Configuración de RBAC

RBAC se puede configurar con las siguientes utilidades:

Interfaz gráfica de usuario de Solaris Management Console: el método preferido para realizar tareas relacionadas con RBAC es por medio de la interfaz gráfica de usuario. Las herramientas de la consola para gestionar los elementos de RBAC se incluyen en el conjunto de la herramienta Users.
Comandos de Solaris Management Console: con las interfaces de línea de comandos de Solaris Management Console, como smrole, puede trabajar en cualquier servicio de nombres. Los comandos de Solaris Management Console requieren autenticación para conectarse con el servidor. Como resultado, estos comandos no resultan prácticos para usar en secuencias de comandos.
Comandos locales: con el conjunto de interfaces de línea de comandos user* y role*, como useradd, puede trabajar en archivos locales solamente. Los comandos que funcionan en archivos locales deben ser ejecutados por un superusuario o por un rol con los privilegios adecuados.

Cómo planificar la implementación de RBAC

RBAC puede ser una parte integral de la manera en que una organización gestiona sus recursos de información. La planificación requiere un conocimiento exhaustivo de las capacidades de RBAC, así como de los requisitos de seguridad de la organización.

Aprenda los conceptos básicos de RBAC.
Lea Control de acceso basado en roles (descripción general). Usar RBAC para administrar un sistema es muy diferente a utilizar las prácticas administrativas UNIX convencionales. Debe estar familiarizado con los conceptos de RBAC antes de iniciar la implementación. Para obtener más detalles, consulte el Capítulo 10Control de acceso basado en roles (referencia).
Examine la política de seguridad.
La política de seguridad de la organización debe detallar las amenazas potenciales para el sistema, medir el riesgo de cada amenaza y tener una estrategia para contrarrestar estas amenazas. Aislar las tareas relacionadas con la seguridad a través de RBAC puede ser parte de la estrategia. Aunque puede instalar los roles recomendados y sus configuraciones como están, es posible que deba personalizar la configuración de RBAC para cumplir con la política de seguridad.
Decida qué nivel de RBAC necesita la organización.
En función de las necesidades de seguridad, puede utilizar distintos grados de RBAC, como se muestra a continuación:
- Sin RBAC: puede realizar todas las tareas como usuario root. En esta configuración, debe iniciar sesión con su usuario. Luego, debe escribir root como usuario cuando seleccione una herramienta de Solaris Management Console.
- Rol único solamente: este método agrega un rol. Se asigna al rol único el perfil de derechos de administrador principal. Este método es similar al modelo de superusuario, ya que el rol tiene capacidades de superusuario. Sin embargo, este método permite realizar un seguimiento del usuario que asumió el rol.
- Roles recomendados: este método crea tres roles que se basan en los siguientes perfiles de derechos: administrador principal, administrador del sistema y operador. Los roles son adecuados para las organizaciones con administradores con diferentes niveles de responsabilidad.
- Roles personalizados: puede crear sus propios roles para cumplir con los requisitos de seguridad de la organización. Los nuevos roles se pueden basar en perfiles de derechos existentes o personalizados. Para personalizar los perfiles de derechos que aplican la separación de tareas, consulte Creación de roles y usuarios en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.
- Usuario root como rol: este método impide que cualquier usuario inicie sesión como root. En su lugar, los usuarios deben iniciar sesión como usuarios comunes antes de asumir el rol root. Para obtener detalles, consulte Cómo convertir el usuario root en un rol.
Decida qué roles recomendados son adecuados para la organización.
Revise las capacidades de los roles recomendados y los perfiles de derechos predeterminados. Los perfiles de derechos predeterminados permiten a los administradores configurar un rol recomendado por medio de un único perfil.

