JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle VM Server for SPARC 2.0 管理ガイド
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
�ե����ɥХå�
search filter icon
search icon

ドキュメントの情報

はじめに

1.  Oracle VM Server for SPARC ソフトウェアの概要

2.  ソフトウェアのインストールおよび有効化

3.  セキュリティー

Logical Domains Manager の承認

ユーザーアカウントに対する承認およびプロファイルの作成と役割の割り当て

ユーザー承認の管理

ユーザーの承認を追加する

ユーザーのすべての承認を削除する

ユーザープロファイルの管理

ユーザーのプロファイルを追加する

ユーザーのすべてのプロファイルを削除する

ユーザーへの役割の割り当て

役割を作成し、ユーザーにその役割を割り当てる

ゲストコンソールアクセス用の RBAC の構成

BSM 監査の有効化と使用

BSM 監査を有効にする

BSM 監査が有効であることを確認する

BSM 監査を無効にする

監査の出力を表示する

監査ログをローテーションする

4.  サービスおよび制御ドメインの設定

5.  ゲストドメインの設定

6.  I/O ドメインの設定

7.  仮想ディスクの使用

8.  仮想ネットワークの使用

9.  ドメインの移行

10.  リソースの管理

11.  構成の管理

12.  その他の管理タスクの実行

A.  Oracle VM Server for SPARC 物理から仮想への変換ツール

B.  Oracle VM Server for SPARC Configuration Assistant

C.  Logical Domains Manager の検出

D.  Logical Domains Manager での XML インタフェースの使用

E.  Logical Domains Manager XML スキーマ

用語集

索引

ユーザーアカウントに対する承認およびプロファイルの作成と役割の割り当て

Logical Domains Manager 用に変更された Oracle Solaris OS の役割に基づくアクセス制御 (Role-Based Access Control、RBAC) を使用して、ユーザーアカウントに対する承認およびプロファイルを設定し、役割を割り当てます。RBAC の詳細は、「Solaris 10 System Administrator Collection」を参照してください。

Logical Domains Manager の承認には、次の 2 つのレベルがあります。

Oracle Solaris OS の /etc/security/auth_attr ファイルには、次の Logical Domains エントリが自動的に追加されます。

ユーザー承認の管理

ユーザーの承認を追加する

必要に応じて次の手順を使用し、Logical Domains Manager ユーザーに対する承認を /etc/security/auth_attr ファイルに追加します。スーパーユーザーには solaris.* 承認がすでに設定されているため、スーパーユーザーは solaris.ldoms.* 承認の承認をすでに持っています。

  1. ldm(1M) のサブコマンドを使用するために承認を必要とするユーザーごとに、ローカルユーザーアカウントを作成します。

    注 - ユーザーの Logical Domains Manager 承認を追加するには、そのユーザー用のローカル (非 LDAP) アカウントを作成する必要があります。詳細については、「Oracle Solaris OS System Administrator Collection」を参照してください。

  2. ユーザーによるアクセスを可能にする ldm(1M) のサブコマンドに応じて、次のいずれかを実行します。

    ldm(1M) コマンドとそれらのユーザー承認の一覧は、表 3-1 を参照してください。

    • usermod(1M) コマンドを使用して、ユーザーの読み取り専用承認を追加します。

      # usermod -A solaris.ldoms.read username

    • usermod(1M) コマンドを使用して、ユーザーの読み取りおよび書き込み承認を追加します。

      # usermod -A solaris.ldoms.write username

ユーザーのすべての承認を削除する

ユーザープロファイルの管理

SUNWldm パッケージによって、/etc/sec rity/prof_attr ファイルにシステムで定義された 2 つの RBAC プロファイルが追加されます。これらは、スーパーユーザー以外による Logical Domains Manager へのアクセスを承認するために使用されます。Logical Domains 固有のプロファイルは次の 2 つです。

SUNWldm パッケージは、LDoms 管理プロファイルに関連付けられている次の実行属性も定義します。

LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search

次の手順を使用して、前述のいずれかのプロファイルをユーザーアカウントに割り当てることができます。

ユーザーのプロファイルを追加する

LDoms 管理プロファイルに直接割り当てられているユーザーは、プロファイルシェルを起動し、ldm コマンドをセキュリティ属性付きで実行する必要があります。詳細については、「Oracle Solaris 10 System Administrator Collection」を参照してください。

ユーザーのすべてのプロファイルを削除する

ユーザーへの役割の割り当て

この手順を使用する利点は、特定の役割が割り当てられたユーザーだけがその役割になることができることです。役割にパスワードが設定されている場合は、その役割になるときにパスワードが必要になります。これにより、2 層のセキュリティーが実現します。ユーザーに役割が割り当てられていない場合、ユーザーがその正しいパスワードを知っていたとしても、su role-name コマンドを実行してその役割になることはできません。

役割を作成し、ユーザーにその役割を割り当てる

  1. 役割を作成します。
    # roleadd -P "LDoms Review" ldm_read
  2. 役割にパスワードを割り当てます。
    # passwd ldm_read
  3. ユーザーに役割を割り当てます。

    たとえば、user_1 を割り当てます。

    # useradd -R ldm_read user_1
  4. ユーザー (user_1) にパスワードを割り当てます。
    # passwd user_1
  5. ldm_read アカウントになるために、user_1 アカウントに対するアクセス権のみを割り当てます。
    # su user_1
  6. プロンプトが表示されたら、ユーザーのパスワードを入力します。
  7. ユーザー ID を確認して、ldm_read 役割にアクセスします。
    $ id
uid=nn(user_1) gid=nn(group-name)
$ roles
ldm_read
  8. 読み取り承認を持つ ldm サブコマンドに対して、ユーザーにアクセス権を提供します。
    # su ldm_read
  9. プロンプトが表示されたら、ユーザーのパスワードを入力します。
  10. id コマンドを入力してユーザーを表示します。
    $ id
uid=nn(ldm_read) gid=nn(group-name)
Copyright © 2007, 2010, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