Gestión de RBAC (tareas)

Una vez que configura y usa RBAC, utilice los procedimientos siguientes para mantener y modificar RBAC en los sistemas.

Gestión de RBAC (mapa de tareas)

El siguiente mapa de tareas hace referencia a los procedimientos para mantener el control de acceso basado en roles (RBAC) después de la implementación inicial de RBAC.

Estos procedimientos gestionan atributos de seguridad en usuarios, roles y perfiles de derechos. Para conocer los procedimientos de gestión de usuario básico, consulte el Capítulo 1, Gestión de cuentas de usuario y entornos de usuario (descripción general) de Gestión de las cuentas de usuario y los entornos de usuario en Oracle Solaris 11.1.

Cómo cambiar la contraseña de un rol

Debido a que un rol se puede asignar a varios usuarios, los usuarios a los que se asigna un rol no pueden cambiar la contraseña del rol.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

• Ejecute el comando passwd.

  # passwd  [-r naming-service] rolename

  -r naming-service

  Aplica el cambio de contraseña al repositorio files o ldap. El repositorio predeterminado es files. Si no especifica un repositorio, se cambia la contraseña en todos los repositorios.

  rolename

  Nombre de un rol existente que desea modificar.

  Para conocer más opciones de comandos, consulte la página del comando man passwd(1).

Ejemplo 9-24 Cambio de contraseña de un rol

En este ejemplo, el rol root cambia la contraseña del rol devmgt local.

# passwd -r files  devmgt
New password: Type new password
Confirm password: Retype new password

En este ejemplo, el rol root cambia la contraseña del rol devmgt en el servicio de directorios LDAP.

# passwd -r ldap devmgt
New password: Type new password
Confirm password: Retype new password

En este ejemplo, el rol root cambia la contraseña del rol devmgt en el archivo y LDAP.

# passwd devmgt
New password: Type new password
Confirm password: Retype new password

Cómo cambiar los atributos de seguridad de un rol

Antes de empezar

Debe convertirse en un administrador con el perfil de derechos de seguridad de usuario asignado para cambiar la mayoría de los atributos de seguridad de un rol. Para asignar indicadores de auditoría o cambiar la contraseña de un rol, debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

1. Utilice el comando rolemod.

   Este comando modifica los atributos de un rol definido en el servicio de nombres local o en LDAP. Los valores de las opciones -A, -P y -R pueden ser modificados por - o +. El signo - indica que se va a restar el valor de los valores asignados actualmente. El signo + indica que se va a sumar el valor a los valores asignados actualmente.

   Para obtener más información sobre el comando rolemod, consulte lo siguiente:

   • Para obtener una descripción breve, consulte la descripción del comando roleadd en Cómo crear un rol.

   • Para conocer todos los argumentos de este comando, consulte la página del comando man rolemod(1M).

   • Para obtener la lista de valores de claves para la opción -K, consulte la página del comando man user_attr(4).

   El siguiente comando agrega dos perfiles de derechos al rol devmgt en el repositorio LDAP:

   $ rolemod  -P +"Device Management,File Management" -S ldap devadmin

2. Para cambiar la contraseña del rol, consulte Cómo cambiar la contraseña de un rol.

Ejemplo 9-25 Cambio de los atributos de seguridad de un rol local

En este ejemplo, el administrador de seguridad modifica el rol prtmgt para incluir el perfil de derechos de gestión de VSCAN.

$ rolemod -c "Handles printers and virus scanning" \
-P "Printer Management,VSCAN Management,All" prtmgt

Ejemplo 9-26 Asignación de privilegios directamente a un rol

En este ejemplo, el administrador de seguridad confía al rol systime un privilegio muy específico que afecta la hora del sistema.

$ rolemod -K defaultpriv='proc_clock_highres' systime

Los valores de la palabra clave defaultpriv se encuentran en la lista de privilegios de los procesos del rol en todo momento.

Cómo volver a ordenar atributos de seguridad asignados

Oracle Solaris lee perfiles de derechos en orden de asignación, como se describe en Orden de búsqueda para atributos de seguridad asignados. En este proceso, puede volver a ordenar perfiles de derechos.

