如果使用 Oracle Solaris 的权限功能管理系统,请使用此过程提供网络管理角色或网络安全角色。
开始之前
您必须承担 root 角色才能创建和指定角色。一般用户可以列出并查看可用权限配置文件的内容。
% getent prof_attr | grep Network | more ... Network Management:RO::Manage the host and network configuration... Network Security:RO::Manage network and host security...:profiles=Network Wifi Security,Network Link Security,Network IPsec Management... Network Wifi Management:RO::Manage wifi network configuration... Network Wifi Security:RO::Manage wifi network security... Network Link Security:RO::Manage network link security... Network IPsec Management:RO::Manage IPsec and IKE... System Administrator:RO::Can perform most non-security administrative tasks: profiles=...Network Management... Information Security:RO::Maintains MAC and DAC security policies: profiles=...Network Security...
Network Management(网络管理)配置文件是 System Administrator(系统管理员)配置文件的补充配置文件。如果您将 System Administrator(系统管理员)权限配置文件纳入角色,则此角色可以执行 Network Management(网络管理)配置文件中的命令。
% profiles -p "Network Management" info ... cmd=/usr/sbin/dladm cmd=/usr/sbin/dlstat ... cmd=/usr/sbin/svcadm cmd=/usr/sbin/svccfg cmd=/usr/sbin/dumpcap
使用Step 1 中的权限配置文件定义指导您做出决定。
要创建处理所有网络安全的角色,请使用 Network Security(网络安全)权限配置文件。
要创建只处理 IPsec 和 IKE 的角色,请使用 Network IPsec Management(网络 IPsec 管理)权限配置文件。
要创建处理网络管理和安全的角色,除 "Network Management"(网络管理)配置文件以外,请使用 "Network Security"(网络安全)或 "Network IPsec Management"(网络 IPsec 管理)权限配置文件。
有关步骤,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的创建角色和Example 7–7。
在本示例中,管理员向一个角色分配两个权限配置文件,即 "Network Management"(网络管理)和 "Network Security"(网络安全)。然后,管理员将角色分配给可信用户。
# roleadd -c "Network Mgt and Security" \ -S ldap -K profiles="Network Management Plus" netmgtsec # passwd netmgtsec New Password: xxxxxxxx Confirm password: xxxxxxxx # usermod -R netmgtsec jdoe
在 jdoe 承担 netmgtsec 角色后,配置文件中的权限可供用户 jdoe 使用。
% su - netsecmgt Password: xxxxxxxx #示例 7-6 在角色之间划分网络安全职责
在此示例中,管理员要在两个角色之间划分网络安全职责。其中一个角色负责管理 Wifi 和链路安全,另一个角色负责管理 IPsec 和 IKE。为每个角色指定三个人,一人一班。
管理员创建的角色如下:
管理员将第一个角色命名为 LinkWifi。
管理员将 Network Wifi(网络 Wifi)、Network Link Security(网络链路安全)和 Network Management(网络管理)权限配置文件指定给该角色。
管理员将 LinkWifi 角色分配给适当的用户。
管理员将第二个角色命名为 IPsec Administrator。
管理员将 Network IPsec Management(网络 IPsec 管理)和 Network Management(网络管理)权限配置文件指定给该角色。
管理员将 "IPsec Administrator"(IPsec 管理员)角色分配给适当的用户。
在本示例中,管理员让一个用户负责配置和管理 IPsec。
除了 "Network Management"(网络管理)和 "IPsec Network Management"(IPsec 网络管理)权限配置文件,管理员还赋予用户编辑 hosts 文件的能力以及读取日志的能力。
管理员创建两个权限配置文件,一个用于编辑文件,另一个用于读取日志。
# profiles -p -S LDAP "Hosts Configuration"
profiles:Network Configuration> set desc="Edits root-owned network files"
...Configuration> add auth=solaris.admin.edit/etc/hosts
...Configuration> commit
...Configuration> end
...Configuration> exit
# profiles -p -S LDAP "Read Network Logs"
profiles:Read Network Logs> set desc="Reads root-owned network log files"
...Logs> add cmd=/usr/bin/more
...Logs:more>set privs={file_dac_read}:/var/user/ikeuser/*
...Logs:more>set privs={file_dac_read}:/var/log/ikev2/*
...Logs:more> set privs={file_dac_read}:/etc/inet/ike/*
...Logs:more> set privs={file_dac_read}:/etc/inet/secret/*
...Logs:more>end
...Logs> add cmd=/usr/bin/tail
...Logs:tail>set privs={file_dac_read}:/var/user/ikeuser/*
...Logs:tail>set privs={file_dac_read}:/var/log/ikev2/*
...Logs:tail>set privs={file_dac_read}:/etc/inet/ike/*
...Logs:tail> set privs={file_dac_read}:/etc/inet/secret/*
...Logs:tail>end
...Logs> add cmd=/usr/bin/page
...Logs:page>set privs={file_dac_read}:/var/user/ikeuser/*
...Logs:page>set privs={file_dac_read}:/var/log/ikev2/*
...Logs:page>set privs={file_dac_read}:/etc/inet/ike/*
...Logs:page> set privs={file_dac_read}:/etc/inet/secret/*
...Logs:page>end
...Logs> exit
通过权限配置文件,用户可以使用 more、tail 和 page 命令读取日志。cat 和 head 命令无法使用。
管理员创建权限配置文件,允许用户执行 IPsec 及其加密服务的所有配置和管理任务。
# profiles -p "Site Network Management" profiles:Site Network Management> set desc="Handles all network files and logs" ...Management> add profiles="Network Management" ...Management> add profiles="Network IPsec Management" ...Management> add profiles="Hosts Configuraton" ...Management> add profiles="Read Network Logs" ...Management> commit; end; exit
管理员为配置文件创建一个角色,为角色分配一个口令,然后将角色分配给了解网络和安全的可信用户。
# roleadd -S LDAP -c "Network Management Guru" \ -m -K profiles="Site Network Management" netadm # passwd netadm Password: xxxxxxxx Confirm password: xxxxxxxx # usermod -S LDAP -R +netadm jdoe
在带外,管理员为 jdoe 提供角色口令。