ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle VM Server for SPARC 3.0 管理ガイド Oracle VM Server for SPARC (日本語) |
パート I Oracle VM Server for SPARC 3.0 ソフトウェア
1. Oracle VM Server for SPARC ソフトウェアの概要
3. Oracle VM Server for SPARC のセキュリティー
Logical Domains Manager プロファイルの内容
役割を使用してすべてのドメインコンソールへのアクセスを制御する方法
権利プロファイルを使用してすべてのドメインコンソールへのアクセスを制御する方法
パート II オプションの Oracle VM Server for SPARC ソフトウェア
13. Oracle VM Server for SPARC 物理から仮想への変換ツール
14. Oracle VM Server for SPARC Configuration Assistant (Oracle Solaris 10)
16. Oracle VM Server for SPARC 管理情報ベース (MIB) ソフトウェアの使用
17. Logical Domains Manager の検出
デフォルトでは、すべてのユーザーがすべてのドメインコンソールにアクセスできます。ドメインコンソールへのアクセスを制御するには、承認チェックを行うように vntsd デーモンを構成します。vntsd デーモンは、vntsd/authorization という名前のサービス管理機能 (SMF) プロパティーを提供します。このプロパティーを構成すると、ドメインコンソールまたはコンソールグループ用にユーザーおよび役割の承認チェックを有効にできます。承認チェックを有効にするには、svccfg コマンドを使用して、このプロパティーの値を true に設定します。このオプションが有効な場合、vntsd は、localhost のみで接続を待機して受け入れます。vntsd/authorization が有効な場合、listen_addr プロパティーに代替 IP アドレスを指定していても、vntsd は代替 IP アドレスを無視し、引き続き localhost のみで待機します。
注意 - localhost 以外のホストを使用するには、vntsd サービスを構成しないでください。 localhost 以外のホストを指定すると、制御ドメインからゲストドメインコンソールへの接続が制限されなくなります。ゲストドメインへのリモート接続に telnet コマンドを使用する場合は、平文のログイン認証がネットワーク上に渡されます。 |
デフォルトで、すべてのゲストコンソールへのアクセスの承認は auth_attr データベースにあります。
solaris.vntsd.consoles:::Access All LDoms Guest Consoles::
usermod コマンドを使用して、ローカルファイル上のユーザーまたは役割に必要な承認を割り当てます。このコマンドは、指定のドメインコンソールまたはコンソールグループへのアクセスに、必要な承認を持つユーザーまたは役割のみを許可します。ネームサービスでユーザーまたは役割に承認を割り当てるには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。
すべてのドメインコンソールまたは 1 つのドメインコンソールへのアクセスを制御できます。
すべてのドメインコンソールへのアクセスを制御するには、「役割を使用してすべてのドメインコンソールへのアクセスを制御する方法」および「権利プロファイルを使用してすべてのドメインコンソールへのアクセスを制御する方法」を参照してください。
1 つのドメインコンソールへのアクセスを制御するには、「役割を使用して 1 つのコンソールへのアクセスを制御する方法」および「権利プロファイルを使用して 1 つのコンソールへのアクセスを制御する方法」を参照してください。
primary# svccfg -s vntsd setprop vntsd/authorization = true primary# svcadm refresh vntsd primary# svcadm restart vntsd
primary# roleadd -A solaris.vntsd.consoles role-name primary# passwd all_cons
primary# usermod -R role-name username
例 3-2 役割の使用によるすべてのドメインコンソールへのアクセスの制御
最初に、コンソールの承認チェックを有効にして、すべてのドメインコンソールへのアクセスを制限します。
primary# svccfg -s vntsd setprop vntsd/authorization = true primary# svcadm refresh vntsd primary# svcadm restart vntsd primary# ldm ls NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME primary active -n-cv- UART 8 16G 0.2% 47m ldg1 active -n--v- 5000 2 1G 0.1% 17h 50m ldg2 active -t---- 5001 4 2G 25% 11s
次の例は、solaris.vntsd.consoles 承認を持つ all_cons 役割を作成し、それによってすべてのドメインコンソールへのアクセスを許可する方法を示しています。
primary# roleadd -A solaris.vntsd.consoles all_cons primary# passwd all_cons New Password: Re-enter new Password: passwd: password successfully changed for all_cons
このコマンドは、sam ユーザーに all_cons 役割を割り当てます。
primary# usermod -R all_cons sam
ユーザー sam は、all_cons 役割になり、すべてのコンソールにアクセスできます。たとえば、次のように表示されます。
$ id uid=700299(sam) gid=1(other) $ su all_cons Password: $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg1" in group "ldg1" .... Press ~? for control options .. $ telnet 0 5001 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg2" in group "ldg2" .... Press ~? for control options ..
