Delegación de gestión de dominios lógicos utilizando RBAC

El paquete de Logical Domains Manager agrega dos perfiles de derechos predefinidos de control de acceso basado en roles (RBAC) a la configuración de RBAC local. Mediante estos perfiles de derechos, puede delegar los siguientes privilegios administrativos a un usuario sin privilegios:

• El perfil LDoms Management permite a un usuario utilizar todos los subcomandos ldm.

• El perfil LDoms Review permite a un usuario utilizar todos los subcomandos ldm relacionados con una lista.

Estos perfiles de derechos se pueden asignar directamente a los usuarios o a un rol que se asignará a los usuarios. Cuando uno de estos perfiles se asigna directamente a un usuario, debe utilizar el comando pfexec o un shell de perfil, como pfbash o pfksh, para utilizar el comando ldm correctamente para gestionar sus dominios. Determine si se deben utilizar roles o perfiles de derechos según su configuración de RBAC. Consulte la Guide d’administration système : services de sécurité o la Parte III, Rôles, profils de droits et privilèges de Administration d’Oracle Solaris : services de sécurité.

Los usuarios, las autorizaciones, los perfiles de derechos y los roles se pueden configurar de las siguientes maneras:

• Localmente en el sistema mediante el uso de archivos

• Centralmente en un servicio de asignación de nombres, como LDAP

La instalación de Logical Domains Manager agrega los perfiles de derechos necesarios a los archivos locales. Para configurar perfiles y roles en un servicio de nombres, consulte la Guide d’administration système : Services d’annuaire et de nommage (DNS, NIS et LDAP). En todos los ejemplos de este capítulo se asume que la configuración de RBAC utiliza archivos locales. Para obtener una descripción general de las autorizaciones y los atributos de ejecución proporcionados por el paquete de Logical Domains Manager, consulte Contenidos de perfil de Logical Domains Manager.

Uso de perfiles de derechos y roles

---

Precaución - Tenga cuidado al usar los comandos usermod y rolemod para agregar autorizaciones, perfiles de derechos o roles. Para el sistema operativo Oracle Solaris 10 el comando usermod o rolemod sustituye cualquier valor existente. Para agregar valores en lugar de sustituirlos, especifique una lista separada por comas de los valores existentes y los valores nuevos. Para el sistema operativo Oracle Solaris 11, agregue valores mediante el signo más (+) para cada autorización que agrega. Por ejemplo, el comando usermod -A +auth username otorga la autorización auth al usuario username, de manera similar para el comando rolemod.

---

Gestión de perfiles de derechos de usuario

En los procedimientos siguientes se muestra cómo gestionar los perfiles de derechos de usuario en el sistema mediante archivos locales. Para administrar los perfiles de usuario en un servicio de asignación de nombres, consulte Guide d’administration système : Services d’annuaire et de nommage (DNS, NIS et LDAP).

Cómo asignar un perfil de derechos a un usuario

Los usuarios a los que se ha asignado directamente el perfil LDoms Management deben invocar un shell de perfil para ejecutar el comando ldm con los atributos de seguridad. Para obtener más información, consulte la Guide d’administration système : services de sécurité o la Parte III, Rôles, profils de droits et privilèges de Administration d’Oracle Solaris : services de sécurité.

1. Conviértase en administrador o superusuario, o asuma un rol equivalente.

   Para obtener información sobre Oracle Solaris 10, consulte Configuration de RBAC (liste des tâches) de Guide d’administration système : services de sécurité. Para obtener información sobre Oracle Solaris 11, consulte la Parte III, Rôles, profils de droits et privilèges de Administration d’Oracle Solaris : services de sécurité.

2. Asigne un perfil administrativo a una cuenta de usuario local.

   Puede asignar el perfil LDoms Review o el perfil LDoms Management a una cuenta de usuario.

   # usermod -P "profile-name" username

   El comando siguiente asigna el perfil LDoms Management al usuario sam:

   # usermod -P "LDoms Management" sam

Asignación de funciones a usuarios

El procedimiento siguiente muestra cómo crear una función y asignarla a un usuario mediante el uso de archivos locales. Para administrar las funciones en un servicio de asignación de nombres, consulte Guide d’administration système : Services d’annuaire et de nommage (DNS, NIS et LDAP).

La ventaja de utilizar este procedimiento es que sólo un usuario al que se ha asignado una función específica puede asumir dicha función. Al asumir una función, se necesita una contraseña si se ha asignado una contraseña a la función. Estas dos capas de seguridad impiden que un usuario que tenga la contraseña pueda asumir una función si no se le ha asignado.

Cómo crear un rol y asignar el rol a un usuario

1. Conviértase en administrador o superusuario, o asuma un rol equivalente.

   Para obtener información sobre Oracle Solaris 10, consulte Configuration de RBAC (liste des tâches) de Guide d’administration système : services de sécurité. Para obtener información sobre Oracle Solaris 11, consulte la Parte III, Rôles, profils de droits et privilèges de Administration d’Oracle Solaris : services de sécurité.

2. Cree un rol.

   # roleadd -P "profile-name" role-name

3. Asigne una contraseña a la función.

   Se le solicitará que especifique la nueva contraseña y que la verifique.

   # passwd role-name

4. Asigne una función a un usuario.

   # useradd -R role-name username

5. Asigne una contraseña al usuario.

   Se le solicitará que especifique la nueva contraseña y que la verifique.

   # passwd username

6. Conviértase en usuario y especifique la contraseña, si es preciso.

   # su username

7. Compruebe que el usuario tenga acceso a la función asignada.

   $ id
   uid=nn(username) gid=nn(group-name)
   $ roles
   role-name

8. Asuma la función y especifique la contraseña, si es preciso.

   $ su role-name

9. Compruebe que el usuario haya asumido la función.

   $ id
   uid=nn(role-name) gid=nn(group-name)

Ejemplo 3-1 Creación de una función y asignación de la función a un usuario

En este ejemplo se muestra cómo crear la función ldm_read, asignar la función al usuario user_1, convertirse en el usuario user_1 y asumir la función ldm_read.

# roleadd -P "LDoms Review" ldm_read
# passwd ldm_read
New Password: ldm_read-password
Re-enter new Password: ldm_read-password
passwd: password successfully changed for ldm_read
# useradd -R ldm_read user_1
# passwd user_1
New Password: user_1-password
Re-enter new Password: user_1-password
passwd: password successfully changed for user_1
# su user_1
Password: user_1-password
$ id
uid=95555(user_1) gid=10(staff)
$ roles
ldm_read
$ su ldm_read
Password: ldm_read-password
$ id
uid=99667(ldm_read) gid=14(sysadmin)

Contenidos de perfil de Logical Domains Manager

El paquete de Logical Domains Manager agrega los siguientes perfiles de RBAC al archivo local /etc/security/prof_attr:

• LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read

• LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*

El paquete de Logical Domains Manager también agrega el siguiente atributo de ejecución asociado con el perfil LDoms Management al archivo local /etc/security/exec_attr:

LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search

La siguiente tabla indica los subcomandos ldm subcomandos con la correspondiente autorización de usuario que es necesaria para realizar los comandos.

Tabla 3-1 Los subcomandos ldm y autorizaciones de usuario

¹Se refiere a todos los recursos que puede agregar, enumerar, eliminar o fijar.