Hay tres perfiles de derechos predeterminados disponibles para configurar los roles recomendados:
- Perfil de derechos de administrador principal: para configurar un rol que pueda llevar a cabo todas las tareas administrativas, pueda otorgar derechos a otros usuarios y pueda editar los derechos asociados a roles administrativos. Un usuario con este rol puede asignar este rol a otros usuarios y puede otorgar derechos a otros usuarios.
- Perfil de derechos de administrador del sistema: para configurar un rol que pueda realizar la mayoría de las tareas administrativas que no están relacionados con la seguridad. Por ejemplo, el administrador del sistema puede agregar nuevas cuentas de usuario, pero no puede definir contraseñas ni otorgar derechos a otros usuarios.
- Perfil de derechos de operador: para configurar un rol que pueda realizar tareas administrativas sencillas, como copias de seguridad de medios y mantenimiento de impresoras.
Para examinar de forma más detallada los perfiles de derechos, lea uno de los siguientes temas:
- En el directorio /etc/security, lea el contenido de la base de datos prof_attr y la base de datos exec_attr.
- En Solaris Management Console, utilice la herramienta Rights para mostrar el contenido de un perfil de derechos.
- En esta guía, consulte Contenido de los perfiles de derechos para obtener resúmenes de algunos perfiles de derechos típicos.
Decida si otros roles o perfiles de derechos son adecuados para la organización.
Busque otras aplicaciones o familias de aplicaciones en su sitio que puedan beneficiarse del acceso restringido. Las aplicaciones que afectan la seguridad, que pueden causar problemas de denegación del servicio, o que requieren una formación de administrador especial son opciones apropiadas para RBAC. Puede personalizar roles y perfiles de derechos para gestionar los requisitos de seguridad de la organización.
1. Determine qué comandos son necesarios para la nueva tarea.
2. Decida qué perfil de derechos es adecuado para esta tarea.
  Compruebe si un perfil de derechos existente puede gestionar esta tarea o si es necesario crear un perfil de derechos independiente.
3. Determine qué rol es adecuado para este perfil de derechos.
  Decida si el perfil de derechos para esta tarea se debe asignar a un rol existente o si es necesario crear un nuevo rol. Si utiliza un rol existente, compruebe que los demás perfiles de derechos sean adecuados para los usuarios que están asignados a este rol.
Decida qué usuarios se deben asignar a los roles disponibles.
Según el principio de privilegio mínimo, debe asignar los usuarios a roles que sean adecuados para su nivel de confianza. Al impedir el acceso de usuarios a tareas que los usuarios no necesitan realizar, se reducen los problemas potenciales.

Cómo crear y asignar un rol con la interfaz gráfica de usuario

Para crear un nuevo rol, puede ser superusuario o puede utilizar el rol de administrador principal. En este procedimiento, el creador del nuevo rol asumió el rol de administrador principal.

Antes de empezar

Ya creó usuarios que pueden asumir un rol en su sitio. Si los usuarios aún no se crearon, créelos siguiendo las instrucciones detalladas en Uso de las herramientas de gestión de Solaris con RBAC (mapa de tareas) de Guía de administración del sistema: administración básica.
Se le asignó el rol de administrador principal siguiendo los procedimientos descritos en Uso de las herramientas de gestión de Solaris con RBAC (mapa de tareas) de Guía de administración del sistema: administración básica.

Inicie Solaris Management Console.
```
# /usr/sbin/smc &
```
Para obtener instrucciones relacionadas con el inicio de sesión, consulte Cómo asumir un rol en Solaris Management Console.
Haga clic en el icono Administrative Roles.
Seleccione Add Administrative Role en el menú Action.
Para crear un nuevo rol, complete los campos de la serie de cuadros de diálogo.
Para conocer los posibles roles, consulte del Ejemplo 9-1 al Ejemplo 9-4.

Consejo - Todas las herramientas de Solaris Management Console muestran información en la sección inferior de la página o en la parte izquierda de un panel de asistente. Seleccione Help en cualquier momento para buscar información adicional sobre cómo realizar tareas en esta interfaz.
Asigne el rol a un usuario.
Consejo - Después de completar las propiedades del rol, el último cuadro de diálogo le solicita un usuario para el rol.
En una ventana de terminal, reinicie el daemon de antememoria de servicio de nombres.
```
# svcadm restart system/name-service-cache
```
Para obtener más información, consulte las páginas del comando man svcadm(1M) y nscd(1M).

