Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration d'Oracle VM Server for SPARC 3.0 Oracle VM Server for SPARC (Français) |
Partie I Logiciel Oracle VM Server for SPARC 3.0
1. Présentation du logiciel Oracle VM Server for SPARC
2. Installation et activation du logiciel
3. Sécurité d'Oracle VM Server for SPARC
Délégation de la gestion de Logical Domains à l'aide de RBAC
Utilisation des profils de droits et des rôles
Gestion des profils de droits utilisateurs
Contrôle de l'accès à une console de domaine à l'aide de RBAC
Procédure de contrôle de l'accès à toutes les consoles de domaines par le biais de rôles
Procédure de contrôle de l'accès à toutes les consoles de domaines par le biais de profils de droits
Procédure de contrôle de l'accès à une console unique par le biais de rôles
Procédure de contrôle de l'accès à une console unique par le biais de profils de droits
Activation et utilisation de l'audit
Procédure d'activation de l'audit
Procédure de désactivation de l'audit
Procédure d'examen des enregistrements d'audit
Procédure de rotation des journaux d'audit
4. Configuration des services et du domaine de contrôle
5. Configuration des domaines invités
6. Configuration des domaines d'E/S
7. Utilisation des disques virtuels
8. Utilisation des réseaux virtuels
11. Gestion des configurations de domaine
12. Réalisation d'autres tâches d'administration
Partie II Logiciel Oracle VM Server for SPARC facultatif
13. Outil de conversion physique-à-virtuel Oracle VM Server for SPARC
14. Assistant de configuration d'Oracle VM Server for SPARC (Oracle Solaris 10)
15. Utilisation de la gestion de l'alimentation
16. Utilisation du logiciel Oracle VM Server for SPARC Management Information Base
17. Recherche de Logical Domains Manager
18. Utilisation de l'interface XML avec Logical Domains Manager
Le package Logical Domains Manager ajoute deux profils de droits de contrôle d'accès basé sur les rôles (RBAC) prédéfinis à la configuration RBAC locale. A l'aide de ces profils de droits, vous pouvez déléguer les privilèges administratifs suivants à des utilisateurs dépourvus de privilèges :
Le profil LDoms Management (Gestion de domaines logiques) permet à un utilisateur d'utiliser toutes les sous-commandes ldm.
Le profil LDoms Review (Vérification de domaines logiques) permet à un utilisateur d'utiliser toutes les sous-commandes liées aux listes de ldm.
Ces profils de droits peuvent être affectés directement à des utilisateurs ou ils peuvent être affectés à un rôle qui sera à son tour affecté à des utilisateurs. Lorsque l'un de ces profils est directement affecté à un utilisateur, vous devez utiliser la commande pfexec ou un shell de profil tel que pfbash ou pfksh pour utiliser correctement la commande ldm afin de gérer les domaines. Optez pour les rôles ou les profils de droits en fonction de votre configuration RBAC. Reportez-vous au manuel System Administration Guide: Security Services ou à la Partie III, Roles, Rights Profiles, and Privileges du manuel Oracle Solaris 11.1 Administration: Security Services.
Les utilisateurs, autorisations, profils de droits et rôles peuvent être configurés de l'une des manières suivantes :
De manière locale sur le système à l'aide de fichiers
De manière centrale dans un service de noms tel que LDAP
L'installation de Logical Domains Manager ajoute les profils de droits et autorisations nécessaires dans les fichiers locaux. Pour configurer les profils et les rôles dans un service de noms, reportez-vous au manuel System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) . Tous les exemples de ce chapitre supposent que la configuration RBAC utilise des fichiers locaux. Pour une vue d'ensemble des autorisations et des attributs d'exécution fournis par le package Logical Domains Manager, reportez-vous à la section Profils contenus dans Logical Domains Manager.
