En este capítulo se describe RBAC (Control de acceso basado en rol) en relación con Sun Cluster. Se tratan los siguientes temas:
Utilice la tabla siguiente para determinar la documentación que debe consultar acerca de la instalación y utilización de RBAC. Más adelante en este mismo capítulo se indican los pasos específicos para instalar y utilizar RBAC con Sun Cluster.
Para |
Consulte |
---|---|
Ampliar la información sobre RBAC |
“Role-Based Access Control (Overview)” in System Administration Guide: Security Services |
Instalar, gestionar los elementos y utilizar RBAC |
“Role-Based Access Control (Tasks)” in System Administration Guide: Security Services |
Ampliar la información sobre los elementos y herramientas de RBAC |
“Role-Based Access Control (Reference)” in System Administration Guide: Security Services |
SunPlex Manager y algunas órdenes y opciones de línea de órdenes de Sun Cluster utilizan RBAC para tareas de autenticación. Sun Cluster incluye varios perfiles de derechos de RBAC que pueden asignarse a usuarios o roles para otorgar a éstos distintos niveles de acceso a Sun Cluster. Sun incluye en el software de Sun Cluster los siguientes perfiles de derechos.
Perfil de derechos |
Autorizaciones incluidas |
Esta autorización permite a la identidad del rol |
---|---|---|
Órdenes de Sun Cluster |
Ninguna, pero incluye una lista de órdenes de Sun Cluster que se ejecutan con euid=0 |
Ejecutar determinadas órdenes de Sun Cluster que se utilizan para configurar y gestionar un clúster, incluidos: scswitch(1M) (opciones seleccionadas) |
Usuario Solaris básico |
Este perfil de derechos de Solaris contiene autorizaciones de Solaris, como: |
Efectuar las mismas operaciones que puede llevar a cabo la identidad de rol Usuario Solaris básico, como: |
|
solaris.cluster.device.read |
Leer información acerca de grupos de dispositivos |
|
solaris.cluster.gui |
Acceder a SunPlex Manager |
|
solaris.cluster.network.read |
Leer información acerca de Ruta múltiple de red IP Nota – Esta autorización no se aplica a SunPlex Manager. |
|
solaris.cluster.node.read |
Leer información acerca de los atributos de nodos |
|
solaris.cluster.quorum.read |
Leer información acerca de los dispositivos del quórum y del estado del quórum |
|
solaris.cluster.resource.read |
Leer información acerca de los recursos y grupos de recursos |
|
solaris.cluster.system.read |
Leer el estado del clúster |
|
solaris.cluster.transport.read |
Leer información acerca de los transportes |
Funcionamiento del clúster |
solaris.cluster.appinstall |
Instalar aplicaciones en clúster |
|
solaris.cluster.device.admin |
Efectuar tareas administrativas en los atributos de grupos de dispositivos |
|
solaris.cluster.device.read |
Leer información acerca de grupos de dispositivos |
|
solaris.cluster.gui |
Acceder a SunPlex Manager |
|
solaris.cluster.install |
Instalar software de clúster Nota – Esta autorización no se aplica a SunPlex Manager. |
|
solaris.cluster.network.admin |
Efectuar tareas administrativas en los atributos de ruta múltiple de red IP Nota – Esta autorización no se aplica a SunPlex Manager. |
|
solaris.cluster.network.read |
Leer información acerca de Ruta múltiple de red IP Nota – Esta autorización no se aplica a SunPlex Manager. |
|
solaris.cluster.node.admin |
Efectuar tareas administrativas en los atributos de nodos |
|
solaris.cluster.node.read |
Leer información acerca de los atributos de nodos |
|
solaris.cluster.quorum.admin |
Efectuar tareas administrativas en los atributos de dispositivos del quórum y de estado del quórum |
|
solaris.cluster.quorum.read |
Leer información acerca de los dispositivos del quórum y del estado del quórum |
|
solaris.cluster.resource.admin |
Efectuar tareas administrativas en atributos de recursos y de grupos de recursos |
|
solaris.cluster.resource.read |
Leer información acerca de los recursos y grupos de recursos |
|
solaris.cluster.system.admin |
Administrar el sistema Nota – Esta autorización no se aplica a SunPlex Manager. |
|
solaris.cluster.system.read |
Leer el estado del clúster |
|
solaris.cluster.transport.admin |
Efectuar tareas administrativas en los atributos de transportes |
|
solaris.cluster.transport.read |
Leer información acerca de los transportes |
Administrador del sistema |
Este perfil de Solaris contiene las mismas autorizaciones que el perfil Gestión del clúster. |
Efectuar las mismas operaciones que puede llevar a cabo la identidad de rol Gestión del clúster, aparte de otras operaciones de administración del sistema. |
Gestión del clúster |
Este perfil de derechos contiene las mismas autorizaciones que el perfil Funcionamineto del clúster, y las siguientes autorizaciones adicionales: |
Efectuar las mismas operaciones que la identidad de rol Funcionamineto del clúster, así como: |
|
solaris.cluster.device.modify |
Modificar los atributos de los grupos de dispositivos |
|
solaris.cluster.gui |
Acceder a SunPlex Manager |
|
solaris.cluster.network.modify |
Modificar los atributos de ruta múltiple de red IP Nota – Esta autorización no se aplica a SunPlex Manager. |
|
solaris.cluster.node.modify |
Modificar los atributos del nodo Nota – Esta autorización no se aplica a SunPlex Manager. |
|
solaris.cluster.quorum.modify |
Modificar los atributos de dispositivos del quórum y de estado del quórum |
|
solaris.cluster.resource.modify |
Modificar los atributos de los recursos y de grupos de recursos |
|
solaris.cluster.system.modify |
Modificar los atributos del sistema Nota – Esta autorización no se aplica a SunPlex Manager. |
|
solaris.cluster.transport.modify |
Modificar los atributos de transporte |
Para crear un rol, deberá asumir uno que tenga asignado el perfil de derechos de Administrador principal o convertirse en usuario root.