Ejemplo 9-1 Creación de un rol para el perfil de derechos de administrador del sistema

En este ejemplo, el nuevo rol puede realizar tareas de administración del sistema que no estén conectadas con la seguridad. El rol se crea siguiendo el procedimiento anterior con los siguientes parámetros:

Nombre del rol: sysadmin
Nombre completo del rol: System Administrator
Descripción del rol: Performs non-security admin tasks
Perfil de derechos: System Administrator

Este perfil de derechos está en la parte superior de la lista de perfiles incluidos en el rol.

Ejemplo 9-2 Creación de un rol para el perfil de derechos de operador

El perfil de derechos de operador puede gestionar impresoras y realizar copias de seguridad del sistema en medios sin conexión. Es posible que desee asignar el rol a un usuario en cada turno. Para ello, debe seleccionar la opción de lista de correo del rol en el cuadro de diálogo Step 1: Enter a Role Name. El rol se crea siguiendo el procedimiento anterior con los siguientes parámetros:

Nombre del rol: operadm
Nombre completo del rol: Operator
Descripción del rol: Backup operator
Perfil de derechos: Operator

Este perfil de derechos debe estar en la parte superior de la lista de perfiles incluidos en el rol.

Ejemplo 9-3 Creación de un rol para un perfil de derechos relacionados con la seguridad

De manera predeterminada, el único perfil de derechos que contiene comandos y derechos relacionados con la seguridad es el perfil de administrador principal. Si desea crear un rol que no sea tan poderoso como el administrador principal, pero que pueda gestionar algunas tareas relacionadas con la seguridad, debe crear el rol.

En el siguiente ejemplo, el rol protege dispositivos. El rol se crea siguiendo el procedimiento anterior con los siguientes parámetros:

Nombre del rol: devicesec
Nombre completo del rol: Device Security
Descripción del rol: Configures Devices
Perfil de derechos: Device Security

En el siguiente ejemplo, el rol protege los sistemas y hosts de la red. El rol se crea siguiendo el procedimiento anterior con los siguientes parámetros:

Nombre del rol: netsec
Nombre completo del rol: Network Security
Descripción del rol: Handles IPsec, IKE, and SSH
Perfil de derechos: Network Security

Ejemplo 9-4 Creación de un rol para un perfil de derechos con ámbito limitado

Algunos perfiles de derechos son de alcance limitado. En este ejemplo, la única tarea del rol es gestionar DHCP. El rol se crea siguiendo el procedimiento anterior con los siguientes parámetros:

Nombre del rol: dhcpmgt
Nombre completo del rol: DHCP Management
Descripción del rol: Manages Dynamic Host Config Protocol
Perfil de derechos: DHCP Management

Ejemplo 9-5 Modificación de la asignación de rol de un usuario

En este ejemplo, se agrega un rol a un usuario existente. Para modificar la asignación de rol del usuario, haga clic en el icono User Accounts en la herramienta Users de Solaris Management Console, haga doble clic en el usuario y siga la ayuda en pantalla para agregar un rol a las capacidades del usuario.

Errores más frecuentes

Compruebe lo siguiente si el rol no tiene las capacidades que debería tener:

¿Los perfiles de derechos del rol están enumerados en la interfaz gráfica de usuario del más al menos poderoso?

Por ejemplo, si el perfil de derechos All está en la parte superior de la lista, no se ejecuta ningún comando con atributos de seguridad. Un perfil que contiene comandos con atributos de seguridad debe preceder al perfil de derechos All en la lista.
¿Los comandos de los perfiles de derechos del rol tienen los atributos de seguridad adecuados?

Por ejemplo, cuando la política es suser, algunos comandos requieren uid=0 en lugar de euid=0.
¿El perfil de derechos está definido en el ámbito de servicio de nombres adecuado? ¿El rol funciona en el ámbito de servicio de nombres donde está definido el perfil de derechos?
¿La antememoria de servicio de nombres, svc:/system/name-service-cache, se reinició?

