l'assistant Ajout d'un rôle administratif qui vous permettra de configurer les rôles.

  3. Définissez un rôle disposant du profil d'autorisations de Gestion de cluster.

    Utilisez les boutons Suivant et Retour pour naviguer entre les boîtes de dialogue. Vous remarquerez que le bouton Suivant n'est actif que lorsque vous avez renseigné tous les champs voulus. La dernière boîte de dialogue vous permet de voir l'ensemble des données entrées ; vous pouvez en modifier ou cliquer sur Terminer pour enregistrer le nouveau rôle. Le Tableau 2–1 récapitule les boîtes de dialogue.

    Remarque –

    vous devez placer ce profil en première position dans la liste des profils attribués au rôle.

  4. Ajoutez les utilisateurs devant utiliser les fonctions de SunPlex Manager ou les commandes de Sun Cluster au rôle créé.

    La commande useradd(1M) vous permet d'ajouter un compte utilisateur au système. L'option -P affecte un rôle à un compte utilisateur.

  5. Cliquez sur Terminé lorsque vous avez fini.

  6. Ouvrez une fenêtre du terminal, connectez-vous en tant que root, puis démarrez et arrêtez le démon de la mémoire cache du service de noms.

    Le nouveau rôle n'est valide qu'une fois redémarré le démon de la mémoire cache du service de noms. Après vous être connecté en tant que root, entrez la commande suivante : 


    # /etc/init.d/nscd stop
# /etc/init.d/nscd start

ProcedureCréation d'un rôle à partir de la ligne de commande

Étapes

  1. Connectez-vous en tant que superutilisateur ou endossez un rôle permettant de créer d'autres rôles.

  2. Sélectionnez une méthode pour créer un rôle :

    • Si vous créez un rôle local, utilisez la commande roleadd(1M) pour définir le nouveau rôle et ses attributs.

    • Si vous souhaitez créer un rôle local, vous pouvez également éditer le fichier user_attr(4) pour ajouter un utilisateur avec type=role.

      Cette méthode n'est recommandée qu'en cas d'urgence car des erreurs peuvent facilement se glisser dans vos saisies.

    • Si vous souhaitez créer un rôle dans un service de noms, utilisez la commande smrole(1M) pour définir le nouveau rôle et ses attributs.

      Cette commande requiert une authentification de la part du superutilisateur ou un rôle permettant de créer de nouveaux rôles. Vous pouvez appliquer smrole à tous les services de noms. Cette commande s'exécute en tant que client du serveur de la Solaris Management Console.

  3. Démarrez puis arrêtez le démon de la mémoire cache du service de noms.

    Les nouveaux rôles ne sont valides qu'une fois redémarré le démon de la mémoire cache du service de noms. Après vous être connecté en tant que root, entrez la commande suivante : 


    # /etc/init.d/nscd stop
# /etc/init.d/nscd start
Exemple 2–1 Création d'un rôle Opérateur personnalisé à l'aide de la commande smrole

La séquence suivante illustre la création d'un rôle avec la commande smrole. Dans cet exemple, une nouvelle version du rôle Opérateur est créée, à laquelle sont affectés les profils d'autorisations Opérateur standard et Restauration des supports. 


% su primaryadmin 
# /usr/sadm/bin/smrole add -H myHost -- -c "Custom Operator" -n oper2 -a johnDoe \
-d /export/home/oper2 -F "Backup/Restore Operator" -p "Operator" -p "Media Restore"

Authenticating as user: primaryadmin

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <type primaryadmin password>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadmin was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password ::<type oper2 password>

# /etc/init.d/nscd stop
# /etc/init.d/nscd start

Pour visualiser le nouveau rôle (et tout autre rôle). utilisez la commande smrole avec l'option list, de la manière suivante : 


# /usr/sadm/bin/smrole list --
Authenticating as user: primaryadmin

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <type  primaryadmin password>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadmin was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.
root                    0               Super-User
primaryadmin            100             Most powerful role
sysadmin                101             Performs non-security admin tasks
oper2                   102             Custom Operator