Inicie la herramienta Roles administrativos.
Ejecute la herramienta Roles administrativos e inicie Solaris Management Console, como se describe en “How to Assume a Role in the Console Tools” in System Administration Guide: Security Services. A continuación, abra la Colección de herramientas del usuario y haga clic en el icono Roles administrativos.
Inicie el asistente Agregar rol administrativo.
Seleccione Agregar rol administrativo en el menú Acción para iniciar el asistente Agregar rol administrativo para la configuración de roles.
Configure un rol que tenga asignado el perfil de derechos Gestión del clúster.
Utilice los botones Siguiente y Atrás para desplazarse entre los cuadros de diálogo. Tenga en cuenta que el botón Siguiente no se activa mientras no se hayan completado los campos obligatorios. El último cuadro de diálogo permite revisar los datos introducidos y retroceder para cambiarlos o hacer clic en Terminar para guardar el nuevo rol. La Tabla 2–1 resume los cuadros de diálogo.
Deberá situar este perfil en el primer lugar de la lista de perfiles asignados al rol.
Agregue los usuarios que deban utilizar las funciones de SunPlex Manager o las órdenes de Sun Cluster al rol que acaba de crear.
Para agregar una cuenta de usuario al sistema se utiliza la orden useradd(1M). La opción -P asigna un rol a una cuenta de usuario.
Haga clic en Terminar cuando haya finalizado.
Abra una ventana de terminal, conviértase en usuario root e inicie y pare el daemon de antememoria del servicio de nombres.
Los nuevos roles no se activarán hasta que no se reinicie el daemon de antememoria del servicio de nombres. Una vez convertido en usuario root, escriba:
# /etc/init.d/nscd stop # /etc/init.d/nscd start |
Cuadro de diálogo |
Campos |
Descripción del campo |
---|---|---|
Paso 1: Escribir un nombre de rol |
Nombre de rol |
Nombre breve del rol. |
|
Nombre completo |
Versión larga del nombre. |
|
Descripción |
Descripción del rol. |
|
Número de ID del rol |
UID del rol; se incrementa automáticamente. |
|
Shell de rol |
Shells de perfil disponibles para los roles: C del administrador, Bourne del administrador o Korn del administrador. |
|
Crear un lista de correo del rol |
Crea una lista de correo para los usuarios que tienen asignado este rol. |
Paso 2: Escribir una contraseña de rol |
Contraseña de rol |
******** |
|
Confirmar contraseña |
******** |
Paso 3: Seleccionar derechos de rol |
Derechos disponibles / Derechos concedidos |
Asigna o elimina los perfiles de derechos de un rol Tenga en cuenta que el sistema no impide escribir varias veces la misma orden. Los atributos asignados a la primera aparición de una orden en un perfil de derechos tienen prioridad, y las apariciones subsiguientes son ignoradas. Utilice las flechas Arriba y Abajo para cambiar el orden. |
Paso 4: Seleccionar un directorio de inicio |
Servidor |
Servidor del directorio de inicio. |
|
Ruta |
Ruta del directorio de inicio. |
Paso 5: Asignar usuarios a este rol |
Añadir |
Agrega usuarios que pueden asumir este rol. Deben estar dentro del mismo ámbito. |
|
Suprimir |
Suprime los usuarios asignados a este rol. |
Conviértase en usuario root o asuma un rol que pueda crear otros roles.
