Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del servidor Oracle VM para SPARC 2.1 Oracle VM Server for SPARC (Español) |
Parte I Software Oracle VM Server for SPARC 2.1
1. Información general sobre el software del Oracle VM Server for SPARC
2. Instalación y habilitación del software
Autorización de Dominios lógicos Manager
Creación de autorizaciones y perfiles y asignación de funciones a las cuentas de usuario
Administración de las autorizaciones de usuario
Asignación de una autorización a un usuario
Supresión de todas las autorizaciones asignadas a un usuario
Administración de los perfiles de usuario
Asignación de un perfil a un usuario
Supresión de todos los perfiles asignados a un usuario
Asignación de funciones a usuarios
Creación de una función y asignación de la función a un usuario
Configuración de RBAC para el acceso de la consola huésped
Adición de una autorización para una consola de dominio
Activación y utilización auditoría
Impresión de una salida de auditoría
Giro de los registros de la auditoría
4. Configuración de servicios y el dominio de control
5. Configuración de los dominios huésped
6. Configuración de dominios E/S
10. Administración de recursos
11. Administración de las configuraciones
12. Realización de otras tareas administrativas
Parte II Software Oracle VM Server for SPARC opcional
13. Herramienta de conversión física a virtual del Oracle VM Server for SPARC
14. Asistente para la configuración de Oracle VM Server for SPARC
15. Uso del software de Base de datos de información de administración de Oracle VM Server for SPARC
16. Descubrimiento del Dominios lógicos Manager
Puede administrar las autorizaciones y los perfiles, y asignar funciones a las cuentas de usuario utilizando la función de control de acceso basado en funciones (RBAC) del SO de Solaris de Oracle. Para obtener más información sobre RBAC, consulte Guía de administración del sistema: servicios de seguridad.
Los usuarios, las autorizaciones, los perfiles y las funciones se pueden configurar de los modos siguientes:
Localmente en el sistema mediante el uso de archivos
Centralmente en un servicio de asignación de nombres, como LDAP
Al instalar Dominios lógicos Manager se añaden las autorizaciones y los perfiles necesarios para los archivos locales. Para configurar usuarios, autorizaciones, perfiles y funciones en un servicio de asignación de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
La autorización para el Dominios lógicos Manager tiene dos niveles:
Lectura: permite ver la configuración pero no modificarla.
Lectura y escritura: permite ver y modificar la configuración.
A continuación se indican las entradas de Dominios lógicos que se añaden automáticamente al archivo /etc/security/auth_attr local del SO de Solaris de Oracle:
solaris.ldoms.:::LDom administration::
solaris.ldoms.grant:::Delegate LDom configuration::
solaris.ldoms.read:::View LDom configuration::
solaris.ldoms.write:::Manage LDom configuration::
solaris.smf.manage.ldoms:::Manage Start/Stop LDoms::
En los procedimientos siguientes se muestra cómo administrar las autorizaciones de usuario en el sistema mediante el uso de archivos locales. Para administrar las autorizaciones de usuario en un servicio de asignación de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
Siga este procedimiento para asignar autorizaciones a los usuarios de Dominios lógicos Manager. Esta información sobre la asignación de autorizaciones se almacena en el archivo /etc/security/auth_attr local.
Nota - El superusuario ya tiene la autorización solaris.*, que incluye las autorizaciones solaris.ldoms.*.
Las funciones contienen autorizaciones y comandos con privilegios. Para más información sobre las funciones, véase Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
Asigne la autorización de lectura a un usuario.
# usermod -A solaris.ldoms.read username
Asigne la autorización de lectura y escritura a un usuario.
# usermod -A solaris.ldoms.write username
Nota - Asegúrese de incluir todas las autorizaciones existentes para el usuario en el comando usermod -A. Las autorizaciones que especifique con este comando sustituirán las autorizaciones que ya se hayan asignado al usuario. Consulte la página de comando man usermod(1M).
Para ver la lista de autorizaciones de usuario que necesitan los subcomandos ldm, consulte la Tabla 3-1.
Las funciones contienen autorizaciones y comandos con privilegios. Para más información sobre las funciones, véase Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
# usermod -A "" username
En los procedimientos siguientes se muestra cómo administrar los perfiles de usuario en el sistema mediante el uso de archivos locales. Para administrar los perfiles de usuario en un servicio de asignación de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
El paquete SUNWldm agrega dos perfiles RBAC definidos por sistema en el archivo /etc/security/prof_attr local. Los perfiles siguientes se utilizan para acceder a Dominios lógicos Manager con usuarios sin privilegios:
LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read
LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*
El paquete SUNWldm también define el siguiente atributo de ejecución que está asociado con el perfil de administración LDoms:
LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search
Los usuarios a los que se ha asignado directamente el perfil de administración LDoms deben invocar un shell de perfil para ejecutar el comando ldm con los atributos de seguridad. Para más información, consulte Guía de administración del sistema: servicios de seguridad.
Las funciones contienen autorizaciones y comandos con privilegios. Para más información sobre las funciones, véase Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
Puede asignar el perfil de revisión LDoms o el perfil de administración LDoms a una cuenta de usuario.
# usermod -P "profile-name" username
El comando siguiente asigna el perfil de administración LDoms al usuario sam:
# usermod -P "LDoms Management" sam
Las funciones contienen autorizaciones y comandos con privilegios. Para más información sobre las funciones, véase Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
# usermod -P "" username
El procedimiento siguiente muestra cómo crear una función y asignarla a un usuario mediante el uso de archivos locales. Para administrar las funciones en un servicio de asignación de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
La ventaja de utilizar este procedimiento es que sólo un usuario al que se ha asignado una función específica puede asumir dicha función. Al asumir una función, se necesita una contraseña si se ha asignado una contraseña a la función. Estas dos capas de seguridad impiden que un usuario que tenga la contraseña pueda asumir una función si no se le ha asignado.
Las funciones contienen autorizaciones y comandos con privilegios. Para más información sobre las funciones, véase Configuración de RBAC (mapa de tareas) de Guía de administración del sistema: servicios de seguridad.
# roleadd -P "profile-name" role-name
Se le solicitará que especifique la nueva contraseña y que la verifique.
# passwd role-name
# useradd -R role-name username
Se le solicitará que espeifique la nueva contraseña y que la verifique.
# passwd username
# su username
$ id uid=nn(username) gid=nn(group-name) $ roles role-name
$ su role-name
$ id uid=nn(role-name) gid=nn(group-name)
Ejemplo 3-1 Creación de una función y asignación de la función a un usuario
En este ejemplo se muestra cómo crear la función ldm_read, asignar la función al usuario user_1, convertirse en el usuario user_1 y asumir la función ldm_read.
# roleadd -P "LDoms Review" ldm_read # passwd ldm_read New Password: ldm_read-password Re-enter new Password: ldm_read-password passwd: password successfully changed for ldm_read # useradd -R ldm_read user_1 # passwd user_1 New Password: user_1-password Re-enter new Password: user_1-password passwd: password successfully changed for user_1 # su user_1 Password: user_1-password $ id uid=95555(user_1) gid=10(staff) $ roles ldm_read $ su ldm_read Password: ldm_read-password $ id uid=99667(ldm_read) gid=14(sysadmin)