Ignorer les liens de navigation | |
Quitter l'aperu | |
Gestion des compte et environnements utilisateur dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
1. Gestion des comptes et des environnements utilisateur (présentation)
2. Gestion des comptes utilisateur avec l'interface de ligne de commande (tâches)
Configuration et gestion des comptes utilisateur dans l'interface de ligne de commande
Collecte des informations utilisateur
Personnalisation des fichiers d'initialisation utilisateur
Modification des paramètres de compte par défaut pour tous les rôles
Instructions relatives à la configuration des comptes utilisateur
Partage de répertoires personnels créés en tant que systèmes de fichiers ZFS
Les tâches suivantes décrivent la procédure à suivre pour configurer et gérer des comptes utilisateur par le biais de l'interface de ligne de commande.
|
Lors de la configuration des comptes utilisateur, vous pouvez créer un formulaire semblable au suivant pour collecter des informations sur les utilisateurs avant de créer leurs comptes.
|
$ su - Password: #
Reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# mkdir /shared-dir/skel/user-type
Nom d'un répertoire dans lequel stocker les fichiers d'initialisation pour un type d'utilisateur.
La section Personnalisation de l'environnement de travail d'un utilisateur décrit en détail les méthodes de personnalisation des fichiers d'initialisation utilisateur.
# chmod 744 /shared-dir/skel/user-type/.*
# ls -la /shared-dir/skel/*
Dans la procédure suivante, l'administrateur a personnalisé un répertoire roles. L'administrateur modifie le répertoire personnel par défaut et le répertoire squelette pour tous les rôles.
Reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# roleadd -D group=other,1 project=default,3 basedir=/home skel=/etc/skel shell=/bin/pfsh inactive=0 expire= auths= profiles=All limitpriv= defaultpriv= lock_after_retries=
# roleadd -D -b /export/home -k /etc/skel/roles # roleadd -D group=staff,10 project=default,3 basedir=/export/home skel=/etc/skel/roles shell=/bin/sh inactive=0 expire= auths= profiles= roles= limitpriv= defaultpriv= lock_after_retries=
Les utilisations futures de la commande roleadd créent des répertoires personnels dans /export/home et remplissent l'environnement des rôles à partir du répertoire /etc/skel/roles.
Suivez les consignes ci-dessous pour configurer des comptes utilisateur à l'aide de la CLI :
Dans cette version, les comptes utilisateur sont créés en tant que systèmes de fichiers ZFS Oracle Solaris. En tant qu'administrateur, lorsque vous créez des comptes, vous attribuez également aux utilisateurs leur propre système de fichiers et leur propre jeu de données ZFS. L'exécution des commandes useradd et roleadd place le répertoire personnel de l'utilisateur sur le système de fichiers /export/home en tant que système de fichiers ZFS individuel. Par conséquent, les utilisateurs ont la possibilité de sauvegarder leur répertoire personnel, de créer des instantanés ZFS de leur répertoire personnel et de remplacer des fichiers dans leur répertoire personnel actuel à partir des instantanés ZFS qu'ils ont créé.
Pour configurer des comptes utilisateur, il faut prendre le rôle root ou un rôle disposant du profil de droits approprié, comme User Management. Reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Lorsque vous créez un compte utilisateur à l'aide de la commande useradd, vous devez spécifier l'option -m dans la syntaxe. Autrement, un répertoire personnel n'est pas créé pour l'utilisateur.
Par exemple, la commande suivante crée un répertoire personnel pour l'utilisateur jdoe :
# useradd -m jdoe
En revanche, la syntaxe suivante ne crée pas de répertoire personnel pour l'utilisateur :
# useradd jdoe
Remarque - La seule exception à cette règle se présente si vous souhaitez que le module pam_zfs_key crée un répertoire personnel chiffré pour l'utilisateur. Dans ce cas, n'ajoutez pas l'option -m à la commande useradd. Reportez-vous aux pages de manuel pam_zfs_key(5) et zfs_encrypt(1M).
La commande useradd crée des entrées dans la mappe auto_home uniquement si l'option -d est spécifiée avec hostname:/pathname. Dans le cas contraire, le chemin d'accès spécifié est mis à jour en tant que répertoire personnel de l'utilisateur dans la base de données passwd et aucune entrée n'est créée dans la mappe auto_home. Les répertoires personnels spécifiés dans la mappe de montage automatique auto_home sont montés uniquement si le service autofs est activé.
Par exemple, si vous spécifiez l'option -d pour créer un utilisateur comme suit, il est créé sans entrée auto_home. D'autre part, l'entrée passwd spécifie /export/home/user1 en tant que répertoire personnel de l'utilisateur :
# useradd -d /export/home/user1 user1
En revanche, si vous ajoutez l'option -d pour créer l'utilisateur comme suit, il est créé avec une entrée auto_home. D'autre part, la base de données passwd contient /home/user1, ce qui indique une dépendance au service autofs :
# useradd -d localhost:/export/home/user1 user1
Si le chemin d'accès au répertoire personnel comporte une spécification d'hôte distant (foobar:/export/home/jdoe, par exemple), le répertoire personnel de jdoe doit être créé sur le système foobar. Le chemin par défaut est localhost:/export/home/username.