El daemon nscd puede tener un intervalo de tiempo de vida prolongado. Al reiniciar el daemon, actualiza el nombre de servicios con los datos actuales.

Cómo crear un rol desde la línea de comandos

La interfaz gráfica de usuario de Solaris Management Console es el método preferido para gestionar RBAC. Para usar la interfaz gráfica de usuario, consulte Cómo crear y asignar un rol con la interfaz gráfica de usuario. También puede utilizar las interfaces de línea de comandos, como se describe en este procedimiento.

Nota - No intente administrar RBAC con la línea de comandos y la interfaz gráfica de usuario al mismo tiempo. En ese caso, se podrían realizar cambios en la configuración que entren en conflicto y el comportamiento sería impredecible. Puede utilizar ambas herramientas para administrar RBAC, pero no puede hacerlo simultáneamente.

Antes de empezar

Para crear un rol, debe asumir un rol que incluya el perfil de derechos de administrador principal, o bien cambiar al usuario root.

Asuma el rol de administrador principal o conviértase en superusuario.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
Seleccione uno de los siguientes comandos para crear un rol en la línea de comandos.
- Para los roles en el ámbito de servicio de nombres local, utilice el comando roleadd.
  Nota - El comando roleadd es más limitado que las interfaces de línea de comandos o la interfaz gráfica de usuario de Solaris Management Console. Después de ejecutar el comando roleadd, debe ejecutar el comando usermod para asignar el rol a un usuario. Y, a continuación, el usuario debe definir la contraseña para el rol, como se muestra en Cómo asignar un rol a un usuario local.
```
# roleadd -c comment \
-g group -m homedir -u UID -s shell \
-P profile rolename
```
  -c comentario
  
  Comentario que describe a nombre_rol.
  
  -g grupo
  
  Asignación de grupo para nombre_rol.
  
  -m dir_ppal
  
  Ruta del directorio principal para nombre_rol.
  
  -u UID
  
  UID para nombre_rol.
  
  -s shell
  
  Shell de inicio de sesión para nombre_rol. Este shell debe ser un shell de perfil.
  
  -P perfil
  
  Uno o varios perfiles de derechos para nombre_rol.
  
  nombre_rol
  
  Nombre del nuevo rol local.
- Utilice el comando smrole add.
  Este comando crea un rol en un servicio de nombres distribuido, como NIS, NIS+ o LDAP. Este comando se ejecuta como cliente del servidor de Solaris Management Console.
```
$ /usr/sadm/bin/smrole -D domain-name \ 
-r admin-role -l <Type admin-role password> \
add -- -n rolename -a rolename -d directory\
-F full-description -p profile
```
  -D nombre_dominio
  
  Nombre del dominio que desea gestionar.
  
  -r rol_admin
  
  Nombre del rol administrativo que puede modificar el rol. El rol administrativo debe tener la autorización solaris.role.assign. Si desea modificar un rol que asumió, el rol debe tener la autorización solaris.role.delegate.
  
  -l
  
  Petición de datos para la contraseña de rol_admin.
  
  --
  
  Separador obligatorio entre las opciones de autenticación y las opciones de subcomando.
  
  -n nombre_rol
  
  Nombre del nuevo rol.
  
  -c comentario
  
  Comentario que describe las capacidades del rol.
  
  -a nombre_usuario
  
  Nombre del usuario que puede asumir nombre_rol.
  
  -d directorio
  
  Directorio principal para nombre_rol.
  
  -F descripción_completa
  
  Descripción completa para nombre_rol. Esta descripción se muestra en la interfaz gráfica de usuario de Solaris Management Console.
  
  -p perfil
  
  Perfil de derechos que se incluye en las capacidades de nombre_rol. Esta opción proporciona comandos con capacidades administrativas al rol. Puede especificar varias opciones -p perfil.
Para aplicar los cambios, consulte Cómo asignar un rol a un usuario local.

