ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle VM Server for SPARC 3.0 管理ガイド Oracle VM Server for SPARC (日本語) |
パート I Oracle VM Server for SPARC 3.0 ソフトウェア
1. Oracle VM Server for SPARC ソフトウェアの概要
3. Oracle VM Server for SPARC のセキュリティー
役割を使用してすべてのドメインコンソールへのアクセスを制御する方法
権利プロファイルを使用してすべてのドメインコンソールへのアクセスを制御する方法
役割を使用して 1 つのコンソールへのアクセスを制御する方法
権利プロファイルを使用して 1 つのコンソールへのアクセスを制御する方法
パート II オプションの Oracle VM Server for SPARC ソフトウェア
13. Oracle VM Server for SPARC 物理から仮想への変換ツール
14. Oracle VM Server for SPARC Configuration Assistant (Oracle Solaris 10)
16. Oracle VM Server for SPARC 管理情報ベース (MIB) ソフトウェアの使用
17. Logical Domains Manager の検出
Logical Domains Manager パッケージは、2 つの定義済みの役割ベースのアクセス制御 (RBAC) 権利プロファイルを、ローカル RBAC 構成に追加します。これらの権利プロファイルを使用して、特権のないユーザーに次の管理権限を委任できます。
LDoms Management プロファイルは、ユーザーにすべての ldm サブコマンドの使用を許可します。
LDoms Review プロファイルは、ユーザーにすべてのリスト関連の ldm サブコマンドの使用を許可します。
これらの権利プロファイルは、ユーザー、またはその後ユーザーに割り当てられる役割に、直接割り当てることができます。これらのプロファイルのいずれかがユーザーに直接割り当てられている場合、ドメインを管理するために ldm コマンドを正常に使用するには、pfexec コマンド、または pfbash または pfksh などのプロファイルシェルを使用する必要があります。役割または権利プロファイルのどちらを使用するかは、使用している RBAC 構成に基づいて決定します。『System Administration Guide: Security Services 』または『Oracle Solaris 11.1 Administration: Security Services』のパート III「Roles, Rights Profiles, and Privileges」を参照してください。
ユーザー、承認、権利プロファイル、および役割は、次の方法で構成できます。
ファイルを使用してシステム上でローカルで構成する
LDAP などのネームサービスで一元的に構成する
Logical Domains Manager をインストールすると、必要な権利プロファイルがローカルファイルに追加されます。ネームサービスでプロファイルおよび役割を構成するには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。この章の例はすべて、RBAC 構成がローカルファイルを使用すると仮定しています。Logical Domains Manager パッケージによって提供される承認および実行属性の概要は、「Logical Domains Manager プロファイルの内容」を参照してください。
注意 - usermod および rolemod コマンドを使用して承認、権利プロファイル、または役割を追加する際は、注意してください。
|
次の手順は、ローカルファイルを使用してシステム上のユーザー権利プロファイルを管理する方法を示しています。ネームサービスでユーザープロファイルを管理するには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。
LDoms Management プロファイルに直接割り当てられているユーザーは、プロファイルシェルを起動し、ldm コマンドをセキュリティー属性を使用して実行する必要があります。詳細は、『System Administration Guide: Security Services 』または『Oracle Solaris 11.1 Administration: Security Services』のパート III「Roles, Rights Profiles, and Privileges」を参照してください。
Oracle Solaris 10 の場合は、『System Administration Guide: Security Services』の「Configuring RBAC (Task Map)」を参照してください。Oracle Solaris 11.1 の場合は、『Oracle Solaris 11.1 Administration: Security Services』のパート III「Roles, Rights Profiles, and Privileges」を参照してください。
LDoms Review プロファイルまたは LDoms Management プロファイルのいずれかをユーザーアカウントに割り当てることができます。
# usermod -P "profile-name" username
次のコマンドは、LDoms Management プロファイルをユーザー sam に割り当てます。
# usermod -P "LDoms Management" sam
次の手順は、ローカルファイルを使用して役割を作成し、ユーザーに割り当てる方法を示しています。ネームサービスで役割を管理するには、『System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 』を参照してください。
この手順を使用する利点は、特定の役割が割り当てられたユーザーだけがその役割になれることです。役割にパスワードが割り当てられている場合は、その役割になるときにパスワードが必要です。次の 2 つのセキュリティー階層は、パスワードを保有するユーザーが、割り当てられていない役割になることを防止します。
Oracle Solaris 10 の場合は、『System Administration Guide: Security Services』の「Configuring RBAC (Task Map)」を参照してください。Oracle Solaris 11.1 の場合は、『Oracle Solaris 11.1 Administration: Security Services』のパート III「Roles, Rights Profiles, and Privileges」を参照してください。
# roleadd -P "profile-name" role-name
新しいパスワードを指定し、確認するようにプロンプトが表示されます。
# passwd role-name
# useradd -R role-name username
新しいパスワードを指定し、確認するようにプロンプトが表示されます。
# passwd username
# su username
$ id uid=nn(username) gid=nn(group-name) $ roles role-name
$ su role-name
$ id uid=nn(role-name) gid=nn(group-name)
例 3-1 役割の作成とユーザーへの割り当て
次の例では、ldm_read の役割を作成し、その役割を user_1 ユーザーに割り当てて user_1 ユーザーになり、ldm_read の役割を引き受けます。
# roleadd -P "LDoms Review" ldm_read # passwd ldm_read New Password: ldm_read-password Re-enter new Password: ldm_read-password passwd: password successfully changed for ldm_read # useradd -R ldm_read user_1 # passwd user_1 New Password: user_1-password Re-enter new Password: user_1-password passwd: password successfully changed for user_1 # su user_1 Password: user_1-password $ id uid=95555(user_1) gid=10(staff) $ roles ldm_read $ su ldm_read Password: ldm_read-password $ id uid=99667(ldm_read) gid=14(sysadmin)
Logical Domains Manager パッケージは、次の RBAC プロファイルをローカルの /etc/security/prof_attr ファイルに追加します。
LDoms Review:::Review LDoms configuration:profiles=auths=solaris.ldoms.read LDoms Management:::Manage LDoms domains:profiles=auths=solaris.ldoms.*
Logical Domains Manager パッケージは、LDoms Management プロファイルに関連付けられている次の実行属性も、ローカルの /etc/security/exec_attr ファイルに追加します。
LDoms Management:suser:cmd:::/usr/sbin/ldm:privs=file_dac_read,file_dac_search
ldm サブコマンドと、そのコマンドの実行に必要な対応するユーザー承認を次の表に示します。
表 3-1 ldm サブコマンドおよびユーザー承認
|