Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration d'Oracle VM Server for SPARC 2.1 Oracle VM Server for SPARC (Français) |
Partie I Logiciel Oracle VM Server for SPARC 2.1
1. Présentation du logiciel Oracle VM Server for SPARC
2. Installation et activation du logiciel
Autorisation du gestionnaire de domaines logiques
Création d'autorisations et de profils, et affectation de rôles aux comptes utilisateur
Gestion des autorisations utilisateur
Affectation d'une autorisation à un utilisateur
Suppression de toutes les autorisations affectées à un utilisateur
Gestion des profils utilisateur
Affectation d'un profil à un utilisateur
Suppression de tous les profils affectés à un utilisateur
Configuration de RBAC pour l'accès à la console invité
Ajout d'une autorisation à une console de domaine
Activation et utilisation de l'audit
Impression de la sortie d'audit
4. Configuration des services et du domaine de contrôle
5. Configuration des domaines invités
6. Configuration des domaines d'E/S
7. Utilisation des disques virtuels
8. Utilisation des réseaux virtuels
11. Gestion des configurations
12. Réalisation d'autres tâches d'administration
Partie II Logiciel Oracle VM Server for SPARC facultatif
13. Outil de conversion physique-à-virtuel Oracle VM Server for SPARC
14. Assistant de configuration Oracle VM Server for SPARC
15. Utilisation du logiciel MIB (Management Information Base ) Oracle VM Server for SPARC
16. Recherche du gestionnaire de domaines logiques
17. Utilisation de l'interface XML avec le gestionnaire de domaines logiques
La fonctionnalité RBAC (role-based access control, contrôle d'accès basé sur les rôles) du SE Oracle Solaris permet de gérer les autorisations et les profils, et d'affecter des rôles aux comptes utilisateur. Pour plus d'informations sur RBAC, reportez-vous au System Administration Guide: Security Services .
Vous disposez des méthodes suivantes pour configurer les utilisateurs, autorisations, profils et rôles :
De manière locale sur le système à l'aide de fichiers ;
De manière centrale dans un service de nommage, tel que LDAP.
L'installation du gestionnaire de domaines logiques ajoute les autorisations et profils nécessaires dans les fichiers locaux. Pour configurer les utilisateurs, autorisations, profils et rôles dans un service de nommage, reportez-vous au System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
L'autorisation du gestionnaire de domaines logiques a deux niveaux :
Lecture : permet l'affichage mais pas la modification de la configuration.
Lecture et écriture : permet l'affichage et la modification de la configuration.
Voici les entrées domaines logiques qui sont ajoutées automatiquement au fichier /etc/security/auth_attr local du SE Oracle Solaris.
solaris.ldoms.:::LDom administration::
solaris.ldoms.grant:::Delegate LDom configuration::
solaris.ldoms.read:::View LDom configuration::
solaris.ldoms.write:::Manage LDom configuration::
solaris.smf.manage.ldoms:::Manage Start/Stop LDoms::
Les procédures suivantes permettent de gérer les autorisations utilisateur sur le système à l'aide de fichiers locaux. Pour gérer les autorisations utilisateur dans un service de nommage, reportez-vous au System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
Pour affecter des autorisations aux utilisateurs gestionnaire de domaines logiques, suivez la procédure ci-dessous. Ces informations d'affectation d'autorisation sont stockées dans le fichier /etc/security/auth_attr local.
Remarque - Le superutilisateur possède déjà l'autorisation solaris.* qui inclut les autorisations solaris.Idoms.*.
Les rôles contiennent des autorisations et des commandes nécessitant des droits d'accès. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
Affectez l'autorisation de lecture à un utilisateur.
# usermod -A solaris.ldoms.read username
Affectez l'autorisation de lecture et d'écriture à un utilisateur.
# usermod -A solaris.ldoms.write username
Remarque - Veillez à inclure toutes les autorisations existantes de l'utilisateur dans la commande usermod -A. Les autorisations que vous spécifiez à l'aide de cette commande remplacent celles qui ont déjà été affectées à l'utilisateur. Reportez-vous à la page de manuel usermod(1M).
Pour obtenir la liste des autorisations requises par les sous-commandes ldm, reportez-vous au Tableau 3-1.
Les rôles contiennent des autorisations et des commandes nécessitant des droits d'accès. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
# usermod -A "" username
Les procédures suivantes permettent de gérer les profils utilisateur sur le système à l'aide de fichiers locaux. Pour gérer les profils utilisateur dans un service de nommage, reportez-vous au System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
Le package SUNWldm ajoute deux profils RBAC définis par le système dans le fichier /etc/security/prof_attr local. Les profils suivants permettent d'autoriser des utilisateurs sans privilèges à accéder au gestionnaire de domaines logiques.
LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read
LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*
Le package SUNWldm définit également l'attribut d'exécution suivant qui est associé au profil de gestion LDoms :
LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search
Les utilisateurs auxquels le profil LDoms Management a été affecté directement doivent appeler un shell de profil pour exécuter la commande ldm avec des attributs de sécurité. Pour plus d'informations, reportez-vous au System Administration Guide: Security Services .
Les rôles contiennent des autorisations et des commandes nécessitant des droits d'accès. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
Vous pouvez affecter le profil LDoms Review ou le profil LDoms Management à un compte utilisateur.
# usermod -P "profile-name" username
La commande suivante affecte le profil LDoms Management à l'utilisateur sam.
# usermod -P "LDoms Management" sam
Les rôles contiennent des autorisations et des commandes nécessitant des droits d'accès. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
# usermod -P "" username
La procédure suivante permet de créer un rôle et de l'affecter à un utilisateur à l'aide de fichiers locaux. Pour gérer les rôles dans un service de nommage, reportez-vous au System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
Cette procédure présente l'avantage que les rôles ne sont endossés que par les utilisateurs à qui ils ont été affectés. Lorsqu'un utilisateur endosse un rôle, il doit fournir le mot de passe qui a été affecté au rôle, le cas échéant. Ces deux niveaux de sécurité empêchent un utilisateur d'endosser un rôle pour lequel il détient le mot de passe, mais qui ne lui a pas été affecté.
Les rôles contiennent des autorisations et des commandes nécessitant des droits d'accès. Pour plus d'informations sur les rôles, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.
# roleadd -P "profile-name" role-name
Vous êtes invité à spécifier un nouveau mot de passe et à le vérifier.
# passwd role-name
# useradd -R role-name username
Vous êtes invité à spécifier un nouveau mot de passe et à le vérifier.
# passwd username
# su username
$ id uid=nn(username) gid=nn(group-name) $ roles role-name
$ su role-name
$ id uid=nn(role-name) gid=nn(group-name)
Exemple 3-1 Création d'un rôle et affectation du rôle à un utilisateur
Cet exemple illustre comment créer le rôle ldm_read, affecter le rôle à l'utilisateur user_1, devenir l'utilisateur user_1 et endosser le rôle ldm_read.
# roleadd -P "LDoms Review" ldm_read # passwd ldm_read New Password: ldm_read-password Re-enter new Password: ldm_read-password passwd: password successfully changed for ldm_read # useradd -R ldm_read user_1 # passwd user_1 New Password: user_1-password Re-enter new Password: user_1-password passwd: password successfully changed for user_1 # su user_1 Password: user_1-password $ id uid=95555(user_1) gid=10(staff) $ roles ldm_read $ su ldm_read Password: ldm_read-password $ id uid=99667(ldm_read) gid=14(sysadmin)