vntsd デーモンでは、vntsd/authorization という SMF プロパティーを使用できます。このプロパティーを構成すると、ドメインコンソールまたはコンソールグループ用にユーザーおよび役割の承認チェックを有効にできます。承認チェックを有効にするには、svccfg コマンドを使用して、このプロパティーの値を true に設定します。このオプションが有効な場合、vntsd は、localhost のみで接続を待機して受け入れます。vntsd/authorization が有効な場合、listen_addr プロパティーに代替 IP アドレスを指定していても、vntsd は代替 IP アドレスを無視し、引き続き localhost のみで待機します。
デフォルトでは、vntsd サービスが有効な場合、すべてのゲストコンソールにアクセスするための承認は、auth_attr データベースに追加されます。
solaris.vntsd.consoles:::Access All LDoms Guest Consoles:: |
スーパーユーザーは、usermod コマンドを使用して、必要な承認をほかのユーザーまたは役割に割り当てることができます。これにより、特定のドメインコンソールまたはコンソールグループにアクセスするために必要な承認を持つユーザーまたは役割のみが許可されます。
次の例は、ユーザー terry に、すべてのドメインコンソールにアクセスするための承認を付与します。
# usermod -A "solaris.vntsd.consoles" terry |
次の例は、ldg1 という名前の特定のドメインコンソール用の新しい承認を追加し、この承認をユーザー sam に割り当てます。
新しい承認エントリを、ドメイン ldg1 の auth_attr ファイルに追加します。
solaris.vntsd.console-ldg1:::Access Specific LDoms Guest Console:: |
この承認をユーザー sam に割り当てます。
# usermod -A "solaris.vntsd.console-ldg1" sam |
承認および RBAC の詳細は、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。