跳过导航链接 | |
退出打印视图 | |
Oracle VM Server for SPARC 2.2 管理指南 Oracle VM Server for SPARC (简体中文) |
第 1 部分Oracle VM Server for SPARC 2.2 软件
1. Oracle VM Server for SPARC 软件概述
3. Oracle VM Server for SPARC 安全
第 2 部分可选的 Oracle VM Server for SPARC 软件
13. Oracle VM Server for SPARC 物理机到虚拟机转换工具
14. Oracle VM Server for SPARC Configuration Assistant (Oracle Solaris 10)
15. 使用 Oracle VM Server for SPARC 管理信息库软件
16. Logical Domains Manager 发现
Logical Domains Manager 软件包将两个预先定义的基于角色的访问控制 (role-based access control, RBAC) 权限配置文件添加到本地 RBAC 配置。通过使用这些权限配置文件,您可以将以下管理特权委托给非特权用户:
LDoms Management 配置文件允许用户使用所有 ldm 子命令。
LDoms Review 配置文件允许用户使用所有与列表有关的 ldm 子命令。
这些权限配置文件可以直接分配给用户或之后会分配给用户的角色。如果将其中一种配置文件直接分配给用户,您必须使用 pfexec 命令或配置文件 shell(例如 pfbash 或 pfksh),以成功使用 ldm 命令管理您的域。根据您的 RBAC 配置确定是使用角色还是权限配置文件。请参见《系统管理指南:安全性服务》或《Oracle Solaris 管理:安全服务》中的第 III 部分, "角色、权限配置文件和特权"。
用户、授权、权限配置文件和角色可以按如下方式进行配置:
使用文件在系统本地配置
在命名服务(如 LDAP)中集中配置
安装 Logical Domains Manager 会在本地文件中添加必需的权限配置文件。要在命名服务中配置配置文件和角色,请参见《系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)》。本章中的所有示例都假定 RBAC 配置使用本地文件。有关 Logical Domains Manager 软件包所提供的授权和执行属性的概述,请参见Logical Domains Manager 配置文件内容。
注意 - 使用 usermod 和 rolemod 命令添加授权、权限配置文件或角色时要谨慎。
|
以下过程说明如何在系统上使用本地文件管理用户权限配置文件。要在命名服务中管理用户配置文件,请参见《系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)》。
直接分配有 LDoms Management 配置文件的用户必须调用配置文件 shell 以运行具有安全属性的 ldm 命令。有关更多信息,请参见《系统管理指南:安全性服务》或《Oracle Solaris 管理:安全服务》中的第 III 部分, "角色、权限配置文件和特权"。
对于 Oracle Solaris 10,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。对于 Oracle Solaris 11,请参见《Oracle Solaris 管理:安全服务》中的第 III 部分, "角色、权限配置文件和特权"。
您可以为用户帐户分配 LDoms Review 配置文件或 LDoms Management 配置文件。
# usermod -P "profile-name" username
以下命令可以将 LDoms Management 配置文件分配给用户 sam:
# usermod -P "LDoms Management" sam
以下过程说明如何使用本地文件创建角色并将其分配给用户。要在命名服务中管理角色,请参见《系统管理指南:命名和目录服务(DNS、NIS 和 LDAP)》。
使用此过程的优势是,只有分配有特定角色的用户才能承担该角色。承担角色时,如果已经为该角色分配了一个密码,则需要输入该密码。这两个安全层防止尚未分配有角色、但已经有密码的用户承担该角色。
对于 Oracle Solaris 10,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。对于 Oracle Solaris 11,请参见《Oracle Solaris 管理:安全服务》中的第 III 部分, "角色、权限配置文件和特权"。
# roleadd -P "profile-name" role-name
系统将提示您指定并确认新密码。
# passwd role-name
# useradd -R role-name username
系统将提示您指定并确认新密码。
# passwd username
# su username
$ id uid=nn(username) gid=nn(group-name) $ roles role-name
$ su role-name
$ id uid=nn(role-name) gid=nn(group-name)
示例 3-1 创建角色并将该角色分配给用户
此示例说明如何创建 ldm_read 角色、将该角色分配给 user_1 用户、成为 user_1 用户并承担 ldm_read 角色。
# roleadd -P "LDoms Review" ldm_read # passwd ldm_read New Password: ldm_read-password Re-enter new Password: ldm_read-password passwd: password successfully changed for ldm_read # useradd -R ldm_read user_1 # passwd user_1 New Password: user_1-password Re-enter new Password: user_1-password passwd: password successfully changed for user_1 # su user_1 Password: user_1-password $ id uid=95555(user_1) gid=10(staff) $ roles ldm_read $ su ldm_read Password: ldm_read-password $ id uid=99667(ldm_read) gid=14(sysadmin)
Logical Domains Manager 软件包将以下 RBAC 配置文件添加到本地 /etc/security/prof_attr 文件:
LDoms Review:::Review LDoms configuration:auths=solaris.ldoms.read
LDoms Management:::Manage LDoms domains:auths=solaris.ldoms.*
Logical Domains Manager 软件包还将以下与 LDoms Management 配置文件关联的执行属性添加到本地 /etc/security/exec_attr 文件:
LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search
下表列出了 ldm 子命令以及执行这些命令所需的相应用户授权。
表 3-1 ldm 子命令和用户授权
|