Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration d'Oracle VM Server for SPARC 2.2 Oracle VM Server for SPARC (Français) |
Partie I Logiciel Oracle VM Server for SPARC .2.2
1. Présentation du logiciel Oracle VM Server for SPARC
2. Installation et activation du logiciel
3. Sécurité d'Oracle VM Server for SPARC
Délégation de la gestion de Logical Domains à l'aide de RBAC
Utilisation des profils de droits et des rôles
Gestion des profils de droits utilisateurs
Assignation de rôles aux utilisateurs
Profils contenus dans Logical Domains Manager
Contrôle de l'accès à une console de domaine à l'aide de RBAC
Procédure de contrôle de l'accès à toutes les consoles de domaines par le biais de rôles
Procédure de contrôle de l'accès à toutes les consoles de domaines par le biais de profils de droits
Procédure de contrôle de l'accès à une console unique par le biais de rôles
Procédure de contrôle de l'accès à une console unique par le biais de profils de droits
Activation et utilisation de l'audit
Procédure d'activation de l'audit
Procédure de désactivation de l'audit
Procédure d'examen des enregistrements d'audit
Procédure de rotation des journaux d'audit
4. Configuration des services et du domaine de contrôle
5. Configuration des domaines invités
6. Configuration des domaines d'E/S
7. Utilisation des disques virtuels
8. Utilisation des réseaux virtuels
11. Gestion des configurations de domaine
12. Réalisation d'autres tâches d'administration
Partie II Logiciel Oracle VM Server for SPARC facultatif
13. Outil de conversion physique-à-virtuel Oracle VM Server for SPARC
14. Assistant de configuration d'Oracle VM Server for SPARC (Oracle Solaris 10)
15. Utilisation du logiciel MIB (Management Information Base ) Oracle VM Server for SPARC
16. Recherche de Logical Domains Manager
17. Utilisation de l'interface XML avec Logical Domains Manager
Par défaut, tous les utilisateurs peuvent accéder à toutes les consoles de domaines. Pour contrôler l'accès à une console, configurez le démon vntsd de manière à ce qu'il procède à une vérification des autorisations. Le démon vntsd fournit la propriété SMF (Service Management Facility, utilitaire de gestion des services) appelée vntsd/authorization. Cette propriété peut être configurée de manière à activer la vérification des autorisations des utilisateurs et des rôles pour une console de domaine ou un groupe de consoles. Pour activer le contrôle d'autorisation, utilisez la commande svccfg pour définir la valeur de cette propriété sur true. Lorsque cette option est activée, vntsd écoute et accepte les connexions uniquement sur localhost. Si la propriété listen_addr indique une autre adresse IP lorsque vntsd/authorization est activé, vntsd ignore l'autre adresse IP et continue à écouter uniquement sur localhost.
Attention - Ne configurez pas le service vntsd pour utiliser un hôte autre que localhost. Si vous spécifiez un hôte différent de localhost, vous n'êtes plus empêché de vous connecter aux consoles de domaine invitées à partir du domaine de contrôle. Si vous vous connectez à distance à un domaine invité à l'aide de la commande telnet, les informations d'identification de connexion sont transmises en texte clair sur le réseau. |
Par défaut, une autorisation d'accès à toutes les consoles invitées est présente dans la base de données auth_attr locale.
solaris.vntsd.consoles:::Access All LDoms Guest Consoles::
Servez-vous de la commande usermod pour affecter les autorisations requises à des utilisateurs ou des rôles dans les fichiers locaux. Avec cette commande, seul l'utilisateur ou le rôle qui possède les autorisations requises peut accéder à une console de domaine ou un groupe de consoles donné. Pour affecter des autorisations à des utilisateurs ou des rôles dans un service de noms, reportez-vous au manuel Guía de administración del sistema: Servicios de nombres y directorios (DNS, NIS y LDAP).
Vous pouvez contrôler l'accès à toutes les consoles de domaines ou à une seule console de domaine.
Pour contrôler l'accès à toutes les consoles de domaines, reportez-vous aux sections Procédure de contrôle de l'accès à toutes les consoles de domaines par le biais de rôles et Procédure de contrôle de l'accès à toutes les consoles de domaines par le biais de profils de droits
Pour contrôler l'accès à une seule console de domaine, reportez-vous aux sections Procédure de contrôle de l'accès à une console unique par le biais de rôles et Procédure de contrôle de l'accès à une console unique par le biais de profils de droits.
primary# svccfg -s vntsd setprop vntsd/authorization = true primary# svcadm refresh vntsd primary# svcadm restart vntsd
primary# roleadd -A solaris.vntsd.consoles role-name primary# passwd all_cons
primary# usermod -R role-name username
Exemple 3-2 Contrôle de l'accès à toutes les consoles de domaines par le biais de rôles
Activez tout d'abord la vérification des autorisations de la console pour restreindre l'accès à une console de domaine.
primary# svccfg -s vntsd setprop vntsd/authorization = true primary# svcadm refresh vntsd primary# svcadm restart vntsd primary# ldm ls NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME primary active -n-cv- UART 8 16G 0.2% 47m ldg1 active -n--v- 5000 2 1G 0.1% 17h 50m ldg2 active -t---- 5001 4 2G 25% 11s
L'exemple suivant décrit la création du rôle all_cons avec l'autorisation solaris.vntsd.consoles, laquelle permet d'accéder à toutes les consoles de domaines.
primary# roleadd -A solaris.vntsd.consoles all_cons primary# passwd all_cons New Password: Re-enter new Password: passwd: password successfully changed for all_cons
Cette commande affecte le rôle all_cons à l'utilisateur sam.
primary# usermod -R all_cons sam
L'utilisateur sam prend le rôle all_cons et peut accéder à n'importe quelle console. Par exemple :
$ id uid=700299(sam) gid=1(other) -bash-3.2$ su all_cons Password: $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg1" in group "ldg1" .... Press ~? for control options .. $ telnet 0 5001 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg2" in group "ldg2" .... Press ~? for control options ..