Antes de empezar

Debe convertirse en un administrador con el perfil de derechos de seguridad de usuario asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

1. Visualice la lista de perfiles de derechos asignados actualmente al usuario o al rol.

   La lista se muestra en orden.

   $ profiles username|rolename

2. Asigne los perfiles de derechos en el orden correcto.

   $ usermod | rolemod -P "list-of-profiles"

Ejemplo 9-27 Asignación de perfiles de derechos en un orden específico

En este ejemplo, el administrador determina que un perfil de derechos con comandos con privilegios se muestra después del perfil de todos los derechos para el rol devadmin.

$ profiles devadmin
    Basic Solaris User
    All
    Device Management

Por lo tanto, el rol devadmin no puede ejecutar los comandos de gestión de dispositivo con sus privilegios asignados.

El administrador reasigna los perfiles de derechos para devadmin. Con el nuevo orden de asignación, devadmin puede ejecutar los comandos de dispositivo con sus privilegios asignados.

$ rolemod -P "Device Management,Basic Solaris User,All"
$ profiles devadmin
    Device Management
    Basic Solaris User
    All

Cómo restringir a un administrador a derechos asignados explícitamente

Puede restringir un rol o un usuario a un número limitado de acciones administrativas de dos formas.

• Puede utilizar el perfil de derechos de detención.

  El perfil de derechos de detención es la forma más sencilla de crear un shell restringido. Las autorizaciones y los perfiles de derechos que están asignados en el archivo policy.conf no se consultan. Por lo tanto, al rol o al usuario no se le asigna el perfil de derechos de usuario básico de Solaris, el perfil de derechos de usuario de consola ni la autorización solaris.device.cdrw.

• Puede modificar el archivo policy.conf en un sistema y requerir que el rol o el usuario utilice ese sistema para tareas administrativas.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

• Agregue el perfil de derechos de detención como el último perfil en la lista de perfiles que asigna.

  Por ejemplo, puede limitar al rol auditrev a realizar sólo revisiones de auditoría.

  # rolemod -P "Audit Review,Stop" auditrev

  Debido a que el rol auditrev no tiene el perfil de derechos de usuario de consola, el auditor no puede cerrar el sistema. Debido a que este rol no tiene la autorización solaris.device.cdrw, el auditor no puede leer o escribir en la unidad de CD-ROM. Debido a que este rol no tiene el perfil de derechos de usuario básico de Solaris, ningún comando que no sean los comandos en el perfil de derechos de revisión de auditoría se puede ejecutar en este rol. Por ejemplo, el comando ls no se ejecutará. El rol utiliza el explorador de archivos para ver los archivos de auditoría.

  Para obtener más información, consulte Perfiles de derechos y Orden de búsqueda para atributos de seguridad asignados.

  El comando rolemod modifica los atributos de un rol definido en el servicio de nombres local o en LDAP. Para conocer los argumentos de este comando, consulte la página del comando man rolemod(1M). La lista de argumentos de RBAC es similar a la lista para el comando roleadd, como se describe en Cómo crear un rol.

Ejemplo 9-28 Modificación de un sistema para limitar los derechos disponibles a sus usuarios

En este ejemplo, el administrador crea un sistema que sólo es útil para administrar la red. El administrador elimina el perfil de derechos de usuario básico de Solaris y cualquier autorización del archivo policy.conf. El perfil de derechos de usuario de consola no se elimina. Las líneas afectadas en el archivo policy.conf resultante son las siguientes:

...
#AUTHS_GRANTED=
#PROFS_GRANTED=Basic Solaris User
CONSOLE_USER=Console User
...

Sólo un usuario que ha sido asignado de forma explícita autorizaciones, comandos o perfiles de derechos puede usar este sistema. Después de iniciar sesión, el usuario autorizado puede realizar tareas administrativas. Si el usuario autorizado se encuentra en la consola del sistema, el usuario tiene los derechos del usuario de consola.

