Logical Domains Manager 用に変更された Solaris OS の役割に基づくアクセス制御 (RBAC) を使用して、ユーザーアカウントに対する承認およびプロファイルを設定し、役割を割り当てます。RBAC の詳細は、「Solaris 10 System Administrator Collection」を参照してください。
Logical Domains Manager の承認には、次の 2 つのレベルがあります。
読み取り - 構成を表示できますが、変更できません。
読み取りおよび書き込み - 構成を表示および変更できます。
Solaris OS の /etc/security/auth_attr ファイルには、次の Logical Domains エントリが自動的に追加されます。
solaris.ldoms.:::LDoms Administration::
Solaris.ldoms.grant:::Delegate Ldoms Configuration::
Solaris.ldoms.read:::View Ldoms Configuration::
Solaris.ldoms.write:::Manage Ldoms Configuration::
必要に応じて次の手順を使用して、Logical Domains Manager ユーザーに対する承認を /etc/security/auth_attr ファイルに追加します。スーパーユーザーには solaris.* 承認がすでに設定されているため、スーパーユーザーは solaris.ldoms.* 承認の承認をすでに持っています。
ldm(1M) のサブコマンドを使用するために承認を必要とするユーザーごとに、ローカルユーザーアカウントを作成します。
ユーザーの Logical Domains Manager 承認を追加するには、そのユーザーに対してローカル (非 LDAP) アカウントを作成する必要があります。詳細は、「Solaris 10 System Administrator Collection」を参照してください。
ユーザーによるアクセスを可能にする ldm(1M) のサブコマンドに応じて、次のいずれかを実行します。
ldm(1M) コマンドとそれらのユーザー承認の一覧は、表 3–1 を参照してください。
usermod(1M) コマンドを使用して、ユーザーの読み取り専用承認を追加します。
# usermod -A solaris.ldoms.read username |
usermod(1M) コマンドを使用して、ユーザーの読み取りおよび書き込み承認を追加します。
# usermod -A solaris.ldoms.write username |
SUNWldm パッケージによって、/etc/security/prof_attr ファイルにシステムで定義された 2 つの RBAC プロファイルが追加されます。これらは、スーパーユーザー以外による Logical Domains Manager へのアクセスを承認するために使用されます。2 つの LDoms 固有のプロファイルは次のとおりです。
LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read
LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*
次の手順を使用して、前述のいずれかのプロファイルをユーザーアカウントに割り当てることができます。
この手順を使用する利点は、特定の役割が割り当てられたユーザーだけがその役割になることができることです。役割にパスワードが設定されている場合は、その役割になるときにパスワードが必要になります。これにより、2 層のセキュリティーが実現します。ユーザーに役割が割り当てられていない場合、ユーザーがその正しいパスワードを知っていたとしても、su role-name コマンドを実行してその役割になることはできません。
役割を作成します。
# roleadd -A solaris.ldoms.read ldm_read |
役割にパスワードを割り当てます。
# passwd ldm_read |
ユーザー (たとえば user_1) に役割を割り当てます。
# useradd -R ldm_read user_1 |
ユーザー (user_1) にパスワードを割り当てます。
# passwd user_1 |
ldm_read アカウントになるために、user_1 アカウントに対するアクセス権のみを割り当てます。
# su user_1 |
プロンプトが表示されたら、ユーザーのパスワードを入力します。
ユーザー ID を確認して、ldm_read 役割にアクセスします。
$ id uid=nn(user_1) gid=nn(<group name>) $ roles ldm_read |
読み取り承認を持つ ldm サブコマンドに対して、ユーザーにアクセス権を提供します。
# su ldm_read |
プロンプトが表示されたら、ユーザーのパスワードを入力します。
id コマンドを入力してユーザーを表示します。
$ id uid=nn(ldm_read) gid=nn(<group name>) |