Attention - Faites preuve de prudence lorsque vous utilisez les commandes usermod et rolemod pour ajouter des autorisations, des profils de droits ou des rôles.
|
Les procédures suivantes permettent de gérer les profils de droits utilisateurs sur le système à l'aide de fichiers locaux. Pour gérer les profils utilisateur dans un service de noms, reportez-vous au System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
Les utilisateurs auxquels le profil LDoms Management a été affecté directement doivent appeler un shell de profil pour exécuter la commande ldm avec des attributs de sécurité. Pour plus d'informations, reportez-vous au manuel System Administration Guide: Security Services ou à la Partie III, Roles, Rights Profiles, and Privileges du manuel Oracle Solaris 11.1 Administration: Security Services.
Pour Oracle Solaris 10, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services. Pour Oracle Solaris 11.1 reportez-vous à la Partie III, Roles, Rights Profiles, and Privileges du manuel Oracle Solaris 11.1 Administration: Security Services.
Vous pouvez affecter le profil LDoms Review ou le profil LDoms Management à un compte utilisateur.
# usermod -P "profile-name" username
La commande suivante affecte le profil LDoms Management à l'utilisateur sam.
# usermod -P "LDoms Management" sam
La procédure suivante permet de créer un rôle et de l'affecter à un utilisateur à l'aide de fichiers locaux. Pour gérer les rôles dans un service de noms, reportez-vous au System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
Cette procédure présente l'avantage que les rôles ne sont pris que par les utilisateurs à qui ils ont été affectés. Lorsqu'un utilisateur prend un rôle, il doit fournir le mot de passe qui a été affecté au rôle, le cas échéant. Ces deux niveaux de sécurité empêchent un utilisateur de prendre un rôle dont il détient le mot de passe, mais qui ne lui a pas été affecté.
Pour Oracle Solaris 10, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services. Pour Oracle Solaris 11.1 reportez-vous à la Partie III, Roles, Rights Profiles, and Privileges du manuel Oracle Solaris 11.1 Administration: Security Services.
# roleadd -P "profile-name" role-name
Vous êtes invité à spécifier un nouveau mot de passe et à le vérifier.
# passwd role-name
# useradd -R role-name username
Vous êtes invité à spécifier un nouveau mot de passe et à le vérifier.
# passwd username
# su username
$ id uid=nn(username) gid=nn(group-name) $ roles role-name
$ su role-name
$ id uid=nn(role-name) gid=nn(group-name)
Exemple 3-1 Création d'un rôle et affectation du rôle à un utilisateur
Cet exemple illustre comment créer le rôle ldm_read, affecter le rôle à l'utilisateur user_1, devenir l'utilisateur user_1 et prendre le rôle ldm_read.
# roleadd -P "LDoms Review" ldm_read # passwd ldm_read New Password: ldm_read-password Re-enter new Password: ldm_read-password passwd: password successfully changed for ldm_read # useradd -R ldm_read user_1 # passwd user_1 New Password: user_1-password Re-enter new Password: user_1-password passwd: password successfully changed for user_1 # su user_1 Password: user_1-password $ id uid=95555(user_1) gid=10(staff) $ roles ldm_read $ su ldm_read Password: ldm_read-password $ id uid=99667(ldm_read) gid=14(sysadmin)
Le package Logical Domains Manager ajoute les profils RBAC suivants dans le fichier /etc/security/prof_attr local.
LDoms Review:::Review LDoms configuration:profiles=auths=solaris.ldoms.read LDoms Management:::Manage LDoms domains:profiles=auths=solaris.ldoms.*
Le package Logical Domains Manager ajoute également au fichier /etc/security/exec_attr l'attribut d'exécution suivant, associé au profil LDoms Management :
LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search
Le tableau suivant répertorie les sous-commandes ldm avec l'autorisation utilisateur requise pour utiliser les commandes.
Tableau 3-1 Sous-commandes ldm et autorisations utilisateur
|
1Concerne toutes les ressources que vous pouvez ajouter, répertorier, supprimer ou configurer.