跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:网络接口和网络虚拟化 Oracle Solaris 11 Information Library (简体中文) |
NWAM 的安全设计包括以下组件:
CLI(netcfg 和 netadm 命令)
NWAM GUI
NWAM 配置文件系统信息库守护进程 (netcfgd)
策略引擎守护进程 (nwamd)
NWAM 库 (libnwam)
netcfgd 守护进程控制作为所有网络配置信息的存储位置的系统信息库。netcfg 命令、NWAM GUI 和 nwamd 守护进程都向 netcfgd 守护进程发送访问系统信息库的请求。这些功能组件库通过 NWAM 库 libnwam 发出请求。
nwamd 守护进程是用于接收系统事件、配置网络、读取网络配置信息的策略引擎。NWAM GUI 和 netcfg 命令是可用于查看和修改网络配置的配置工具。这些组件还用于在需要将新的配置应用到系统时刷新 NWAM 服务。
当前 NWAM 实现使用以下授权执行特定的任务:
solaris.network.autoconf.read-允许读取 NWAM 配置数据,由netcfgd 守护进程验证
solaris.network.autoconf.write-允许写入 NWAM 配置数据,由 netcfgd 守护进程验证
solaris.network.autoconf.select-允许应用新的配置数据,由 nwamd 守护进程验证
solaris.network.autconf.wlan-允许写入已知 WLAN 配置数据
这些授权在 auth_attr 数据库中注册。有关更多信息,请参见 auth_attr(4) 手册页。
提供了两个安全配置文件:网络自动配置用户和网络自动配置管理。用户配置文件具有读取、选择和 wlan 授权。管理配置文件添加了写入授权。网络自动配置用户配置文件指定给控制台用户配置文件。因此,缺省情况下,登录到控制台的任何人都可以查看、启用和禁用配置文件。因为没有向控制台用户指定 solaris.network.autoconf.write 授权,所以此用户不能创建或修改 NCP、NCU、位置或 ENM。然而,控制台用户可以查看、创建、修改 WLAN。
任何具有控制台用户特权的人,都可以使用 NWAM 命令 netcfg 和 netadm 查看和启用 NWAM 配置文件。这些特权会自动指定给任何从 /dev/console 登录到系统的用户。
要使用 netcfg 命令修改 NWAM 配置文件,需要solaris.network.autoconf.write 授权或网络自动配置管理配置文件。
您可以将 profiles 命令和配置文件名称一起使用来确定与权限配置文件相关联的特权。有关更多信息,请参见 profiles(1) 手册页。
例如,要确定与控制台用户权限配置文件相关联的特权,请使用以下命令。
$ profiles -p "Console User" info Found profile in files repository. name=Console User desc=Manage System as the Console User auths=solaris.system.shutdown,solaris.device.cdrw,solaris.smf.manage.vbiosd, solaris.smf.value.vbiosd profiles=Suspend To RAM,Suspend To Disk,Brightness,CPU Power Management, Network Autoconf User,Desktop Removable Media User help=RtConsUser.html
NWAM GUI 包括以下三个不享有特权组件。根据这些组件的启动方式和它们需要执行的任务向它们授予权限:
NWAM 特定面板显示
该组件是桌面中的面板 applet,使用户能够与 NWAM 进行交互。该面板可由任何用户运行,用于监视系统的自动配置和处理事件通知。该面板还可用于执行一些基本的网络配置任务,例如,选择 WiFi 网络或手动切换位置。要执行这些类型的任务,需要网络自动配置用户权限配置文件。提供的此权限配置文件采用缺省配置,因为该面板以从 /dev/console 登录的用户的授权运行,因而具有控制台用户配置文件。
NWAM GUI
NWAM GUI 是从桌面与 NWAM 交互的主要方式。GUI 用于查看网络状态、创建和修改 NCP 与位置配置文件、启动和停止配置的 ENM。与 GUI 交互要求四个 solaris.network.autoconf 授权或网络自动配置管理配置文件。缺省情况下,控制台用户配置文件已有足够授权使用 GUI 查看网络状态和配置文件。此外,要使用 GUI 修改配置文件,您需有 solaris.network.autoconf.write 授权或网络自动配置管理配置文件。
您可以通过以下方式之一获取额外的授权:
将网络自动配置管理配置文件指定给特定的用户。
可通过编辑给定用户的 /etc/user_attr 文件将适当的授权或权限配置文件直接指定给该用户。
将网络自动配置管理配置文件指定给控制台用户。
可将此配置文件指定给控制台用户,而不指定给缺省指定的网络自动配置用户配置文件。要指定此配置文件,请编辑 /etc/security/prof_attr 文件中的条目。