ゲストコンソールアクセス用の RBAC の構成

vntsd デーモンでは、vntsd/authorization という SMF プロパティーを使用できます。このプロパティーを構成すると、ドメインコンソールまたはコンソールグループ用にユーザーおよび役割の承認チェックを有効にできます。承認チェックを有効にするには、svccfg コマンドを使用して、このプロパティーの値を true に設定します。このオプションが有効な場合、vntsd は、localhost のみで接続を待機して受け入れます。vntsd/authorization が有効な場合、listen_addr プロパティーに代替 IP アドレスを指定していても、vntsd は代替 IP アドレスを無視し、引き続き localhost のみで待機します。

デフォルトでは、vntsd サービスが有効な場合、すべてのゲストコンソールにアクセスするための承認は、auth_attr データベースに追加されます。

solaris.vntsd.consoles:::Access All LDoms Guest Consoles::

スーパーユーザーは、usermod コマンドを使用して、必要な承認をほかのユーザーまたは役割に割り当てることができます。これにより、特定のドメインコンソールまたはコンソールグループにアクセスするために必要な承認を持つユーザーまたは役割のみが許可されます。

次の例は、ユーザー terry に、すべてのドメインコンソールにアクセスするための承認を付与します。

# usermod -A "solaris.vntsd.consoles" terry

次の例は、ldg1 という名前の特定のドメインコンソール用の新しい承認を追加し、この承認をユーザー sam に割り当てます。

1. 新しい承認エントリを、ドメイン ldg1 の auth_attr ファイルに追加します。

   solaris.vntsd.console-ldg1:::Access Specific LDoms Guest Console::

2. この承認をユーザー sam に割り当てます。

   # usermod -A "solaris.vntsd.console-ldg1" sam

承認および RBAC の詳細は、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。