Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Guía de administración del servidor Oracle VM para SPARC 2.0 |
1. Información general sobre el software del Oracle VM Server for SPARC
2. Instalación y habilitación del software
Autorización de Administrador de Dominios lógicos
Creación de la autorización y perfiles y asignación de funciones para las cuentas de usuario
Administración de las autorizaciones de usuario
Agregación de una autorización para un usuario
Borrado de todas las autorizaciones para un usuario
Administración de los perfiles de usuario
Agregado de un perfil para un usuario
Borrado de todos los perfiles para un usuario
Asignación de funciones a usuarios
Creación de una función y asignación de la función a un usuario
Configuración de RBAC para el acceso de la consola huésped
Habilitación y uso de auditoría del BSM
Habilitación de auditoría de BSM
Compruebe que la auditoría BSM está habilitada.
Deshabilitación de la auditoría BSM
Impresión de una salida de auditoría
Giro de los registros de la auditoría
4. Configuración de servicios y el dominio de control
5. Configuración de los dominios huésped
6. Configuración de dominios E/S
10. Administración de recursos
11. Administración de las configuraciones
12. Realización de otras tareas administrativas
A. Herramienta de conversión física a virtual del Oracle VM Server for SPARC
B. Asistente para la configuración de Oracle VM Server for SPARC
C. Descubrimiento del Administrador de Dominios lógicos
D. Uso de la interfaz XML con el Administrador de Dominios lógicos
Puede configurar autorizaciones y perfiles y asignar funciones para las cuentas de usuario usando el control de acceso basado en funciones (RBAC) del SO de Solaris de Oracle adaptado para el Administrador de Dominios lógicos. Consulte Solaris 10 System Administrator Collection para más información sobre RBAC.
La autorización para el Administrador de Dominios lógicos tiene dos niveles:
Leer - le permite ver, pero no modificar la configuración.
Leer y escribir – le permite ver y cambiar la configuración.
A continuación se indican las entradas Dominios lógicos automáticamente agregadas al archivo SO de Solaris de Oracle /etc/security/auth_attr:
solaris.ldoms.:::LDom administration::
solaris.ldoms.grant:::Delegate LDom configuration::
solaris.ldoms.read:::View LDom configuration::
solaris.ldoms.write:::Manage LDom configuration::
Use los siguientes pasos según sea necesario para agregar autorizaciones en el archivo /etc/security/auth_attr para los usuarios Administrador de Dominios lógicos. Dado que el superusuario ya tiene la autorización solaris.*, el superusuario ya tiene permiso para las autorizaciones solaris.ldoms.*.
Nota - Para agregar una autorización de Administrador de Dominios lógicos a un usuario, debe crearse una cuenta local (no LDAP) para dicho usuario. Consulte el SO de Solaris de Oracle System Administrator Collection para más detalles.
Véase Tabla 3-1 para una lista de los comandos ldm(1M) y las respectivas autorizaciones de usuario.
Agregue una autorización de sólo lectura para un usuario que usa el comando usermod(1M).
# usermod -A solaris.ldoms.read username
Agregue una autorización de lectura y escritura para un usuario que usa el comando usermod(1M).
# usermod -A solaris.ldoms.write username
# usermod -A `` username
El paquete SUNWldm agrega dos perfiles RBAC definidos por sistema en el archivo /etc/security/prof_attr para su uso en el acceso autorizado al Administrador de Dominios lógicos por no superusuarios. Los dos perfiles específicos de Dominios lógicos son:
LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read
LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*
El paquete SUNWldm también define el siguiente atributo de ejecución que está asociado con el perfil de administración LDoms:
LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search
Uno de los anteriores perfiles puede ser asignado a la cuenta de usuario usando el siguiente procedimiento.
Los usuarios a los que se ha asignado directamente el perfil de administración LDoms deben invocar un comando de intérprete de perfil para ejecutar el comando ldm con los atributos de seguridad. Para más información, vea el Solaris de Oracle 10 System Administrator Collection.
# usermod -P “LDoms Management” username
# usermod -P `` username
La ventaja de usar este procedimiento es que sólo un usuario al que ha sido asignada una función puede asumir dicha función. Al asumir una función, es necesaria la contraseña si se ha dado la contraseña a la función. Esto ofrece dos capas de seguridad. Si no se ha asignado una función al usuario, entonces el usuario no puede asumir la función (realizando el comando su role-name) incluso si el usuario tiene la contraseña correcta.
# roleadd -P "LDoms Review" ldm_read
# passwd ldm_read
Por ejemplo, user_1.
# useradd -R ldm_read user_1
# passwd user_1
# su user_1
$ id uid=nn(user_1) gid=nn(group-name) $ roles ldm_read
# su ldm_read
$ id uid=nn(ldm_read) gid=nn(group-name)