Ejemplo 9-6 Creación de un rol de operador personalizado con el comando smrole

El comando smrole especifica un nuevo rol y sus atributos en un nombre de servicios. En el siguiente ejemplo, el administrador principal crea una nueva versión del rol de copia de seguridad de medios. El rol incluye el perfil de derechos de copia de seguridad de medios estándar, así como el perfil de derechos de gestión de FTP. Tenga en cuenta que el comando solicita una contraseña para el nuevo rol.

% su - primaryadm
Password: <Type primaryadm password> 
$ /usr/sadm/bin/smrole add -H myHost -- -c "FTP and Backup Operator" \
-n operadm2 -a janedoe -d /export/home/operadm \
-F "Backup/FTP Operator" -p "Media Backup" -p "FTP Management"
Authenticating as user: primaryadm

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <Type primaryadm password>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadm was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password ::<Type operadm2 password>

$ svcadm restart system/name-service-cache

El comando smrole con el subcomando list se utiliza para mostrar el nuevo rol:

$ /usr/sadm/bin/smrole list --
Authenticating as user: primaryadm

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <Type primaryadm password>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadm was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.
root                    0             Superuser
primaryadm            100             Most powerful role
sysadmin              101             Performs non-security admin tasks
operadm               102             Backup Operator
operadm2              103             Backup/FTP Operator

Tenga en cuenta que los perfiles de derechos que incluyen copia de seguridad de medios o restauración de medios proporcionan un rol con acceso a todo el sistema de archivos raíz. Por lo tanto, el administrador debe asignar esos perfiles de derechos a usuarios de confianza. El administrador también puede optar por no asignar estos perfiles de derechos. En este caso, sólo el superusuario puede realizar operaciones de copia de seguridad y restauración.

Cómo asignar un rol a un usuario local

Este procedimiento asigna un rol local a un usuario local, reinicia el daemon de antememoria de servicio de nombres y luego muestra cómo un usuario puede asumir el rol.

Para asignar un rol a un usuario en un servicio de nombres distribuido, consulte Cómo crear un rol desde la línea de comandos y Cómo cambiar las propiedades de un rol.

Antes de empezar

Ha agregado un rol local, como se describe en Cómo crear un rol desde la línea de comandos. Debe asumir un rol que incluya el perfil de derechos de administrador principal, o bien cambiar al usuario root.

Asigne el rol a un usuario local.
Si agregó un rol local con el comando roleadd, este paso es necesario. Este paso es opcional cuando utiliza el comando smrole y Solaris Management Console para crear un rol.
```
# usermod -u UID -R rolename login-name
```
-u UID

UID del usuario.

-R nombre_rol

Rol que se asignará al usuario.

nombre_inicio_sesión

Nombre de inicio de sesión del usuario.
Para aplicar los cambios, reinicie el daemon de antememoria de servicio de nombres.
```
# svcadm restart system/name-service-cache
```
Si agregó un rol con una interfaz de Solaris Management Console, vaya a Uso de roles (mapa de tareas). De lo contrario, continúe con el paso siguiente.
(Opcional) Para desbloquear la cuenta de rol, el usuario debe crear una contraseña.
Si agregó un rol local con el comando roleadd, este paso es necesario.
```
% su - rolename
Password: <Type rolename password>
Confirm Password: <Retype rolename password>
$
```

Ejemplo 9-7 Creación y asignación de un rol local desde la línea de comandos

En este ejemplo, se crea un rol para administrar la estructura criptográfica de Oracle Solaris. El perfil de derechos de gestión de criptografía contiene el comando cryptoadm para administrar los servicios criptográficos de hardware y software en un sistema local.

# roleadd -c "Cryptographic Services manager" \
-g 14 -m /export/home/cryptoadm -u 104 -s pfksh \
-P "Crypto Management" cryptomgt
# usermod -u 1111 -R cryptomgt
# svcadm restart system/name-service-cache
% su - cryptomgt
Password: <Type cryptomgt password>
Confirm Password: <Retype cryptomgt password>
$ /usr/ucb/whoami
cryptomgt
$

Para obtener información sobre la estructura criptográfica de Oracle Solaris, consulte el Capítulo 13Estructura criptográfica de Oracle Solaris (descripción general). Para administrar la estructura, consulte Administración de la estructura criptográfica (mapa de tareas).