Lorsque ce système de fichiers est un jeu de données ZFS (ce qui est le cas dans Oracle Solaris 11), le répertoire personnel de l'utilisateur est créé sous la forme d'un jeu de données ZFS enfant, où l'autorisation ZFS de prendre des instantanés est déléguée à l'utilisateur. Lorsqu'un nom de chemin d'accès ne correspondant pas à un jeu de données ZFS est précisé, un répertoire standard est créé. Si l'option -S ldap est spécifiée, l'entrée de carte auto_home est mise à jour sur le serveur LDAP et non sur la carte auto_home locale.
Dans cette version, les comptes utilisateur sont créés en tant que systèmes de fichiers ZFS Oracle Solaris. Chaque répertoire personnel créé à l'aide des commandes useradd et roleadd place le répertoire personnel de l'utilisateur sur le système de fichiers /export/home en tant que système de fichiers ZFS individuel.
La commande useradd crée des entrées dans la mappe auto_home uniquement si l'option -d est spécifiée avec hostname:/pathname. Dans le cas contraire, le chemin d'accès spécifié est mis à jour en tant que répertoire personnel de l'utilisateur dans la base de données passwd et aucune entrée n'est créée dans la mappe auto_home. Les répertoires personnels spécifiés dans la mappe de montage automatique auto_home sont montés uniquement si le service autofs est activé.
Reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Par défaut, l'utilisateur est créé localement. Si vous incluez l'option -S ldap, l'utilisateur est créé dans un référentiel LDAP existant.
# useradd -d dir -m username
Crée un compte pour l'utilisateur spécifié.
Indique l'emplacement du répertoire personnel de l'utilisateur.
Tapez -d localhost:/export/home/ username au lieu de -d /export/home/ username pour forcer l'écriture de l'entrée dans auto_home.
Crée un répertoire personnel local sur le système pour l'utilisateur.
Par exemple, si vous spécifiez l'option -d dir comme suit, l'utilisateur est créé sans entrée auto_home. D'autre part, l'entrée passwd spécifie /export/home/user1 en tant que répertoire personnel de l'utilisateur :
# useradd -d /export/home/user1 user1
Si vous spécifiez l'option -d dir comme suit, l'utilisateur est associé à une entrée auto_home. D'autre part, la base de données passwd contient /home/user1, ce qui indique une dépendance au service autofs :
# useradd -d localhost:/export/home/user1 user1
Remarque - La seule exception à cette règle se présente si vous souhaitez que le module pam_zfs_key crée un répertoire personnel chiffré pour l'utilisateur. Dans ce cas, n'ajoutez pas l'option -m à la commande useradd. Reportez-vous à la section Instructions relatives à la configuration des comptes utilisateur.
Pour une description détaillée des tous les arguments et options que vous pouvez spécifier à l'aide de la commande useradd, reportez-vous à la page de manuel useradd(1M).
Remarque - Le compte est verrouillé jusqu'à ce que vous affectiez un mot de passe à l'utilisateur.
# passwd username New password: Type user password Re-enter new password: Retype password
Pour plus d'options de commande, reportez-vous aux pages de manuel useradd(1M) et passwd(1).
Voir aussi
Après avoir créé un utilisateur, vous devrez parfois effectuer d'autres tâches, et notamment ajouter et attribuer des rôles, répertorier et modifier les profils de droits ou encore modifier les propriétés RBAC d'un utilisateur. Pour plus d'informations, reportez-vous aux références suivantes :
Procédure de création d’un rôle du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité et Procédure d’attribution de rôle du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité
Création d’un profil de droits du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité
La commande usermod permet de changer la définition de l'identifiant de connexion d'un utilisateur et d'apporter des modifications au système de fichiers dans le cadre de la connexion.
Reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Pour plus d'informations sur les arguments et les options que vous pouvez spécifier avec la commande usermod, reportez-vous à la page de manuel usermod(1M).
Par exemple, pour attribuer un rôle à un utilisateur, il faut taper :
# usermod -R role username
Exemple 2-1 Définition d'une stratégie PAM par utilisateur en modifiant le compte d'un utilisateur
L'exemple suivant illustre la procédure à suivre pour modifier un utilisateur en vue de définir la stratégie PAM. Cette modification spécifie que l'utilisateur jdoe doit être authentifié via le protocole Kerberos V5 exclusivement pour les services PAM. Pour plus d'informations, reportez-vous à la page de manuel pam_user_policy(5).
# usermod -K pam_policy=krb5_only jdoe
Voir aussi
Reportez-vous aux références suivantes pour d'autres exemples de modification d'un utilisateur :
$ su - Password: #
Remarque - Cette méthode fonctionne aussi bien lorsque root est un compte utilisateur que lorsqu'il est un rôle.
