Ignorer les liens de navigation | |
Quitter l'aperu | |
![]() |
Guide d'administration d'Oracle VM Server for SPARC 2.0 |
1. Présentation du logiciel Oracle VM Server for SPARC
2. Installation et activation du logiciel
Autorisation du gestionnaire de domaines logiques
Création d'une autorisation et de profils et assignation de rôles pour les comptes utilisateur
Gestion des autorisations utilisateur
Ajout d'une autorisation pour un utilisateur
Suppression de toutes les autorisations d'un utilisateur
Gestion des profils utilisateur
Ajout d'un profil pour un utilisateur
Suppression de tous les profils d'un utilisateur
Configuration de RBAC pour l'accès à la console invité
Activation et utilisation du contrôle BSM
Vérification de l'activation du contrôle BSM
Impression de la sortie d'audit
4. Configuration des services et du domaine de contrôle
5. Configuration des domaines invités
6. Configuration des domaines d'E/S
7. Utilisation des disques virtuels
8. Utilisation des réseaux virtuels
11. Gestion des configurations
12. Réalisation d'autres tâches d'administration
A. Outil de conversion physique-à-virtuel Oracle VM Server for SPARC
B. Assistant de configuration Oracle VM Server for SPARC
C. Recherche du gestionnaire de domaines logiques
D. Utilisation de l'interface XML avec le gestionnaire de domaines logiques
Vous configurez une autorisation et des profils et assignez des rôles aux comptes utilisateur à l'aide du RBAC (contrôle d'accès basé sur les rôles) adapté pour le gestionnaire de domaines logiques. Reportez-vous à la page Ensemble de documents administrateur du système Solaris 10 pour plus d'informations sur le RBAC.
L'autorisation du gestionnaire de domaines logiques a deux niveaux :
Lecture – vous permet de consulter, mais pas de modifier la configuration.
Lecture et écriture – vous permet de consulter et de modifier la configuration.
Vous trouverez ci-dessous les entrées des domaines logiques ajoutées automatiquement au fichier /etc/security/auth_attr du SE Oracle Solaris :
solaris.ldoms.:::LDom administration::
solaris.ldoms.grant:::Delegate LDom configuration::
solaris.ldoms.read:::View LDom configuration::
solaris.ldoms.write:::Manage LDom configuration::
Utilisez la procédure suivante pour ajouter les autorisations dans le fichier /etc/security/auth_attr pour les utilisateurs du gestionnaire de domaines logiques. Comme le superutilisateur a déjà l'autorisation solaris.*, ce dernier a déjà les droits pour les autorisations solaris.ldoms.*.
Remarque - Pour ajouter l'autorisation du gestionnaire de domaines logiques pour un utilisateur, un compte local (non LDAP) doit être créé pour cet utilisateur. Reportez-vous à l'Ensemble de documents administrateur du système du SE Oracle Solaris pour plus d'informations.
Voir le Tableau 3-1 pour obtenir une liste des commandes ldm(1M) et de leurs autorisations utilisateur.
Ajoutez une autorisation en lecture seule pour un utilisateur à l'aide de la commande usermod(1M).
# usermod -A solaris.ldoms.read username
Ajoutez une autorisation en lecture et en écriture pour un utilisateur à l'aide de la commande usermod(1M).
# usermod -A solaris.ldoms.write username
# usermod -A `` username
Le package SUNWldm ajoute deux profils RBAC définis par le système dans le fichier /etc/security/prof_attr à utiliser pour autoriser l'accès au gestionnaire de domaines logiques par les utilisateurs autres que les superutilisateurs. Les deux profils spécifiques aux domaines logiques sont :
LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read
LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*
Le package SUNWldm définit également l'attribut d'exécution suivant qui est associé au profil de gestion LDoms :
LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search
L'un des profils précédents peut être assigné à un compte utilisateur à l'aide de la procédure suivante.
Les utilisateurs qui ont été directement assignés au profil de gestion LDoms doivent invoquer un shell de profil pour exécuter la commande ldm avec les attributs de sécurité. Pour plus d'informations, reportez-vous à l'ensemble de documents administrateur du système Oracle Solaris 10.
# usermod -P “LDoms Management” username
# usermod -P `` username
L'avantage de l'utilisation de cette procédure est que seul un utilisateur ayant été assigné à un rôle spécifique peut assumer ce rôle. En assumant un rôle, un mot de passe est requis si le rôle est associé à un mot de passe. Cela fournit deux couches de sécurité. Si aucun rôle n'a été assigné à un utilisateur, celui-ci ne peut pas assumer de rôle (en utilisant la commande su nom-rôle) même si l'utilisateur a le mot de passe correct.
# roleadd -P "LDoms Review" ldm_read
# passwd ldm_read
Par exemple, user_1.
# useradd -R ldm_read user_1
# passwd user_1
# su user_1
$ id uid=nn(user_1) gid=nn(group-name) $ roles ldm_read
# su ldm_read
$ id uid=nn(ldm_read) gid=nn(group-name)