この例は、承認されていないユーザー dana がドメインコンソールへのアクセスを試みたときに何が起きるかを示しています。
$ id uid=702048(dana) gid=1(other) $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connection to 0 closed by foreign host.
primary# svccfg -s vntsd setprop vntsd/authorization = true primary# svcadm refresh vntsd primary# svcadm restart vntsd
次のエントリを指定します。
LDoms Consoles:::Access LDoms Consoles:auths=solaris.vntsd.consoles
primary# profiles -p "LDoms Consoles" \ 'set desc="Access LDoms Consoles"; set auths=solaris.vntsd.consoles'
primary# usermod -P "All,Basic Solaris User,LDoms Consoles" username
LDoms Consoles プロファイルを追加する際は、注意して既存のプロファイルを指定してください。前のコマンドは、ユーザーがすでに All およびBasic Solaris User プロファイルを持っていることを示しています。
primary# usermod -P +"LDoms Consoles" username
$ telnet 0 5000
例 3-3 権利プロファイルの使用によるすべてのドメインコンソールへのアクセスの制御
次の例は、権利プロファイルを使用してすべてのドメインコンソールへのアクセスを制御する方法を示しています。
Oracle Solaris 10: /etc/security/prof_attr ファイルに次のエントリを追加して、solaris.vntsd.consoles 承認を持つ権利プロファイルを作成します。
LDoms Consoles:::Access LDoms Consoles:auths=solaris.vntsd.consoles
権利プロファイルを username に割り当てます。
primary# usermod -P "All,Basic Solaris User,LDoms Consoles" username
次のコマンドは、ユーザーが sam であり、All、Basic Solaris User、および LDoms Consoles 権利プロファイルが有効であることを確認する方法を示しています。telnet コマンドは、ldg1 ドメインコンソールにアクセスする方法を示します。
$ id uid=702048(sam) gid=1(other) $ profiles All Basic Solaris User LDoms Consoles $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg1" in group "ldg1" .... Press ~? for control options ..
Oracle Solaris 11: profiles コマンドを使用して、/etc/security/prof_attr ファイルに solaris.vntsd.consoles 承認を持つ権利プロファイルを作成します。
primary# profiles -p "LDoms Consoles" \ 'set desc="Access LDoms Consoles"; set auths=solaris.vntsd.consoles'
権利プロファイルをユーザーに割り当てます。
primary# usermod -P +"LDoms Consoles" sam
次のコマンドは、ユーザーが sam であり、All、Basic Solaris User、および LDoms Consoles 権利プロファイルが有効であることを確認する方法を示しています。telnet コマンドは、ldg1 ドメインコンソールにアクセスする方法を示します。
$ id uid=702048(sam) gid=1(other) $ profiles All Basic Solaris User LDoms Consoles $ telnet 0 5000 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connecting to console "ldg1" in group "ldg1" .... Press ~? for control options ..
primary# svccfg -s vntsd setprop vntsd/authorization = true primary# svcadm refresh vntsd primary# svcadm restart vntsd
承認名は、ドメインの名前から派生し、solaris.vntsd.console-domain-name の形式になります。
solaris.vntsd.console-domain-name:::Access domain-name Console::
primary# roleadd -A solaris.vntsd.console-domain-name role-name primary# passwd role-name New Password: Re-enter new Password: passwd: password successfully changed for role-name
primary# usermod -R role-name username
例 3-4 1 つのドメインコンソールへのアクセス
この例は、ユーザー terry が ldg1cons 役割になり、ldg1 ドメインコンソールにアクセスする方法を示しています。
最初に、1 つのドメイン ldg1 に対する承認を /etc/security/auth_attr ファイルに追加します。
solaris.vntsd.console-ldg1:::Access ldg1 Console::
次に、ドメインのコンソールへのアクセスのみを許可する、新しい承認を持つ役割を作成します。
primary# roleadd -A solaris.vntsd.console-ldg1 ldg1cons primary# passwd ldg1cons New Password: Re-enter new Password: passwd: password successfully changed for ldg1cons
ldg1cons 役割をユーザー terry に割り当てて、ldg1cons 役割になり、ドメインコンソールにアクセスします。
primary# usermod -R ldg1cons terry primary# su terry Password: $ id uid=700300(terry) gid=1(other) $ su ldg1cons Password: $ id uid=700303(ldg1cons) gid=1(other) $ telnet 0 5000 Trying 0.0.0.0... Escape character is '^]'. Connecting to console "ldg1" in group "ldg1" .... Press ~? for control options ..
次は、ユーザー terry が ldg2 ドメインコンソールにアクセスできないことを示しています。
$ telnet 0 5001 Trying 0.0.0.0... Connected to 0. Escape character is '^]'. Connection to 0 closed by foreign host.
primary# svccfg -s vntsd setprop vntsd/authorization = true primary# svcadm refresh vntsd primary# svcadm restart vntsd
次の例のエントリは、ドメインコンソールに対する承認を追加します。
solaris.vntsd.console-domain-name:::Access domain-name Console::
domain-name Console:::Access domain-name Console:auths=solaris.vntsd.console-domain-name
このエントリは 1 行に収める必要があります。
primary# profiles -p "domain-name Console" \ 'set desc="Access domain-name Console"; set auths=solaris.vntsd.console-domain-name'
次のコマンドは、プロファイルをユーザーに割り当てます。
primary# usermod -P "All,Basic Solaris User,domain-name Console" username
All および Basic Solaris User プロファイルは必須です。
primary# usermod -P +"domain-name Console" username