Accéder au contenu France-Français
Accueil HP.com France Produits et Services Support et Pilotes Espaces Comment Acheter
» Contacter HP
Plus d'options
Accueil HP.com France
 HP Integrity Virtual Machines A.03.00 : Installation, configuration et administration > Chapitre 9 Gestion des invités

Création d'administrateurs et d'opérateurs d'invités
» 

Documentation technique

Manuel complet en PDF
» Documents connexes
» Commentaires
Début du contenu

 » Table des matières

 » Glossaire

 » Index

spacerspacerspacer
spacer
spacer
  		 
 

Integrity VM fournit un accès sécurisé aux consoles de machines invitées. Lorsque vous créez la machine virtuelle, vous pouvez spécifier des comptes de groupes et d'utilisateurs qui auront des privilèges d'administrateur ou d'opérateur sur cet invité. Ces utilisateurs sont autorisés à ouvrir une session sur le VM Host sous leur propre compte d'utilisateur et à utiliser la commande hpvmconsole pour effectuer des tâches d'administration sur la machine virtuelle invitée.

Un compte de console virtuelle captif est un compte d'utilisateur à usage spécial créé sur le VM Host pour chaque administrateur ou opérateur d'invité. Ces types de comptes d'utilisateurs utilisent /opt/hpvm/bin/hpvmconsole comme shell et le répertoire d'invité souhaité comme répertoire personnel. Pour l'accès à la console virtuelle, le compte requiert également un mot de passe et un accès à son invité associé.

Avant de créer la machine virtuelle, utilisez la commande useradd pour créer des comptes d'utilisateurs pour l'accès à la console virtuelle. Par exemple, la commande suivante ajoute le compte d'utilisateur testme :

# useradd -r no -g users -s /opt/hpvm/bin/hpvmconsole \
 -c "Console access to guest 'testme'" \
 -d /var/opt/hpvm/guests/testme \
 testme1

N'utilisez pas le groupe hpvmsys pour les comptes d'utilisateurs. Ce groupe est utilisé pour l'isolement de sécurité entre les composants d'Integrity VM.

Ces types d'utilisateurs de console sont spécifiés comme admin (administrateurs d'invités) et oper (opérateurs d'invités). Les opérateurs d'invités peuvent accéder à la console de machine virtuelle, arrêter et réamorcer l'invité, afficher l'état du système, transférer le contrôle à un autre opérateur ou administrateur d'invité et définir l'identification du système. L'administrateur d'invité possède toutes ces capacités, plus celle à utiliser les commandes say de console virtuelle (limitées à une utilisation par les spécialistes de support technique sur site HP).

Vous pouvez spécifier les administrateurs et opérateurs d'invités à l'aide des commandes hpvmcreate, hpvmmodify, hpvmmigrate et hpvmclone. Incluez l'option -g pour affecter des privilèges d'administrateur ou d'opérateur à un groupe d'utilisateurs. Utilisez l'option -u pour affecter des privilèges d'administrateur ou d'opérateur à un utilisateur spécifique.

REMARQUE : Les utilisateurs de console ne peuvent pas utiliser la commande su pour basculer d'un niveau de privilège à un autre. Les vérifications par utilisateur sont basées sur des identificateurs de compte de connexion, et non sur des UUID.

La commande suivante crée la machine virtuelle nommée testme avec l'administrateur nommé testme1 :

# hpvmcreate -P testme -u testme1:admin

Les opérateurs et administrateurs d'invités nécessitent un accès à la commande hpvmconsole pour contrôler la machine virtuelle. Si vous ne souhaitez pas que les mêmes utilisateurs aient accès au VM Host, vous pouvez limiter l'utilisation de la commande hpvmconsole à l'accès à la console d'invité uniquement en créant un compte limité à cette intention, de la manière suivante : Pour cela, procédez comme suit :

  1. À l'aide de la commande useradd, configurez une entrée /etc/passwd pour chaque invité sur le VM Host. Le nom d'utilisateur du compte doit être identique au nom d'invité et ne doit pas comporter plus de huit caractères. Par exemple :

    # useradd -d /var/opt/hpvm/guests/compass1 \
-c 'compass1 console' -s /opt/hpvm/bin/hpvmconsole guest1

    Cet exemple utilise les options suivantes :

    • L'option -d spécifie le répertoire de base pour le compte guest1.

    • L'option -c spécifie une chaîne de texte de commentaire qui décrit le compte.

    • L'option -s spécifie le chemin d'accès au shell du nouveau compte.

  2. Utilisez la commande passwd pour définir un mot de passe pour le compte. Par exemple :

    # passwd guest1

  3. Utilisez la commande hpvmmodifiy pour fournir à l'utilisateur des privilèges d'administration d'invité :

    #hpvmmodify -P winguest1 -u compass1:admin

Un administrateur d'invité peut maintenant accéder à la console virtuelle compass1 à l'aide de la commande ssh ou telnet sur le VM Host et en se connectant au compte compass1. L'administrateur d'invité ne peut pas utiliser la commande su.

REMARQUE : Pour des raisons de sécurité, HP recommande vivement de ne pas inclure /opt/hpvm/bin/hpvmconsole (l'image de console virtuelle) dans /etc/shells, car cela ouvre deux failles de sécurité :

  • Cela autorise l'accès ftp au compte.

  • Cela autorise un utilisateur ordinaire à sélectionner l'image avec la commande chsh.

Voici un exemple de session d'accès distant à la console virtuelle compass1 sur le VM Host myhost :

# telnet compass1

Trying 16.xx.yy.zz...
Connected to compass1.rose.com.
Escape character is '^]'.

HP-UX compass B.11.23 U ia64 (ta)

login: guest1
Password: 
Please wait...checking for disk quotas


   MP MAIN MENU

         CO: Console
         CM: Command Menu
         CL: Console Log
         SL: Show Event Logs
         VM: Virtual Machine Menu
         HE: Main Help Menu
          X: Exit Connection

[compass1] vMP>

L'interface de console virtuelle affiche des caractères bruts pour les commandes CL and CO, y compris les tentatives de l'invité pour interroger le terminal de console afin de déterminer son type et ses caractéristiques. En conséquence, le terminal répond à ces demandes, ce qui peut entraîner un risque d'interférence entre les communications de configuration de terminal et les commandes de console virtuelle. Les utilisateurs interactifs peuvent effacer l'écran. Cette situation peut toutefois poser un problème pour l'utilisation non interactive ou par script de la console.



Contrôle des invités
  		 


Installation du logiciel de gestion d'invité  
Version imprimable
Respect de la vie privée L'utilisation de ce site implique que vous en acceptez les conditions
© 2007 Hewlett-Packard Development Company, L.P.