RBAC の使用によるドメインコンソールへのアクセスの制御

デフォルトでは、すべてのユーザーがすべてのドメインコンソールにアクセスできます。ドメインコンソールへのアクセスを制御するには、承認チェックを行なうように vntsd デーモンを構成します。vntsd デーモンは、vntsd/authorization という名前のサービス管理機能 (Service Management Facility、SMF) プロパティーを提供します。このプロパティーを構成すると、ドメインコンソールまたはコンソールグループ用にユーザーおよび役割の承認チェックを有効にできます。承認チェックを有効にするには、svccfg コマンドを使用して、このプロパティーの値を true に設定します。このオプションが有効な場合、vntsd は、localhost のみで接続を待機して受け入れます。vntsd/authorization が有効な場合、listen_addr プロパティーに代替 IP アドレスを指定していても、vntsd は代替 IP アドレスを無視し、引き続き localhost のみで待機します。

---

注意 - localhost 以外のホストを使用するには、vntsd サービスを構成しないでください。 localhost 以外のホストを指定すると、制御ドメインからゲストドメインコンソールへの接続が制限されなくなります。ゲストドメインへのリモート接続に telnet コマンドを使用する場合は、平文のログイン認証がネットワーク上に渡されます。

---

デフォルトで、すべてのゲストコンソールへのアクセスの承認は auth_attr データベースにあります。

solaris.vntsd.consoles:::Access All LDoms Guest Consoles::

usermod コマンドを使用して、ローカルファイル上のユーザーまたは役割に必要な承認を割り当てます。このコマンドは、指定のドメインコンソールまたはコンソールグループへのアクセスに、必要な承認を持つユーザーまたは役割のみを許可します。ネームサービスでユーザーまたは役割に承認を割り当てるには、『Solaris のシステム管理 (ネーミングとディレクトリサービス : DNS、NIS、LDAP 編)』を参照してください。

すべてのドメインコンソールまたは 1 つのドメインコンソールへのアクセスを制御できます。

• すべてのドメインコンソールへのアクセスを制御するには、「役割を使用してすべてのドメインコンソールへのアクセスを制御する方法」および「権利プロファイルを使用してすべてのドメインコンソールへのアクセスを制御する方法」を参照してください。

• 1 つのドメインコンソールへのアクセスを制御するには、「役割を使用して 1 つのコンソールへのアクセスを制御する方法」および「権利プロファイルを使用して 1 つのコンソールへのアクセスを制御する方法」を参照してください。

役割を使用してすべてのドメインコンソールへのアクセスを制御する方法

1. コンソールの承認チェックを有効にして、ドメインコンソールへのアクセスを制限します。

   primary# svccfg -s vntsd setprop vntsd/authorization = true
   primary# svcadm refresh vntsd
   primary# svcadm restart vntsd

2. solaris.vntsd.consoles 承認を持つ役割を作成し、それによってすべてのドメインコンソールへのアクセスを許可します。

   primary# roleadd -A solaris.vntsd.consoles role-name
   primary# passwd all_cons

3. ユーザーに新しい役割を割り当てます。

   primary# usermod -R role-name username

例 3-2 役割の使用によるすべてのドメインコンソールへのアクセスの制御

最初に、コンソールの承認チェックを有効にして、すべてのドメインコンソールへのアクセスを制限します。

primary# svccfg -s vntsd setprop vntsd/authorization = true
primary# svcadm refresh vntsd
primary# svcadm restart vntsd
primary# ldm ls
NAME             STATE      FLAGS   CONS    VCPU  MEMORY   UTIL  UPTIME
primary          active     -n-cv-  UART    8     16G      0.2%  47m
ldg1             active     -n--v-  5000    2     1G       0.1%  17h 50m
ldg2             active     -t----  5001    4     2G        25%  11s

次の例は、solaris.vntsd.consoles 承認を持つ all_cons 役割を作成し、それによってすべてのドメインコンソールへのアクセスを許可する方法を示しています。

primary# roleadd -A solaris.vntsd.consoles all_cons
primary# passwd all_cons
New Password:
Re-enter new Password:
passwd: password successfully changed for all_cons

このコマンドは、sam ユーザーに all_cons 役割を割り当てます。

primary# usermod -R all_cons sam

ユーザー sam は、all_cons 役割になり、すべてのコンソールにアクセスできます。たとえば、次のように表示されます。

$ id
uid=700299(sam) gid=1(other)
-bash-3.2$ su all_cons
Password:
$ telnet 0 5000
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.

