Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Guía de administración de Oracle VM Server for SPARC 3.0 Oracle VM Server for SPARC (Español) |
Parte I Software Oracle VM Server for SPARC 3.0
1. Información general sobre el software de Oracle VM Server for SPARC
2. Instalación y habilitación del software
3. Seguridad de Oracle VM Server for SPARC
Delegación de gestión de dominios lógicos utilizando RBAC
Uso de perfiles de derechos y roles
Gestión de perfiles de derechos de usuario
Control de acceso a una consola de dominio mediante RBAC
Cómo controlar el acceso a todas las consolas de dominio mediante roles
Cómo controlar el acceso a todas las consolas de dominio mediante perfiles de derechos
Cómo controlar el acceso a una única consola mediante roles
Cómo controlar el acceso a una única consola mediante perfiles de derechos
Activación y utilización de auditoría
Cómo revisar los registros de auditoría
Cómo rotar registros de auditoría
4. Configuración de servicios y el dominio de control
5. Configuración de los dominios invitados
6. Configuración de dominios de E/S
10. Administración de recursos
11. Gestión de configuraciones de dominios
12. Realización de otras tareas administrativas
Parte II Software Oracle VM Server for SPARC opcional
13. Herramienta de conversión física a virtual del Oracle VM Server for SPARC
14. Asistente de configuración de Oracle VM Server for SPARC (Oracle Solaris 10)
15. Uso de la gestión de energía
16. Uso del software de Base de datos de información de administración de Oracle VM Server for SPARC
17. Descubrimiento del Logical Domains Manager
El paquete de Logical Domains Manager agrega dos perfiles de derechos predefinidos de control de acceso basado en roles (RBAC) a la configuración de RBAC local. Mediante estos perfiles de derechos, puede delegar los siguientes privilegios administrativos a un usuario sin privilegios:
El perfil LDoms Management permite a un usuario utilizar todos los subcomandos ldm.
El perfil LDoms Review permite a un usuario utilizar todos los subcomandos ldm relacionados con una lista.
Estos perfiles de derechos se pueden asignar directamente a los usuarios o a un rol que se asignará a los usuarios. Cuando uno de estos perfiles se asigna directamente a un usuario, debe utilizar el comando pfexec o un shell de perfil, como pfbash o pfksh, para utilizar el comando ldm correctamente para gestionar sus dominios. Determine si se deben utilizar roles o perfiles de derechos según su configuración de RBAC. Consulte la System Administration Guide: Security Services o la Parte III, Roles, Rights Profiles, and Privileges de Oracle Solaris 11.1 Administration: Security Services.
Los usuarios, las autorizaciones, los perfiles de derechos y los roles se pueden configurar de las siguientes maneras:
Localmente en el sistema mediante el uso de archivos
Centralmente en un servicio de asignación de nombres, como LDAP
La instalación de Logical Domains Manager agrega los perfiles de derechos necesarios a los archivos locales. Para configurar perfiles y roles en un servicio de nombres, consulte la System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP). En todos los ejemplos de este capítulo se asume que la configuración de RBAC utiliza archivos locales. Para obtener una descripción general de las autorizaciones y los atributos de ejecución proporcionados por el paquete de Logical Domains Manager, consulte Contenidos de perfil de Logical Domains Manager.
Precaución - Tenga cuidado al usar los comandos usermod y rolemod para agregar autorizaciones, perfiles de derechos o roles.
|
En los procedimientos siguientes se muestra cómo gestionar los perfiles de derechos de usuario en el sistema mediante archivos locales. Para administrar los perfiles de usuario en un servicio de asignación de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
Los usuarios a los que se ha asignado directamente el perfil LDoms Management deben invocar un shell de perfil para ejecutar el comando ldm con los atributos de seguridad. Para obtener más información, consulte la System Administration Guide: Security Services o la Parte III, Roles, Rights Profiles, and Privileges de Oracle Solaris 11.1 Administration: Security Services.
Para obtener información sobre Oracle Solaris 10, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Para Oracle Solaris 11.1, consulte la Parte III, Roles, Rights Profiles, and Privileges de Oracle Solaris 11.1 Administration: Security Services.
Puede asignar el perfil LDoms Review o el perfil LDoms Management a una cuenta de usuario.
# usermod -P "profile-name" username
El comando siguiente asigna el perfil LDoms Management al usuario sam:
# usermod -P "LDoms Management" sam
El procedimiento siguiente muestra cómo crear una función y asignarla a un usuario mediante el uso de archivos locales. Para administrar las funciones en un servicio de asignación de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
La ventaja de utilizar este procedimiento es que sólo un usuario al que se ha asignado una función específica puede asumir dicha función. Al asumir una función, se necesita una contraseña si se ha asignado una contraseña a la función. Estas dos capas de seguridad impiden que un usuario que tenga la contraseña pueda asumir una función si no se le ha asignado.
Para obtener información sobre Oracle Solaris 10, consulte Configuring RBAC (Task Map) de System Administration Guide: Security Services. Para Oracle Solaris 11.1, consulte la Parte III, Roles, Rights Profiles, and Privileges de Oracle Solaris 11.1 Administration: Security Services.
# roleadd -P "profile-name" role-name
Se le solicitará que especifique la nueva contraseña y que la verifique.
# passwd role-name
# useradd -R role-name username
Se le solicitará que especifique la nueva contraseña y que la verifique.
# passwd username
# su username
$ id uid=nn(username) gid=nn(group-name) $ roles role-name
$ su role-name
$ id uid=nn(role-name) gid=nn(group-name)
Ejemplo 3-1 Creación de una función y asignación de la función a un usuario
En este ejemplo se muestra cómo crear la función ldm_read, asignar la función al usuario user_1, convertirse en el usuario user_1 y asumir la función ldm_read.
# roleadd -P "LDoms Review" ldm_read # passwd ldm_read New Password: ldm_read-password Re-enter new Password: ldm_read-password passwd: password successfully changed for ldm_read # useradd -R ldm_read user_1 # passwd user_1 New Password: user_1-password Re-enter new Password: user_1-password passwd: password successfully changed for user_1 # su user_1 Password: user_1-password $ id uid=95555(user_1) gid=10(staff) $ roles ldm_read $ su ldm_read Password: ldm_read-password $ id uid=99667(ldm_read) gid=14(sysadmin)
El paquete de Logical Domains Manager agrega los siguientes perfiles de RBAC al archivo local /etc/security/prof_attr:
LDoms Review:::Review LDoms configuration:profiles=auths=solaris.ldoms.read LDoms Management:::Manage LDoms domains:profiles=auths=solaris.ldoms.*
El paquete de Logical Domains Manager también agrega el siguiente atributo de ejecución asociado con el perfil LDoms Management al archivo local /etc/security/exec_attr:
LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search
La siguiente tabla indica los subcomandos ldm subcomandos con la correspondiente autorización de usuario que es necesaria para realizar los comandos.
Tabla 3-1 Los subcomandos ldm y autorizaciones de usuario
|
1Se refiere a todos los recursos que puede agregar, enumerar, eliminar o fijar.