JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle VM Server for SPARC 2.1 管理ガイド     Oracle VM Server for SPARC (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

パート I Oracle VM Server for SPARC 2.1 ソフトウェア

1.  Oracle VM Server for SPARC ソフトウェアの概要

2.  ソフトウェアのインストールおよび有効化

3.  セキュリティー

Logical Domains Manager の承認

ユーザーアカウントに対する承認およびプロファイルの作成と役割の割り当て

ユーザー承認の管理

ユーザーへ承認を割り当てる

ユーザーに割り当てられたすべての承認を削除する

ユーザープロファイルの管理

ユーザーにプロファイルを割り当てる

ユーザーに割り当てられたすべてのプロファイルを削除する

ユーザーへの役割の割り当て

役割を作成し、ユーザーにその役割を割り当てる

ゲストコンソールアクセス用の RBAC の構成

ドメインコンソールへ承認を追加する

監査の有効化と使用

監査を有効にする

監査を無効にする

監査の出力を表示する

監査ログをローテーションする

4.  サービスおよび制御ドメインの設定

5.  ゲストドメインの設定

6.  I/O ドメインの設定

7.  仮想ディスクの使用

8.  仮想ネットワークの使用

9.  ドメインの移行

10.  リソースの管理

11.  構成の管理

12.  その他の管理タスクの実行

パート II オプションの Oracle VM Server for SPARC ソフトウェア

13.  Oracle VM Server for SPARC 物理から仮想への変換ツール

14.  Oracle VM Server for SPARC Configuration Assistant

15.  Oracle VM Server for SPARC 管理情報ベース (Management Information Base、MIB) ソフトウェアの使用

16.  Logical Domains Manager の検出

17.  Logical Domains Manager での XML インタフェースの使用

用語集

索引

ユーザーアカウントに対する承認およびプロファイルの作成と役割の割り当て

Oracle Solaris OS の役割に基づくアクセス制御 (Role-Based Access Control、RBAC) 機能を使用して、ユーザーアカウントに対する承認とプロファイルを管理し、役割を割り当てできます。RBAC の詳細については、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。

ユーザー、承認、プロファイル、および役割は、次の方法で構成できます。

Logical Domains Manager をインストールすると、必要な承認とプロファイルがローカルファイルに追加されます。ネームサービスでユーザー、承認、プロファイル、および役割を構成するには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。

Logical Domains Manager の承認には、次の 2 つのレベルがあります。

ローカルの Oracle Solaris OS /etc/security/auth_attr ファイルには、次の Logical Domains エントリが自動的に追加されます。

ユーザー承認の管理

次の手順は、ローカルファイルを使用してシステム上のユーザー承認を管理する方法を示しています。ネームサービスでユーザー承認を管理するには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。

ユーザーへ承認を割り当てる

次の手順に従って、Logical Domains Manager ユーザーに承認を割り当てます。この承認の割り当てについての情報は、/etc/security/auth_attr ファイルに保存されています。

注 - スーパーユーザーがすでに保有する solaris.* 承認には、solaris.ldoms.* 承認が含まれています。

  1. スーパーユーザーになるか、同等の役割を取得します。

    役割には、承認および特権付きコマンドが含まれます。役割の詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」 を参照してください。

  2. 読み取り、または読み取りおよび書き込み承認をユーザーに割り当てます。

    • ユーザーに読み取り承認を割り当てます。

      # usermod -A solaris.ldoms.read username

    • ユーザーに読み取りおよび書き込み承認を割り当てます。

      # usermod -A solaris.ldoms.write username

    注 - ユーザーに対する既存の承認が usermod -A コマンドに含まれていることを確認してください。このコマンドで指定した承認によって、すでにユーザーに割り当てられている承認がすべて置き換えられます。usermod(1M) マニュアルページを参照してください。

    ldm サブコマンドで必要とされるユーザー承認の一覧は、表 3-1を参照してください。

ユーザーに割り当てられたすべての承認を削除する

  1. スーパーユーザーになるか、同等の役割を取得します。

    役割には、承認および特権付きコマンドが含まれます。役割の詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」 を参照してください。