Cómo auditar roles

Las acciones que realiza un rol se pueden auditar. En el registro de auditoría, se incluye el nombre de inicio de sesión del usuario que asumió el rol, el nombre del rol y la acción que realizó el rol. El evento de auditoría 6180:AUE_prof_cmd:profile command:ua,as recopila la información. Al preseleccionar la clase as o la clase ua, puede auditar acciones de roles.

Planifique la auditoría y edite los archivos de configuración de auditoría.
Para obtener más información, consulte Auditoría de Oracle Solaris (mapa de tareas).
Incluya la clase ua o la clase as en la línea flags del archivo audit_control.
```
## audit_control file
flags:lo,as
naflags:lo
plugin:name=audit_binfile.so; p_dir=/var/audit
```
La clase ua y la clase as incluyen otros eventos de auditoría. Para ver los eventos de auditoría que se incluyen en una clase, lea el archivo audit_event. También puede utilizar el comando bsmrecord, como se muestra en el Ejemplo 30-27.
Finalice la configuración del servicio de auditoría y, a continuación, habilite la auditoría.
Para obtener más información, consulte Configuración y habilitación del servicio de auditoría (tareas).

Cómo convertir el usuario `root` en un rol

Este procedimiento muestra cómo cambiar root de un usuario de inicio de sesión a un rol. Al completar este procedimiento, ya no podrá iniciar sesión directamente en el sistema como root, excepto en el modo de usuario único. Debe tener asignado el rol root y usar su para convertirse en root.

Al cambiar el usuario root a un rol, impide que el inicio de sesión anónimo de root. Debido a que un usuario debe iniciar sesión y luego asumir el rol root, se proporciona el ID de inicio de sesión del usuario para el servicio de auditoría y se encuentra en el archivo sulog.

En este procedimiento, crea un usuario local y asigna el rol root al usuario. Para impedir que los usuarios asuman el rol, consulte el Ejemplo 9-8.

Antes de empezar

No puede realizar este procedimiento cuando inició sesión directamente como root. Debe iniciar sesión con su usuario y, a continuación, usar su para convertirse en root.

Como usuario común, inicie sesión en el sistema de destino.
Asuma el rol de administrador principal o conviértase en superusuario.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte Uso de las herramientas de gestión de Solaris con RBAC (mapa de tareas) de Guía de administración del sistema: administración básica.
Cree un usuario local que pueda asumir el rol root.
Por motivos de seguridad, se debe asignar el rol root a un usuario local como mínimo.
```
$ useradd -c comment -u uid -d homedir username
```
-c comentario

Comentario que describe al usuario.

-d dir_ppal

Directorio principal del usuario. Este directorio debe estar en el sistema local.

-u uid

Número de identificación del usuario.

nombre_usuario

Nombre del nuevo usuario local.
```
# useradd -c "JDoe's local account" -u 123 -d /export/home1 jdoe-local
```

Proporcione una contraseña para el usuario.

# passwd -r files jdoe-local
New Password:    <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for jdoe-local
#

Asegúrese de que no haya iniciado sesión como root.

# who
jdoe    console      May 24 13:51    (:0)
jdoe    pts/5        May 24 13:51    (:0.0)
jdoe    pts/4        May 24 13:51    (:0.0)
jdoe    pts/10       May 24 13:51    (:0.0)

Cambie el usuario root a un rol.
```
# usermod -K type=role root
```
Verifique que root sea un rol.
La entrada root del archivo user_attr debe ser similar a la siguiente:
```
# grep root /etc/user_attr
root::::type=role;auths=solaris.*,solaris.grant;profiles=...
```

Asigne el rol root a su cuenta local.

