跳过导航链接 | |
退出打印视图 | |
Oracle VM Server for SPARC 2.1 管理指南 Oracle VM Server for SPARC (简体中文) |
第 1 部分Oracle VM Server for SPARC 2.1 软件
1. Oracle VM Server for SPARC 软件概述
第 2 部分可选的 Oracle VM Server for SPARC 软件
13. Oracle VM Server for SPARC 物理机到虚拟机转换工具
14. Oracle VM Server for SPARC Configuration Assistant
15. 使用 Oracle VM Server for SPARC 管理信息库软件
16. Logical Domains Manager 发现
可以使用 Oracle Solaris OS 的基于角色的访问控制 (role-based access control, RBAC) 功能来管理授权和配置文件并为用户帐户分配角色。有关 RBAC 的更多信息,请参见《系统管理指南:安全性服务》。
用户、授权、配置文件和角色可以按如下方式进行配置:
使用文件在系统本地配置
在命名服务(如 LDAP)中集中配置
安装 Logical Domains Manager 会向本地文件中添加必需的授权和配置文件。要在命名服务中配置用户、授权、配置文件和角色,请参见《System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)》。
Logical Domains Manager 的授权有两个级别:
读-允许查看配置,但不允许修改配置。
读写-允许查看和更改配置。
以下是自动添加到本地 Oracle Solaris OS /etc/security/auth_attr 文件中的 Logical Domains 条目:
solaris.ldoms.:::LDom administration::
solaris.ldoms.grant:::Delegate LDom configuration::
solaris.ldoms.read:::View LDom configuration::
solaris.ldoms.write:::Manage LDom configuration::
solaris.smf.manage.ldoms:::Manage Start/Stop LDoms::
以下过程说明如何在系统上使用本地文件管理用户授权。要在命名服务中管理用户授权,请参见《System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)》。
使用此过程可以为 Logical Domains Manager 用户分配授权。此授权分配信息存储在本地 /etc/security/auth_attr 文件中。
注 - 超级用户已经具有 solaris.* 授权(包括 solaris.ldoms.* 授权)。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。
为用户分配读授权。
# usermod -A solaris.ldoms.read username
为用户分配读写授权。
# usermod -A solaris.ldoms.write username
有关 ldm 子命令所需的用户授权的列表,请参见表 3-1。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。
# usermod -A "" username
以下过程说明如何在系统上使用本地文件管理用户配置文件。要在命名服务中管理用户配置文件,请参见《System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)》。
SUNWldm 软件包向本地 /etc/security/prof_attr 文件中添加两个由系统定义的 RBAC 配置文件。非特权用户使用以下配置文件授予对 Logical Domains Manager 的访问权限:
LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read
LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*
SUNWldm 软件包还定义了与 LDoms Management 配置文件相关联的以下执行属性:
LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search
直接分配有 LDoms Management 配置文件的用户必须调用配置文件 shell 以运行具有安全属性的 ldm 命令。有关更多信息,请参见《系统管理指南:安全性服务》。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。
可以为用户帐户分配 LDoms Review 配置文件或 LDoms Management 配置文件。
# usermod -P "profile-name" username
以下命令为用户 sam 分配 LDoms Management 配置文件:
# usermod -P "LDoms Management" sam
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。
# usermod -P "" username
以下过程说明如何使用本地文件创建角色并将其分配给用户。要在命名服务中管理角色,请参见《System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)》。
使用此过程的优势是,只有分配有特定角色的用户才能承担该角色。承担角色时,如果已经为该角色分配了一个密码,则需要输入该密码。这两个安全层防止尚未分配有角色、但已经有密码的用户承担该角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。
# roleadd -P "profile-name" role-name
系统将提示您指定并确认新密码。
# passwd role-name
# useradd -R role-name username
系统将提示您指定并确认新密码。
# passwd username
# su username
$ id uid=nn(username) gid=nn(group-name) $ roles role-name
$ su role-name
$ id uid=nn(role-name) gid=nn(group-name)
示例 3-1 创建角色并将该角色分配给用户
此示例说明如何创建 ldm_read 角色、将该角色分配给 user_1 用户、成为 user_1 用户并承担 ldm_read 角色。
# roleadd -P "LDoms Review" ldm_read # passwd ldm_read New Password: ldm_read-password Re-enter new Password: ldm_read-password passwd: password successfully changed for ldm_read # useradd -R ldm_read user_1 # passwd user_1 New Password: user_1-password Re-enter new Password: user_1-password passwd: password successfully changed for user_1 # su user_1 Password: user_1-password $ id uid=95555(user_1) gid=10(staff) $ roles ldm_read $ su ldm_read Password: ldm_read-password $ id uid=99667(ldm_read) gid=14(sysadmin)