Connecting to console "ldg1" in group "ldg1" ....
Press ~? for control options ..

$ telnet 0 5001
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.

Connecting to console "ldg2" in group "ldg2" ....
Press ~? for control options ..

この例は、承認されていないユーザー dana がドメインコンソールへのアクセスを試みたときに何が起きるかを示しています。

$ id
uid=702048(dana) gid=1(other)
$ telnet 0 5000
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.
Connection to 0 closed by foreign host.

権利プロファイルを使用してすべてのドメインコンソールへのアクセスを制御する方法

1. solaris.vntsd.consoles 承認を持つ権利プロファイルを作成します。
   • Oracle Solaris 10 OS の場合は、/etc/security/prof_attr ファイルを編集します。

     次のエントリを指定します。

     LDoms Consoles:::Access LDoms Consoles:auths=solaris.vntsd.consoles

   • Oracle Solaris 11 OS の場合は、profiles コマンドを使用して、新しいプロファイルを作成します。

     primary# profiles -p "LDoms Consoles" \ 'set desc="Access LDoms Consoles"; set auths=solaris.vntsd.consoles'

2. 権利プロファイルをユーザーに割り当てます。
   • Oracle Solaris 10 OS の場合は、権利プロファイルをユーザーに割り当てます。

     primary# usermod -P "All,Basic Solaris User,LDoms Consoles" username

     LDoms Consoles プロファイルを追加する際は、注意して既存のプロファイルを指定してください。前のコマンドは、ユーザーがすでに All およびBasic Solaris User プロファイルを持っていることを示しています。

   • Oracle Solaris 11 OS の場合は、権利プロファイルをユーザーに割り当てます。

     primary# usermod -P +"LDoms Consoles" username

3. ユーザーとしてドメインコンソールに接続します。

   $ telnet 0 5000

例 3-3 権利プロファイルの使用によるすべてのドメインコンソールへのアクセスの制御

次の例は、権利プロファイルを使用してすべてのドメインコンソールへのアクセスを制御する方法を示しています。

• Oracle Solaris 10: /etc/security/prof_attr ファイルに次のエントリを追加して、solaris.vntsd.consoles 承認を持つ権利プロファイルを作成します。

  LDoms Consoles:::Access LDoms Consoles:auths=solaris.vntsd.consoles

  権利プロファイルを username に割り当てます。

  primary# usermod -P "All,Basic Solaris User,LDoms Consoles" username

  次のコマンドは、ユーザーが sam であり、All、Basic Solaris User、および LDoms Consoles 権利プロファイルが有効であることを確認する方法を示しています。telnet コマンドは、ldg1 ドメインコンソールにアクセスする方法を示します。

  $ id
  uid=702048(sam) gid=1(other)
  $ profiles
  All
  Basic Solaris User
  LDoms Consoles
  $ telnet 0 5000
  Trying 0.0.0.0...
  Connected to 0.
  Escape character is '^]'.
  
  Connecting to console "ldg1" in group "ldg1" ....
  Press ~? for control options ..

