ユーザーアカウントに対する承認およびプロファイルの作成と役割の割り当て

Logical Domains Manager 用に変更された Solaris OS の役割に基づくアクセス制御 (RBAC) を使用して、ユーザーアカウントに対する承認およびプロファイルを設定し、役割を割り当てます。RBAC の詳細は、「Solaris 10 System Administrator Collection」を参照してください。

Logical Domains Manager の承認には、次の 2 つのレベルがあります。

• 読み取り - 構成を表示できますが、変更できません。

• 読み取りおよび書き込み - 構成を表示および変更できます。

Solaris OS の /etc/security/auth_attr ファイルには、次の Logical Domains エントリが自動的に追加されます。

• solaris.ldoms.:::LDoms Administration::

• Solaris.ldoms.grant:::Delegate Ldoms Configuration::

• Solaris.ldoms.read:::View Ldoms Configuration::

• Solaris.ldoms.write:::Manage Ldoms Configuration::

ユーザー承認の管理

ユーザーの承認を追加する

必要に応じて次の手順を使用して、Logical Domains Manager ユーザーに対する承認を /etc/security/auth_attr ファイルに追加します。スーパーユーザーには solaris.* 承認がすでに設定されているため、スーパーユーザーは solaris.ldoms.* 承認の承認をすでに持っています。

1. ldm(1M) のサブコマンドを使用するために承認を必要とするユーザーごとに、ローカルユーザーアカウントを作成します。

   ---

   注 –

   ユーザーの Logical Domains Manager 承認を追加するには、そのユーザーに対してローカル (非 LDAP) アカウントを作成する必要があります。詳細は、「Solaris 10 System Administrator Collection」を参照してください。

   ---

2. ユーザーによるアクセスを可能にする ldm(1M) のサブコマンドに応じて、次のいずれかを実行します。

   ldm(1M) コマンドとそれらのユーザー承認の一覧は、表 2–1 を参照してください。

   • usermod(1M) コマンドを使用して、ユーザーの読み取り専用承認を追加します。

     # usermod -A solaris.ldoms.read username

   • usermod(1M) コマンドを使用して、ユーザーの読み取りおよび書き込み承認を追加します。

     # usermod -A solaris.ldoms.write username

ユーザーのすべての承認を削除する

1. ローカルユーザーアカウントのすべての承認を削除します (使用できる唯一のオプション)。

   # usermod -A `` username

ユーザープロファイルの管理

SUNWldm パッケージによって、/etc/security/prof_attr ファイルにシステムで定義された 2 つの RBAC プロファイルが追加されます。これらは、スーパーユーザー以外による Logical Domains Manager へのアクセスを承認するために使用されます。2 つの LDoms 固有のプロファイルは次のとおりです。

• LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read

• LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*

次の手順を使用して、前述のいずれかのプロファイルをユーザーアカウントに割り当てることができます。

ユーザーのプロファイルを追加する

1. ローカルユーザーアカウントに管理プロファイル (たとえば、LDoms Management) を追加します。

   # usermod -P “LDoms Management” username

ユーザーのすべてのプロファイルを削除する

1. ローカルユーザーアカウントのすべてのプロファイルを削除します (使用できる唯一のオプション)。

   # usermod -P `` username

ユーザーへの役割の割り当て

この手順を使用する利点は、特定の役割が割り当てられたユーザーだけがその役割になることができることです。役割にパスワードが設定されている場合は、その役割になるときにパスワードが必要になります。これにより、2 層のセキュリティーが実現します。ユーザーに役割が割り当てられていない場合、ユーザーがその正しいパスワードを知っていたとしても、su role-name コマンドを実行してその役割になることはできません。

役割を作成し、ユーザーにその役割を割り当てる

1. 役割を作成します。

   # roleadd -A solaris.ldoms.read ldm_read

2. 役割にパスワードを割り当てます。

   # passwd ldm_read

3. ユーザー (たとえば user_1) に役割を割り当てます。

   # useradd -R ldm_read user_1

4. ユーザー (user_1) にパスワードを割り当てます。

   # passwd user_1

5. ldm_read アカウントになるために、user_1 アカウントに対するアクセス権のみを割り当てます。

   # su user_1

6. プロンプトが表示されたら、ユーザーのパスワードを入力します。

7. ユーザー ID を確認して、ldm_read 役割にアクセスします。

   $ id uid=nn(user_1) gid=nn(<group name>) $ roles ldm_read

8. 読み取り承認を持つ ldm サブコマンドに対して、ユーザーにアクセス権を提供します。

   # su ldm_read

9. プロンプトが表示されたら、ユーザーのパスワードを入力します。

10. id コマンドを入力してユーザーを表示します。

    $ id uid=nn(ldm_read) gid=nn(<group name>)