# userdel -r username
Supprime le compte de l'utilisateur spécifié.
Supprime le compte du système.
Etant donné que les répertoires personnels sont maintenant des jeux de données ZFS, la méthode recommandée de suppression d'un répertoire personnel local d'un utilisateur supprimé est d'indiquer l'option - r avec la commande userdel.
# userdel username
Vous devez supprimer manuellement le répertoire personnel de l'utilisateur sur le serveur distant.
Pour la liste complète des options de commande, reportez-vous à la page de manuel userdel(1M).
Étapes suivantes
Un nettoyage supplémentaire peut être nécessaire si l'utilisateur que vous avez supprimé avait des responsabilités d'administration, par exemple la création de tâches cron, ou si l'utilisateur dispose de comptes supplémentaires dans des zones non globales.
Lorsqu'un administrateur crée un groupe, le système attribue l'autorisation solaris.group.assign /groupname à cet administrateur, ce qui lui permet d'exercer un contrôle total sur le groupe. Si un autre administrateur disposant de la même autorisation crée un groupe, il contrôle le groupe. Un administrateur qui contrôle un groupe ne peut en aucun cas gérer le groupe de l'autre administrateur. Pour plus d'informations, reportez-vous aux pages de manuel groupadd(1M) et groupmod (1M).
Reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# cat /etc/group
$ groupadd -g 18 exadata
Crée une nouvelle définition de groupe sur le système en ajoutant l'entrée appropriée au fichier /etc/group.
Affecte l'ID de groupe du nouveau groupe.
Pour plus d'informations, reportez-vous à la page de manuel groupadd(1M).
Exemple 2-2 Configuration d'un groupe et d'un utilisateur à l'aide des commandes groupadd et useradd
L'exemple suivant illustre comment utiliser les commandes groupadd et useradd pour ajouter le groupe scutters et l'utilisateur scutter1 dans les fichiers du système local.
# groupadd -g 102 scutters # useradd -u 1003 -g 102 -d /export/home/scutter1 -s /bin/csh \ -c "Scutter 1" -m -k /etc/skel scutter1 64 blocks
Pour plus d'informations, reportez-vous aux pages de manuel groupadd(1M) et useradd(1M).
Dans cette version d'Oracle Solaris, il est possible de partager un système de fichiers ZFS en définissant la propriété share.nfs ou share.smb. Vous pouvez également créer un partage de système de fichiers à l'aide de la commande zfs share. Par défaut, aucun système de fichiers n'est partagé.
Par défaut, le jeu de données pool/export/home est déjà monté sur /export/home. La commande useradd crée automatiquement les jeux de données par utilisateur en tant qu'enfants de ce jeu de données. En tant qu'administrateur, vous pouvez choisir de créer un nouveau pool pour les répertoires personnels des utilisateurs. La procédure ci-dessous indique les étapes à suivre.
Pour plus d'informations sur le partage et l'annulation du partage des systèmes de fichiers, reportez-vous à la section Activation et annulation du partage des systèmes de fichiers ZFS du manuel Administration d’Oracle Solaris 11.1 : Systèmes de fichiers ZFS.
Reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
# zpool create users mirror c1t1d0 c1t2d0 mirror c2t1d0 c2t2d0
# zfs create users/home
# zfs set share.nfs=on users/home
Dans cette nouvelle syntaxe, chaque système de fichiers contient un paramètre "auto share" créé dès que la propriété share.nfs (ou share.smb) est définie sur on pour ce système de fichiers. La commande précédente partage un système de fichiers nommé users/home et tous ses enfants.
# zfs get -r share.nfs users/home
L'option -r affiche tous les systèmes de fichiers descendants.
Les comptes utilisateur créés en tant que systèmes de fichiers ZFS n'ont généralement pas besoin d'être montés manuellement. Avec ZFS, les systèmes de fichiers sont montés automatiquement au moment de leur création, puis montés lors de l'initialisation à partir du service de système de fichiers local SMF.
Lors de la création de comptes utilisateur, assurez-vous que les répertoires personnels sont configurés de la même manière que dans le service de noms, sous /home/nom-utilisateur. Assurez-vous ensuite que la mappe auto_home indique le chemin NFS du répertoire personnel de l'utilisateur. Pour plus d'informations sur les tâches, reportez-vous à la section Présentation des tâches d’administration Autofs du manuel Gestion de systèmes de fichiers réseau dans Oracle Solaris 11.1.
Si vous avez besoin de monter manuellement le répertoire personnel d'un utilisateur, vous pouvez utiliser la commande zfs mount. Par exemple :
# zfs mount users/home/alice
Remarque - Assurez-vous que le répertoire personnel de l'utilisateur est partagé. Pour plus d'informations, reportez-vous à la section Partage de répertoires personnels créés en tant que systèmes de fichiers ZFS.