Création d'une autorisation et de profils et assignation de rôles pour les comptes utilisateur

Vous configurez une autorisation et des profils et assignez des rôles aux comptes utilisateur à l'aide du RBAC (contrôle d'accès basé sur les rôles) adapté pour le gestionnaire de domaines logiques. Reportez-vous à la page Ensemble de documents administrateur du système Solaris 10 pour plus d'informations sur le RBAC.

L'autorisation du gestionnaire de domaines logiques a deux niveaux :

• Lecture – vous permet de consulter, mais pas de modifier la configuration.

• Lecture et écriture – vous permet de consulter et de modifier la configuration.

Vous trouverez ci-dessous les entrées des domaines logiques ajoutées automatiquement au fichier /etc/security/auth_attr du SE Oracle Solaris :

• solaris.ldoms.:::LDom administration::

• solaris.ldoms.grant:::Delegate LDom configuration::

• solaris.ldoms.read:::View LDom configuration::

• solaris.ldoms.write:::Manage LDom configuration::

Gestion des autorisations utilisateur

Ajout d'une autorisation pour un utilisateur

Utilisez la procédure suivante pour ajouter les autorisations dans le fichier /etc/security/auth_attr pour les utilisateurs du gestionnaire de domaines logiques. Comme le superutilisateur a déjà l'autorisation solaris.*, ce dernier a déjà les droits pour les autorisations solaris.ldoms.*.

1. Créez un compte utilisateur local pour chaque utilisateur qui a besoin d'une autorisation pour utiliser les sous-commandes ldm(1M).

   ---

   Remarque - Pour ajouter l'autorisation du gestionnaire de domaines logiques pour un utilisateur, un compte local (non LDAP) doit être créé pour cet utilisateur. Reportez-vous à l'Ensemble de documents administrateur du système du SE Oracle Solaris pour plus d'informations.

   ---

2. Effectuez l'une des opérations suivantes en fonction de la sous-commande ldm(1M) à laquelle vous souhaitez que l'utilisateur puisse accéder.

   Voir le Tableau 3-1 pour obtenir une liste des commandes ldm(1M) et de leurs autorisations utilisateur.

   • Ajoutez une autorisation en lecture seule pour un utilisateur à l'aide de la commande usermod(1M).

     # usermod -A solaris.ldoms.read username

   • Ajoutez une autorisation en lecture et en écriture pour un utilisateur à l'aide de la commande usermod(1M).

     # usermod -A solaris.ldoms.write username

Suppression de toutes les autorisations d'un utilisateur

• Supprimez toutes les autorisations pour un compte utilisateur local (seule option possible).

  # usermod -A `` username

Gestion des profils utilisateur

Le package SUNWldm ajoute deux profils RBAC définis par le système dans le fichier /etc/security/prof_attr à utiliser pour autoriser l'accès au gestionnaire de domaines logiques par les utilisateurs autres que les superutilisateurs. Les deux profils spécifiques aux domaines logiques sont :

• LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read

• LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*

Le package SUNWldm définit également l'attribut d'exécution suivant qui est associé au profil de gestion LDoms :

LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search

L'un des profils précédents peut être assigné à un compte utilisateur à l'aide de la procédure suivante.

Ajout d'un profil pour un utilisateur

Les utilisateurs qui ont été directement assignés au profil de gestion LDoms doivent invoquer un shell de profil pour exécuter la commande ldm avec les attributs de sécurité. Pour plus d'informations, reportez-vous à l'ensemble de documents administrateur du système Oracle Solaris 10.

• Ajoutez un profil d'administration pour un compte utilisateur local. Par exemple, gestion LDoms.

  # usermod -P “LDoms Management” username

Suppression de tous les profils d'un utilisateur

• Supprimez tous les profils pour un compte utilisateur local (seule option possible).

  # usermod -P `` username

Assignation de rôles aux utilisateurs

L'avantage de l'utilisation de cette procédure est que seul un utilisateur ayant été assigné à un rôle spécifique peut assumer ce rôle. En assumant un rôle, un mot de passe est requis si le rôle est associé à un mot de passe. Cela fournit deux couches de sécurité. Si aucun rôle n'a été assigné à un utilisateur, celui-ci ne peut pas assumer de rôle (en utilisant la commande su nom-rôle) même si l'utilisateur a le mot de passe correct.

Création d'un rôle et assignation du rôle à un utilisateur

1. Créez un rôle.

   # roleadd -P "LDoms Review" ldm_read

2. Assignez un mot de passe au rôle.

   # passwd ldm_read

3. Assignez le rôle à un utilisateur.

   Par exemple, user_1.

   # useradd -R ldm_read user_1

4. Assignez un mot de passe à l'utilisateur (user_1).

   # passwd user_1

5. Assignez l'accès uniquement au compte user_1 pour qu'il devienne le compte ldm_read.

   # su user_1

6. Tapez le mot de passe utilisateur lorsque vous y êtes invité.
7. Vérifiez l'ID utilisateur et l'accès au rôle ldm_read.

   $ id
   uid=nn(user_1) gid=nn(group-name)
   $ roles
   ldm_read

8. Fournissez l'accès à l'utilisateur pour les sous-commandes ldm ayant une autorisation en lecture.

   # su ldm_read

9. Tapez le mot de passe utilisateur lorsque vous y êtes invité.
10. Tapez la commande id pour afficher l'utilisateur.

    $ id
    uid=nn(ldm_read) gid=nn(group-name)