1. Oracle VM Server for SPARC ソフトウェアの概要
A. Oracle VM Server for SPARC 物理から仮想への変換ツール
B. Oracle VM Server for SPARC Configuration Assistant
C. Logical Domains Manager の検出
D. Logical Domains Manager での XML インタフェースの使用
Logical Domains Manager 用に変更された Oracle Solaris OS の役割に基づくアクセス制御 (Role-Based Access Control、RBAC) を使用して、ユーザーアカウントに対する承認およびプロファイルを設定し、役割を割り当てます。RBAC の詳細は、「Solaris 10 System Administrator Collection」を参照してください。
Logical Domains Manager の承認には、次の 2 つのレベルがあります。
読み取り - 構成を表示できますが、変更できません。
読み取りおよび書き込み - 構成を表示および変更できます。
Oracle Solaris OS の /etc/security/auth_attr ファイルには、次の Logical Domains エントリが自動的に追加されます。
solaris.ldoms.:::LDoms Administration::
Solaris.ldoms.grant:::Delegate Ldoms Configuration::
Solaris.ldoms.read:::View Ldoms Configuration::
Solaris.ldoms.write:::Manage Ldoms Configuration::
必要に応じて次の手順を使用し、Logical Domains Manager ユーザーに対する承認を /etc/security/auth_attr ファイルに追加します。スーパーユーザーには solaris.* 承認がすでに設定されているため、スーパーユーザーは solaris.ldoms.* 承認の承認をすでに持っています。
注 - ユーザーの Logical Domains Manager 承認を追加するには、そのユーザー用のローカル (非 LDAP) アカウントを作成する必要があります。詳細については、「Oracle Solaris OS System Administrator Collection」を参照してください。
ldm(1M) コマンドとそれらのユーザー承認の一覧は、表 3-1 を参照してください。
usermod(1M) コマンドを使用して、ユーザーの読み取り専用承認を追加します。
# usermod -A solaris.ldoms.read username
usermod(1M) コマンドを使用して、ユーザーの読み取りおよび書き込み承認を追加します。
# usermod -A solaris.ldoms.write username
# usermod -A `` username
SUNWldm パッケージによって、/etc/sec rity/prof_attr ファイルにシステムで定義された 2 つの RBAC プロファイルが追加されます。これらは、スーパーユーザー以外による Logical Domains Manager へのアクセスを承認するために使用されます。Logical Domains 固有のプロファイルは次の 2 つです。
LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read
LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*
SUNWldm パッケージは、LDoms 管理プロファイルに関連付けられている次の実行属性も定義します。
LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search
次の手順を使用して、前述のいずれかのプロファイルをユーザーアカウントに割り当てることができます。
LDoms 管理プロファイルに直接割り当てられているユーザーは、プロファイルシェルを起動し、ldm コマンドをセキュリティ属性付きで実行する必要があります。詳細については、「Oracle Solaris 10 System Administrator Collection」を参照してください。
# usermod -P “LDoms Management” username
# usermod -P `` username
この手順を使用する利点は、特定の役割が割り当てられたユーザーだけがその役割になることができることです。役割にパスワードが設定されている場合は、その役割になるときにパスワードが必要になります。これにより、2 層のセキュリティーが実現します。ユーザーに役割が割り当てられていない場合、ユーザーがその正しいパスワードを知っていたとしても、su role-name コマンドを実行してその役割になることはできません。
# roleadd -P "LDoms Review" ldm_read
# passwd ldm_read
たとえば、user_1 を割り当てます。
# useradd -R ldm_read user_1
# passwd user_1
# su user_1
$ id uid=nn(user_1) gid=nn(group-name) $ roles ldm_read
# su ldm_read
$ id uid=nn(ldm_read) gid=nn(group-name)