Seleccione un método para la creación del rol:
Para los roles del ámbito local, utilice la orden roleadd(1M) para especificar un nuevo rol local y sus atributos.
Otra posibilidad para roles del ámbito local es editar el archivo user_attr(4) para agregar un usuario con type=role.
Se recomienda utilizar este método únicamente en caso de emergencia, ya que es fácil cometer errores mecanográficos.
Para los roles en un servicio de nombres, utilice la orden smrole(1M) para especificar el nuevo rol y sus atributos.
Esta orden requiere la autenticación por parte del usuario root o de un rol que pueda crear otros roles. La orden smrole puede aplicarse a todos los servicios de nombres. Esta orden se ejecuta como cliente del servidor de Solaris Management Console.
Inicie y pare el daemon de antememoria del servicio de nombres.
Los nuevos roles no se activarán hasta que no se reinicie el daemon de antememoria del servicio de nombres. Como usuario root, escriba:
# /etc/init.d/nscd stop # /etc/init.d/nscd start |
En la secuencia siguiente se muestra la creación de un rol mediante la orden smrole. En este ejemplo, se crea una nueva versión del rol de Operador que tiene asignados los perfiles de derechos estándar de Operador y de Restaurar soporte.
% su adminprincipal # /usr/sadm/bin/smrole add -H miSistema -- -c "Operador personalizado" -n oper2 -a juanNadie \ -d /export/home/oper2 -F "Operador Copia de seguridad/Restaurar" -p "Operador" -p "Restaurar soporte" Authenticating as user: adminprincipal Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password :: <escriba contraseña adminprincipal> Loading Tool: com.sun.admin.usermgrclústeri.role.UserMgrRoleCli from miSistema Login to miSistema as user adminprincipal was successful. Download of com.sun.admin.usermgrclústeri.role.UserMgrRoleCli from miSistema was successful. Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password ::<escriba contraseña oper2> # /etc/init.d/nscd stop # /etc/init.d/nscd start |
Para ver el rol acabado de crear (o cualquier otro) utilice la orden smrole con la opción list, como se indica a continuación:
# /usr/sadm/bin/smrole list -- Authenticating as user: adminprincipal Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password :: <escriba contraseña adminprincipal> Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost Login to miSistema as user adminprincipal was successful. Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from miSistema was successful. root 0 Super-User primaryadmin 100 Most powerful role sysadmin 101 Performs non-security admin tasks oper2 102 Operador personalizado |
Para modificar las propiedades de un usuario se debe ejecutar la Colección de herramientas del usuario como usuario root o asumir un rol que tenga asignado el perfil de derechos Administrador principal.
Inicie la herramienta Cuentas de usuario.
Para ejecutar la herramienta Cuentas de usuario deberá iniciar Solaris Management Console, como se describe en “How to Assume a Role in the Console Tools” in System Administration Guide: Security Services. A continuación, abra la Colección de herramientas del usuario y haga clic en el icono Cuentas de usuario.
Una vez iniciada la herramienta Cuentas de usuario, los iconos correspondientes a las cuentas de usuario existentes se muestran en el panel de visualización.
Haga clic en el icono de la cuenta de usuario que se debe modificar y seleccione Propiedades en el menú Acción (o haga doble clic en el icono).
Haga clic en la pestaña apropiada del cuadro de diálogo según la propiedad que se desee modificar, como se indica a continuación:
Para cambiar los roles asignados al usuario, haga clic en la pestaña Roles y mueva la asignación de rol que se debe modificar a la columna apropiada: Roles disponibles o Roles asignados.
Para cambiar los perfiles de derechos asignados al usuario, haga clic en la pestaña Derechos y mueva los perfiles a la columna apropiada: Derechos disponibles o Derechos asignados.
No es conveniente asignar perfiles de derechos directamente a los usuarios. Es más adecuado forzar a éstos a que asuman roles para poder ejecutar aplicaciones con privilegios. Esta estrategia impide que los usuarios normales abusen de los privilegios.
Conviértase en usuario root o adquiera un rol que tenga permiso para modificar los archivos de usuario.
Utilice la orden apropiada:
Para cambiar las autorizaciones, roles o perfiles de derechos asignados a un usuario definido en el ámbito local, utilice la orden usermod(1M).
Otra posibilidad es editar el archivo user_attr.
Se recomienda utilizar este método únicamente en caso de emergencia, ya que es fácil cometer errores mecanográficos.
Para cambiar las autorizaciones, roles o perfiles de derechos asignados a un usuario definido en un servicio de nombres, utilice la orden smuser(1M).
Esta orden requiere la autenticación por parte del usuario root o de un rol que pueda modificar archivos de usuario. La orden smuser puede aplicarse a todos los servicios de nombres. smuser se ejecuta como cliente del servidor de Solaris Management Console.