Cet exemple montre ce qui se produit lorsqu'un utilisateur non autorisé, dana, tente d'accéder à une console de domaine :
$ id uid=702048(dana) gid=1(other) $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connection to 0 closed by foreign host.
Incluez l'entrée suivante :
LDoms Consoles:::Access LDoms Consoles:auths=solaris.vntsd.consoles
primary# profiles -p "LDoms Consoles" \ 'set desc="Access LDoms Consoles"; set auths=solaris.vntsd.consoles'
primary# usermod -P "All,Basic Solaris User,LDoms Consoles" username
Veuillez à indiquer les éventuels profils préexistants lorsque vous ajoutez le profil LDoms Consoles. La commande qui précède indique que l'utilisateur possédait déjà les profils All et Basic Solaris User.
primary# usermod -P +"LDoms Consoles" username
$ telnet 0 5000
Exemple 3-3 Contrôle de l'accès à toutes les consoles de domaines par le biais de profils de droits
Les exemples qui suivent illustrent l'utilisation de profils de droits pour contrôler l'accès à toutes les consoles de domaines :
Oracle Solaris 10 : création d'un profil de droits incluant l'autorisation solaris.vntsd.consoles par ajout de l'entrée suivante au fichier /etc/security/prof_attr :
LDoms Consoles:::Access LDoms Consoles:auths=solaris.vntsd.consoles
Assignez la profil de droits à username.
primary# usermod -P "All,Basic Solaris User,LDoms Consoles" username
Les commandes suivantes permettent de vérifier que l'utilisateur est bien sam et que les profils de droits All, Basic Solaris User et LDoms Consoles sont effectifs. La commande telnet permet d'accéder à la console du domaine ldg1.
$ id uid=702048(sam) gid=1(other) $ profiles All Basic Solaris User LDoms Consoles $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg1" in group "ldg1" .... Press ~? for control options ..
Oracle Solaris 11 : utilisez la commande profiles pour créer un profil de doits présentant l'autorisation solaris.vntsd.consoles dans le fichier /etc/security/prof_attr.
primary# profiles -p "LDoms Consoles" \ 'set desc="Access LDoms Consoles"; set auths=solaris.vntsd.consoles'
Affectez le profil de droits à un utilisateur.
primary# usermod -P +"LDoms Consoles" sam
Les commandes suivantes permettent de vérifier que l'utilisateur est bien sam et que les profils de droits All, Basic Solaris User et LDoms Consoles sont effectifs. La commande telnet permet d'accéder à la console du domaine ldg1.
$ id uid=702048(sam) gid=1(other) $ profiles All Basic Solaris User LDoms Consoles $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg1" in group "ldg1" .... Press ~? for control options ..
Le nom de l'autorisation est dérivé du nom du domaine et se présente sous la forme : solaris.vntsd.console-domain-name :
solaris.vntsd.console-domain-name:::Access domain-name Console::
primary# roleadd -A solaris.vntsd.console-domain-name role-name primary# passwd role-name New Password: Re-enter new Password: passwd: password successfully changed for role-name
primary# usermod -R role-name username
Exemple 3-4 Accès à une console de domaine unique
Dans cet exemple, l'utilisateur terry prend le rôle ldg1cons et accède à la console du domaine ldg1.
Ajoutez tout d'abord une autorisation pour un domaine unique ldg1 dans le fichier /etc/security/auth_attr :
solaris.vntsd.console-ldg1:::Access ldg1 Console::
Créez ensuite un rôle possédant la nouvelle autorisation pour n'autoriser l'accès qu'à la console de domaine.
primary# roleadd -A solaris.vntsd.console-ldg1 ldg1cons primary# passwd ldg1cons New Password: Re-enter new Password: passwd: password successfully changed for ldg1cons
Affectez le rôle ldg1cons à l'utilisateur terry, prenez le rôle ldg1cons et accédez à la console de domaine :
primary# usermod -R ldg1cons terry primary# su ldg1cons Password: $ id uid=700303(ldg1cons) gid=1(other) $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg1" in group "ldg1" .... Press ~? for control options ..
Le message ci-dessous indique que l'utilisateur terry ne peut pas accéder à la console du domaine ldg2 :
$ telnet 0 5001 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connection to 0 closed by foreign host.
L'exemple d'entrée suivant ajoute l'autorisation pour une console de domaine :
solaris.vntsd.console-domain-name:::Access domain-name Console::
domain-name Console:::Access domain-name Console:auths=solaris.vntsd.console-domain-name
Cette entrée doit être placée sur une seule ligne.
primary# profiles -p "domain-name Console" \ 'set desc="Access domain-name Console"; set auths=solaris.vntsd.console-domain-name'
Les commandes suivantes assignent le profil à un utilisateur :
primary# usermod -P "All,Basic Solaris User,domain-name Console" username
Notez que les profils All et Basic Solaris User sont indispensables.
primary# usermod -P +"domain-name Console" username