  2. ローカルユーザーに割り当てられたすべての承認を削除します。
    # usermod -A "" username

ユーザープロファイルの管理

次の手順は、ローカルファイルを使用してシステム上のユーザープロファイルを管理する方法を示しています。ネームサービスでユーザープロファイルを管理するには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。

SUNWldm パッケージにより、システムで定義済みの 2 つの RBAC プロファイルがローカルの /etc/security/prof_attr ファイルに追加されます。次のプロファイルは、未承認のユーザーによる Logical Domains Manager へのアクセスを承認するために使用します。

SUNWldm パッケージは、LDoms 管理プロファイルに関連付けられている次の実行属性も定義します。

LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search

ユーザーにプロファイルを割り当てる

LDoms 管理プロファイルに直接割り当てられているユーザーは、プロファイルシェルを起動し、ldm コマンドをセキュリティー属性を使用して実行する必要があります。詳細については、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。

  1. スーパーユーザーになるか、同等の役割を取得します。

    役割には、承認および特権付きコマンドが含まれます。役割の詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」 を参照してください。

  2. 管理プロファイルをローカルユーザーアカウントに割り当てます。

    LDoms 確認プロファイルまたは LDoms 管理プロファイルのいずれかをユーザーアカウントに割り当てることができます。

    # usermod -P "profile-name" username

    次のコマンドは、LDoms 管理プロファイルをユーザー sam に割り当てます。

    # usermod -P "LDoms Management" sam

ユーザーに割り当てられたすべてのプロファイルを削除する

  1. スーパーユーザーになるか、同等の役割を取得します。

    役割には、承認および特権付きコマンドが含まれます。役割の詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」 を参照してください。

  2. ローカルユーザーに割り当てられたすべてのプロファイルを削除します。
    # usermod -P "" username

ユーザーへの役割の割り当て

次の手順は、ローカルファイルを使用して役割を作成し、ユーザーに割り当てる方法を示しています。ネームサービスで役割を管理するには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。

この手順を使用する利点は、特定の役割が割り当てられたユーザーだけがその役割になれることです。役割にパスワードが割り当てられている場合は、その役割になるときにパスワードが必要です。次の 2 つのセキュリティー階層は、パスワードを保有するユーザーが、割り当てられていない役割になることを防止します。

役割を作成し、ユーザーにその役割を割り当てる

  1. スーパーユーザーになるか、同等の役割を取得します。

    役割には、承認および特権付きコマンドが含まれます。役割の詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「RBAC の構成 (作業マップ)」 を参照してください。

  2. 役割を作成します。
    # roleadd -P "profile-name" role-name
  3. 役割にパスワードを割り当てます。

    新しいパスワードを指定し、確認するようにプロンプトが表示されます。

    # passwd role-name
  4. ユーザーに役割を割り当てます。
    # useradd -R role-name username
  5. ユーザーにパスワードを割り当てます。

    新しいパスワードを指定し、確認するようにプロンプトが表示されます。

    # passwd username
  6. 必要に応じてそのユーザーになり、パスワードを入力します。
    # su username
  7. ユーザーが割り当てられた役割にアクセスできることを確認します。
    $ id
uid=nn(username) gid=nn(group-name)
$ roles
role-name
  8. 必要に応じてその役割になり、パスワードを入力します。
    $ su role-name
  9. ユーザーがその役割になったことを確認します。
    $ id
uid=nn(role-name) gid=nn(group-name)

例 3-1 役割の作成とユーザーへの割り当て

次の例では、ldm_read の役割を作成し、その役割を user_1 ユーザーに割り当てて user_1 ユーザーになり、ldm_read の役割を引き受けます。

# roleadd -P "LDoms Review" ldm_read
# passwd ldm_read
New Password: ldm_read-password
Re-enter new Password: ldm_read-password
passwd: password successfully changed for ldm_read
# useradd -R ldm_read user_1
# passwd user_1
New Password: user_1-password
Re-enter new Password: user_1-password
passwd: password successfully changed for user_1
# su user_1
Password: user_1-password
$ id
uid=95555(user_1) gid=10(staff)
$ roles
ldm_read
$ su ldm_read
Password: ldm_read-password
$ id
uid=99667(ldm_read) gid=14(sysadmin)
Copyright © 2007, 2011, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