创建授权和配置文件并为用户帐户分配角色

需要使用适用于 Logical Domains Manager 的 Oracle Solaris OS 基于角色的访问控制 (Role-Based Access Control, RBAC)，来设置授权和配置文件并为用户帐户分配角色。有关 RBAC 的更多信息，请参阅 Oracle Solaris 10 System Administrator Collection - Simplified Chinese。

Logical Domains Manager 的授权有两个级别：

• 读－允许查看配置，但不能修改配置。

• 读写－允许查看和更改配置。

以下是自动添加到 Oracle Solaris OS /etc/security/auth_attr 文件中的 Logical Domains 条目：

• solaris.ldoms.:::LDom administration::

• solaris.ldoms.grant:::Delegate LDom configuration::

• solaris.ldoms.read:::View LDom configuration::

• solaris.ldoms.write:::Manage LDom configuration::

管理用户授权

为用户添加授权

根据需要执行下列步骤，在 /etc/security/auth_attr 文件中为 Logical Domains Manager 用户添加授权。由于超级用户已经具有 solaris.* 授权，因此超级用户已经具有 solaris.ldoms.* 授权的相应权限。

1. 为每个需要授权以使用 ldm(1M) 子命令的用户创建一个本地用户帐户。

   ---

   注 - 要为用户添加 Logical Domains Manager 授权，必须为该用户创建一个本地（非 LDAP）帐户。有关详细信息，请参阅 Oracle Solaris 10 System Administrator Collection - Simplified Chinese。

   ---

2. 根据希望用户能够访问的 ldm(1M) 子命令，执行以下操作之一。

   有关 ldm(1M) 命令及其用户授权的列表，请参见表 3-1。

   • 使用 usermod(1M) 命令为用户添加只读授权。

     # usermod -A solaris.ldoms.read username

   • 使用 usermod(1M) 命令为用户添加读写授权。

     # usermod -A solaris.ldoms.write username

为用户删除所有授权

• 为本地用户帐户删除所有授权（唯一可能的选择）。

  # usermod -A `` username

管理用户配置文件

SUNWldm 软件包会在 /etc/security/prof_attr 文件中添加两个系统定义的 RBAC 配置文件，以便授权非超级用户访问 Logical Domains Manager。这两个 Logical Domains 特定的配置文件为：

• LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read

• LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*

SUNWldm 软件包还定义了与 LDoms Management 配置文件相关联的以下执行属性：

LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search

可以使用以下过程将上述其中一个配置文件分配给某个用户帐户。

为用户添加配置文件

直接分配了 LDoms Management 配置文件的用户必须调用配置文件 shell 以运行具有安全属性的 ldm 命令。有关更多信息，请参见 Oracle Solaris 10 System Administrator Collection - Simplified Chinese。

• 为本地用户帐户添加管理配置文件，例如 LDoms Management。

  # usermod -P “LDoms Management” username

为用户删除所有配置文件

• 为本地用户帐户删除所有配置文件（唯一可能的选择）。

  # usermod -P `` username

给用户分配角色

使用此过程的优势是，只有被分配了特定角色的用户才能承担该角色。在承担角色的过程中，如果该角色指定有一个密码，则需要输入该密码。这样便实现了双层安全性。如果没有为用户分配某个角色，则此用户不能承担该角色（通过执行 su role-name 命令），即使此用户有正确的密码也是如此。

创建角色并将该角色分配给用户

1. 创建角色。

   # roleadd -P "LDoms Review" ldm_read

2. 为该角色指定密码。

   # passwd ldm_read

3. 将该角色分配给用户。

   例如，user_1。

   # useradd -R ldm_read user_1

4. 为用户 (user_1) 指定密码。

   # passwd user_1

5. 仅向 user_1 帐户分配访问权限，使其成为 ldm_read 帐户。

   # su user_1

6. 出现提示时，键入用户密码。
7. 检验用户 ID 和对 ldm_read 角色的访问权限。

   $ id
   uid=nn(user_1) gid=nn(group-name)
   $ roles
   ldm_read

8. 向用户提供对具有读授权的 ldm 子命令的访问权限。

   # su ldm_read

9. 出现提示时，键入用户密码。
10. 键入 id 命令以显示该用户。

    $ id
    uid=nn(ldm_read) gid=nn(group-name)