# usermod -R root jdoe-local

Precaución - Si no asigna el rol root a un usuario, nadie podrá convertirse en superusuario, excepto en el modo de usuario único. Debe escribir una contraseña de usuario root para acceder al modo de usuario único.

Configure el servicio de nombres que regresará en caso de error.

Abra una ventana de terminal nueva y asuma el rol root.

% whoami
jdoe
% su - jdoe-local
Enter password:   <Type jdoe-local password>
% roles
root
% su - root
Enter password:   <Type root password>
#

Edite el archivo nsswitch.conf.
Por ejemplo, las siguientes entradas del archivo nsswitch.conf permitirán que regrese el servicio de nombres.
```
passwd:  files nis [TRYAGAIN=0 UNAVAIL=return NOTFOUND=return]
group:  files nis [TRYAGAIN=0 UNAVAIL=return NOTFOUND=return]
```

(Opcional) Asigne el rol root a las cuentas de usuario seleccionadas en el servicio de nombres.
Para conocer el procedimiento, consulte Cómo cambiar las propiedades RBAC de un usuario.

Ejemplo 9-8 Evitar que el rol root se utilice para configurar un sistema

En este ejemplo, la política de seguridad del sitio requiere que varios roles discretos configuren el sistema. Estos roles discretos se han creado y probado. Para evitar que la cuenta root se utilice para configurar el sistema, el administrador de la seguridad cambia root a un rol, pero no asigna el rol. El rol root conserva una contraseña para acceder al sistema en el modo de usuario único.

En primer lugar, el administrador verifica que root no sea un rol asignado.

% whoami
jdoe-local
% su - root
Password: a!2@3#4$5%6^7
# grep roles /etc/user_attr
jdoe-local::::type=normal;roles=secadmin
kdoe-local::::type=normal;roles=sysadmin

Aún en la cuenta root, el administrador cambia root a un rol.

# usermod -K type=role root

A continuación, el administrador verifica el cambio en la entrada root del archivo user_attr.

# grep root /etc/user_attr
root::::type=role;auths=solaris.*,solaris.grant;profiles=...

Ejemplo 9-9 Cambiar de nuevo el rol root al usuario root

En este ejemplo, el administrador está retirando un sistema y desea iniciar sesión en el escritorio como superusuario. El sistema se eliminó de la red.

En primer lugar, el administrador asume el rol root para eliminar todas las asignaciones de rol root.

% whoami
jdoe-local
% su - root
Password: a!2@3#4$5%6^7
# grep roles /etc/user_attr
jdoe-local::::type=normal;roles=root
kdoe-local::::type=normal;roles=root
# usermod -R "" jdoe-local
# usermod -R "" kdoe-local
# grep roles /etc/user_attr
#

Aún en el rol root, el administrador cambia root a un usuario.

# rolemod -K type=normal root

A continuación, el administrador verifica el cambio en la entrada root del archivo user_attr.

# grep root /etc/user_attr
root::::type=normal;auths=solaris.*,solaris.grant;profiles=...

Errores más frecuentes

En un entorno de escritorio, no puede iniciar sesión directamente como root cuando root es un rol. Un mensaje de diagnóstico indica que root es un rol en el sistema. Si no tiene una cuenta local que pueda asumir el rol root, cree una. Como root, inicie sesión en el sistema en el modo de usuario único, cree una cuenta de usuario local y asigne el rol root a la nueva cuenta. A continuación, inicie sesión como el nuevo usuario y asuma el rol root.

Nadie se puede convertir en superusuario si cambia el usuario root a un rol y no realiza alguna de las siguientes asignaciones:

Asigne el rol root a un usuario válido.
Asigne un perfil de derechos que sea equivalente al perfil de derechos de root a un usuario válido. El perfil de administrador principal es un perfil de derechos equivalente para las capacidades de root.
Cree un rol que tenga las capacidades de root y asígnelo a un usuario válido. Un rol que tiene asignado el perfil de administrador principal es equivalente al rol root.

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Guía de administración del sistema: servicios de seguridad