Creación de la autorización y perfiles y asignación de funciones para las cuentas de usuario

Puede configurar autorizaciones y perfiles y asignar funciones para las cuentas de usuario usando el control de acceso basado en funciones (RBAC) del SO de Solaris de Oracle adaptado para el Administrador de Dominios lógicos. Consulte Solaris 10 System Administrator Collection para más información sobre RBAC.

La autorización para el Administrador de Dominios lógicos tiene dos niveles:

• Leer - le permite ver, pero no modificar la configuración.

• Leer y escribir – le permite ver y cambiar la configuración.

A continuación se indican las entradas Dominios lógicos automáticamente agregadas al archivo SO de Solaris de Oracle /etc/security/auth_attr:

• solaris.ldoms.:::LDom administration::

• solaris.ldoms.grant:::Delegate LDom configuration::

• solaris.ldoms.read:::View LDom configuration::

• solaris.ldoms.write:::Manage LDom configuration::

Administración de las autorizaciones de usuario

Agregación de una autorización para un usuario

Use los siguientes pasos según sea necesario para agregar autorizaciones en el archivo /etc/security/auth_attr para los usuarios Administrador de Dominios lógicos. Dado que el superusuario ya tiene la autorización solaris.*, el superusuario ya tiene permiso para las autorizaciones solaris.ldoms.*.

1. Cree una cuenta de usuario local para cada usuario que necesite autorización para usar los subcomandos ldm(1M).

   ---

   Nota - Para agregar una autorización de Administrador de Dominios lógicos a un usuario, debe crearse una cuenta local (no LDAP) para dicho usuario. Consulte el SO de Solaris de Oracle System Administrator Collection para más detalles.

   ---

2. Realice una de las siguientes operaciones dependiendo de a qué subcomandos ldm(1M) desea que pueda acceder el usuario.

   Véase Tabla 3-1 para una lista de los comandos ldm(1M) y las respectivas autorizaciones de usuario.

   • Agregue una autorización de sólo lectura para un usuario que usa el comando usermod(1M).

     # usermod -A solaris.ldoms.read username

   • Agregue una autorización de lectura y escritura para un usuario que usa el comando usermod(1M).

     # usermod -A solaris.ldoms.write username

Borrado de todas las autorizaciones para un usuario

• Borrado de todas las autorizaciones para una cuenta de usuario local (la única opción posible).

  # usermod -A `` username

Administración de los perfiles de usuario

El paquete SUNWldm agrega dos perfiles RBAC definidos por sistema en el archivo /etc/security/prof_attr para su uso en el acceso autorizado al Administrador de Dominios lógicos por no superusuarios. Los dos perfiles específicos de Dominios lógicos son:

• LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read

• LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*

El paquete SUNWldm también define el siguiente atributo de ejecución que está asociado con el perfil de administración LDoms:

LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search

Uno de los anteriores perfiles puede ser asignado a la cuenta de usuario usando el siguiente procedimiento.

Agregado de un perfil para un usuario

Los usuarios a los que se ha asignado directamente el perfil de administración LDoms deben invocar un comando de intérprete de perfil para ejecutar el comando ldm con los atributos de seguridad. Para más información, vea el Solaris de Oracle 10 System Administrator Collection.

• Agregue un perfil administrativo a una cuenta de usuario local; por ejemplo, administración de LDoms.

  # usermod -P “LDoms Management” username

Borrado de todos los perfiles para un usuario

• Borrado de todos los perfiles para una cuenta de usuario local (la única opción posible).

  # usermod -P `` username

Asignación de funciones a usuarios

La ventaja de usar este procedimiento es que sólo un usuario al que ha sido asignada una función puede asumir dicha función. Al asumir una función, es necesaria la contraseña si se ha dado la contraseña a la función. Esto ofrece dos capas de seguridad. Si no se ha asignado una función al usuario, entonces el usuario no puede asumir la función (realizando el comando su role-name) incluso si el usuario tiene la contraseña correcta.

Creación de una función y asignación de la función a un usuario

1. Cree una función.

   # roleadd -P "LDoms Review" ldm_read

2. Asigne una contraseña a la función.

   # passwd ldm_read

3. Asigne una función a un usuario.

   Por ejemplo, user_1.

   # useradd -R ldm_read user_1

4. Asigne una contraseña al usuario (user_1).

   # passwd user_1

5. Asigne acceso sólo a la cuenta user_1 para convertirse en cuenta ldm_read.

   # su user_1

6. Introduzca la contraseña de usuario cuando se solicite.
7. Compruebe el id de usuario y acceda a la función ldm_read.

   $ id
   uid=nn(user_1) gid=nn(group-name)
   $ roles
   ldm_read

8. Ofrezca acceso al usuario a los subcomandos ldm que tienen autorización de lectura.

   # su ldm_read

9. Introduzca la contraseña de usuario cuando se solicite.
10. Introduzca el comando id para mostrar el usuario.

    $ id
    uid=nn(ldm_read) gid=nn(group-name)