在 Oracle® Solaris 11.2 中配置和管理网络组件

退出打印视图

更新时间: 2014 年 7 月
 
 

使用基于配置文件的网络配置的安全要求

netcfgd 守护进程控制存储所有网络配置信息的系统信息库。netcfg 命令、网络管理 GUI 和 nwamd 守护进程都会向 netcfgd 守护进程发送访问系统信息库的请求。

    当前网络配置实现使用以下授权执行特定的任务:

  • solaris.network.autoconf.read-允许读取网络配置文件数据,由 netcfgd 守护进程验证。

  • solaris.network.autoconf.write-允许写入网络配置文件数据,由 netcfgd 守护进程验证。

  • solaris.network.autoconf.select-允许应用新的配置数据,由 nwamd 守护进程验证。

  • solaris.network.autconf.wlan-允许写入已知 WLAN 配置数据。

这些授权在 auth_attr 数据库中注册。请参见 auth_attr(4) 手册页。

solaris.network.autoconf.read 授权包含在 "Basic Solaris User"(基本 Solaris 用户)权限配置文件中,该配置文件缺省指定给所有用户。具有此授权的任何用户因此能够查看当前网络状态和所有网络配置文件的内容。

提供了两个其他权限配置文件:"Network Autoconf User"(网络自动配置用户)和 "Network Autoconf Admin"(网络自动配置管理员)。"Network Autoconf User"(网络自动配置用户)配置文件具有 readselectwlan 授权。"Network Autoconf Admin"(网络自动配置管理员)配置文件添加了 write 授权。"Network Autoconf User"(网络自动配置用户)配置文件将指定给 "Console User"(控制台用户)配置文件。缺省情况下,登录到控制台的任何人都可以查看、启用和禁用配置文件。因为没有向 "Console User"(控制台用户)配置文件指定 solaris.network.autoconf.write 授权,所以拥有该授权的用户不能创建或修改 NCP、NCU、位置或 ENM。不过,"Console User"(控制台用户)配置文件可以查看、创建和修改 WLAN。

具有 "Basic Solaris User"(基本 Solaris 用户)权限配置文件的任何用户都可以使用 netcfgnetadm 命令查看网络配置文件。缺省情况下该配置文件会指定给所有用户。

具有 "Network Autoconf User"(网络自动配置用户)或 "Console User"(控制台用户)配置文件的任何用户还可以使用 netadm 命令启用配置文件。"Console User"(控制台用户)配置文件会自动指定给从 /dev/console 登录到系统的用户。

要使用 netcfg 命令修改网络配置文件,需要 solaris.network.autoconf.write 授权或 "Network Autoconf Admin"(网络自动配置管理员)配置文件。

例如,如下所示确定与 "Console User"(控制台用户)权限配置文件相关联的特权:

$ profiles -p "Console User" info
	name=Console User
	desc=Manage System as the Console User
	auths=solaris.system.shutdown,solaris.device.cdrw,solaris.devinde.mount.removable,
	solaris.smf.manage.vbiosd,solaris.smf.value.vbiosd
	profiles=Suspend To RAM,Suspend To Disk,Brightness,CPU
	Power Management,Network Autoconf User,Desktop Removable Media User
	help=RtConsUser.html