• Oracle Solaris 11: profiles コマンドを使用して、/etc/security/prof_attr ファイルに solaris.vntsd.consoles 承認を持つ権利プロファイルを作成します。

  primary# profiles -p "LDoms Consoles" \ 'set desc="Access LDoms Consoles"; set auths=solaris.vntsd.consoles'

  権利プロファイルをユーザーに割り当てます。

  primary# usermod -P +"LDoms Consoles" sam

  次のコマンドは、ユーザーが sam であり、All、Basic Solaris User、および LDoms Consoles 権利プロファイルが有効であることを確認する方法を示しています。telnet コマンドは、ldg1 ドメインコンソールにアクセスする方法を示します。

  $ id
  uid=702048(sam) gid=1(other)
  $ profiles
  All
  Basic Solaris User
  LDoms Consoles
  $ telnet 0 5000
  Trying 0.0.0.0...
  Connected to 0.
  Escape character is '^]'.
  
  Connecting to console "ldg1" in group "ldg1" ....
  Press ~? for control options ..

役割を使用して 1 つのコンソールへのアクセスを制御する方法

1. 1 つのドメインに対する承認を /etc/security/auth_attr ファイルに追加します。

   承認名は、ドメインの名前から派生し、solaris.vntsd.console-domain-name の形式になります。

   solaris.vntsd.console-domain-name:::Access domain-name Console::

2. ドメインのコンソールへのアクセスのみを許可する、新しい承認を持つ役割を作成します。

   primary# roleadd -A solaris.vntsd.console-domain-name role-name
   primary# passwd role-name
   New Password:
   Re-enter new Password:
   passwd: password successfully changed for role-name

3. role-name 役割をユーザーに割り当てます。

   primary# usermod -R role-name username

例 3-4 1 つのドメインコンソールへのアクセス

この例は、ユーザー terry が ldg1cons 役割になり、ldg1 ドメインコンソールにアクセスする方法を示しています。

最初に、1 つのドメイン ldg1 に対する承認を /etc/security/auth_attr ファイルに追加します。

solaris.vntsd.console-ldg1:::Access ldg1 Console::

次に、ドメインのコンソールへのアクセスのみを許可する、新しい承認を持つ役割を作成します。

primary# roleadd -A solaris.vntsd.console-ldg1 ldg1cons
primary# passwd ldg1cons
New Password:
Re-enter new Password:
passwd: password successfully changed for ldg1cons

ldg1cons 役割をユーザー terry に割り当てて、ldg1cons 役割になり、ドメインコンソールにアクセスします。

primary# usermod -R ldg1cons terry
primary# su ldg1cons
Password:
$ id
uid=700303(ldg1cons) gid=1(other)
$ telnet 0 5000
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.

Connecting to console "ldg1" in group "ldg1" ....
Press ~? for control options ..

次は、ユーザー terry が ldg2 ドメインコンソールにアクセスできないことを示しています。

$ telnet 0 5001
Trying 0.0.0.0...
Connected to 0.
Escape character is '^]'.
Connection to 0 closed by foreign host.

権利プロファイルを使用して 1 つのコンソールへのアクセスを制御する方法

1. 1 つのドメインに対する承認を /etc/security/auth_attr ファイルに追加します。

   次の例のエントリは、ドメインコンソールに対する承認を追加します。

   solaris.vntsd.console-domain-name:::Access domain-name Console::

2. 特定のドメインコンソールにアクセスするための承認を持つ権利プロファイルを作成します。
   • Oracle Solaris 10 OS の場合は、/etc/security/prof_attr ファイルを編集します。

     domain-name Console:::Access domain-name
     Console:auths=solaris.vntsd.console-domain-name

     このエントリは 1 行に収める必要があります。

   • Oracle Solaris 11 OS の場合は、profiles コマンドを使用して、新しいプロファイルを作成します。

     primary# profiles -p "domain-name Console" \ 'set desc="Access domain-name Console"; set auths=solaris.vntsd.console-domain-name'

3. 権利プロファイルをユーザーに割り当てます。

   次のコマンドは、プロファイルをユーザーに割り当てます。

   • Oracle Solaris 10 OS の場合は、権利プロファイルを割り当てます。

     primary# usermod -P "All,Basic Solaris User,domain-name Console" username

     All および Basic Solaris User プロファイルは必須です。

   • Oracle Solaris 11 OS の場合は、権利プロファイルを割り当てます。

     primary# usermod -P +"domain-name Console" username