RBAC セキュリティを適用する (N1 Provisioning Server 3.1, Blades Edition システム管理ガイド)

N1 Provisioning Server 3.1, Blades Edition システム管理ガイド

RBAC セキュリティを適用する

手順

コントロールプレーンサーバーに root としてログインします。

/etc/security 属性ファイルをバックアップします。

サブディレクトリを作成し、属性ファイルをそのサブディレクトリにコピーします。 cp コマンドのオプション -p を使用して、ファイルのアクセス権と所有権を保持します。

例:

cd /etc/security
ls -l *attr
-rw-r--r--   1 root     sys        42871 Nov  8  2002 audit_record_attr
-rw-r--r--   1 root     sys         5907 Nov  8  2002 auth_attr
-rw-r--r--   1 root     sys        12672 Nov  8  2002 exec_attr
-rw-r--r--   1 root     sys         4715 Nov  8  2002 prof_attr
mkdir attr-backup
cp -p *attr attr-backupls -l attr-backup
total 136
drwxr-xr-x   2 root     other        512 Jan  7 18:00 .
drwxr-xr-x   7 root     sys          512 Jan  7 18:00 ..
-rw-r--r--   1 root     sys        42871 Nov  8  2002 audit_record_attr
-rw-r--r--   1 root     sys         5907 Nov  8  2002 auth_attr
-rw-r--r--   1 root     sys        12672 Nov  8  2002 exec_attr
-rw-r--r--   1 root     sys         4715 Nov  8  2002 prof_attr

次のコマンドを入力して、定義済みの N1 Provisioning Server セキュリティ属性を /etc/security ファイルに追加します。

cd /opt/terraspring/lib/rbac/

cat n1_auth_attr >> /etc/security/auth_attr

cat n1_exec_attr >> /etc/security/exec_attr

cat n1_prof_attr >> /etc/security/prof_attr

次のように入力して、/n1admin ディレクトリを作成します。

mkdir n1admin

n1admin 役割アカウントを追加します。

roleadd -d /n1admin -P"N1ADMIN" n1admin

roleadd コマンドの詳細については、roleadd のマニュアルページ roleadd(1M) を参照してください。

n1admin アカウントのパスワードを変更します。

passwd n1admin

新しいパスワードの入力を求めるプロンプトが表示されます。パスワードを入力して Enter キーを押します。

新しいパスワードの再入力を求めるプロンプトが表示されます。

新しいパスワードを再入力し、Enter キーを押します。

ユーザーアカウントを n1admin セキュリティロールに割り当てます。

コマンド /opt/terraspring/lib/rbac]# usermod -R "n1admin" user01 を入力します。ここで、user01 は有効な UNIX ユーザーアカウントです。

注 –
このユーザーアカウントは存在する必要があります。 RBAC のコマンドの詳細については、http://docs.eng.sun.com/db/doc/817-0365/6mg5vpmbd?q=Role-Based+Access+Control を参照してください。

ユーザーアカウントを使用してコントロールプレーンサーバーにログオンします。

roles を入力してセキュリティロールを表示します。

例:
roles n1admin

このユーザーアカウントでは N1 Provisioning Server のコマンドを実行できないことを確認します。

/opt/terraspring/sbin/image —l と入力します。 image: cannot execute という応答が表示されるはずです。使用可能な N1 Provisioning Server イメージのリストが表示された場合は、/opt/terraspring/sbin のファイルアクセス権が正しく設定されていません。手順 2 で指示されているファイルアクセス権を設定し、確認します。

su n1admin と入力して、n1admin スーパーユーザーとしてログインします。

n1admin ロールを使用すると、このユーザーアカウントで N1 Provisioning Server の管理コマンドを実行できることを確認します。

注 –

管理コマンドを実行するには、コマンドにフルパスを指定するか、そのコマンドが含まれるディレクトリに移動してコマンドに接頭辞 ./ を付けます。

これを行うには、次の 2 つの方法があります。

スーパーユーザー n1admin としてログインし、/opt/terraspring/sbin/image —l と入力して、使用可能な N1 Provisioning Server イメージを表示します。以下に例を示します。
su - n1admin /opt/terraspring/sbin/image —l
スーパーユーザー n1admin としてログインし、su コマンドの -c オプションを使用して、image —l コマンドを実行します。以下に例を示します。
su - n1admin -c "/opt/terraspring/sbin/image -l"

N1 イメージのリストが表示されます。以下に例を示します。

$ image -l 
IMAGE_ID IMAGE_NAME               CUSTOMER         SIZE         OS       TYPE        STATE     
1        solaris9u5-sun4ublade-flash __grid__      3004789248   solaris  flash       READY    
LOCATION: nfs://3001//images/master-images/solaris9u5-sun4ublade-flash 
2        solaris9u5-sun4ublade-disk-image __grid__ 30000000000  solaris  disk_image  READY   
 LOCATION:nfs://3001//images/master-images/solaris9u5-sun4ublade-disk-image

ユーザー ID (uid) とグループ ID (gid) を確認します。

id と入力して、uid と gid を表示します。 uid は 50004(n1admin)、gid は 1(other) となるはずです。以下に例を示します。
id uid=50004(n1admin) gid=1(other)