Cómo permitir que un usuario use su propia contraseña para asumir un rol

De manera predeterminada, los usuarios deben escribir la contraseña del rol para asumir un rol. Realice este procedimiento para que asumir un rol en Oracle Solaris sea similar a asumir un rol en un entorno Linux.

Antes de empezar

Asume un rol que incluye el perfil de derechos de seguridad de usuario. Este rol no puede ser el rol cuyo valor roleauth desea cambiar.

• Permita que una contraseña de usuario autentique un rol.

  $ rolemod -K roleauth=user rolename

  Para asumir este rol, los usuarios asignados pueden usar ahora su propia contraseña, no la contraseña que se ha creado específicamente para el rol.

Ejemplo 9-29 Activación de un rol para utilizar la contraseña del usuario asignado al utilizar un perfil de derechos

En este ejemplo, el rol root cambia el valor de roleauth por el rol secadmin en el sistema local.

$ profiles -p "Local System Administrator"
profiles:Local System Administrator> set roleauth="user"
profiles:Local System Administrator> end
profiles:Local System Administrator> exit

Cuando un usuario al que se le asigna el perfil de derechos de administrador de seguridad desea asumir el rol, se le solicita una contraseña. En la secuencia siguiente, el nombre de rol es secadmin:

% su - secadmin
Password: Type user password
$ /** You are now in a profile shell with administrative rights**/

Si se le han asignado otros roles, el usuario tiene su propia contraseña para autenticarse ante esos roles también.

Ejemplo 9-30 Cambio del valor de roleauth por un rol en el repositorio LDAP

En este ejemplo, el rol root permite a todos los usuarios que pueden asumir el rol secadmin utilizar su propia contraseña al asumir un rol. Esta capacidad se concede a estos usuarios para todos los sistemas que están gestionados por el servidor LDAP.

# rolemod -S ldap -K roleauth=user secadmin

Errores más frecuentes

Si se establece roleauth=user para el rol, la contraseña de usuario permite que el rol autenticado acceda a todos los derechos que están asignados a ese rol. La palabra clave depende de la búsqueda. Para obtener más información, consulte Orden de búsqueda para atributos de seguridad asignados.

Cómo cambiar el rol root a un usuario

Un administrador puede cambiar root a un usuario al retirar un sistema que se ha eliminado de la red. En esta instancia, iniciar sesión en el sistema como root simplifica la limpieza.

Antes de empezar

Debe convertirse en root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

1. Elimine la asignación del rol root de los usuarios locales.

   Por ejemplo, elimine la asignación de rol de dos usuarios.

   % su - root
   Password: a!2@3#4$5%6^7
   # roles jdoe
   root
   # roles kdoe
   root
   # roles ldoe
   secadmin
   # usermod -R "" jdoe
   # usermod -R "" kdoe
   #

2. Cambie el rol root a un usuario.

   # rolemod -K type=normal root

   Los usuarios que están actualmente en el rol root lo siguen estando. Otros usuarios que tienen acceso de usuario root pueden cambiar su a root o pueden iniciar sesión en el sistema como el usuario root.

3. Verifique el cambio.

   Puede utilizar uno de los siguientes comandos.

   # getent user_attr root
   root::::auths=solaris.*;profiles=All;audit_flags=lo\:no;lock_after_retries=no;
   min_label=admin_low;clearance=admin_high

   Si falta la palabra clave type en la salida o es igual a normal, la cuenta no es un rol.

   # userattr type root

   Si la salida está vacía o muestra normal, la cuenta no es un rol.

Ejemplo 9-31 Prevención de que el rol root se utilice para configurar un sistema

En este ejemplo, la política de seguridad del sitio requiere que se evite que la cuenta root mantenga el sistema. El administrador ha creado y probado los roles que mantienen el sistema. Estos roles incluyen cada perfil de seguridad y el perfil de derechos de administrador del sistema. Se ha asignado a un usuario de confianza un rol que puede restaurar una copia de seguridad. Ningún rol puede cambiar los indicadores de auditoría para el sistema, un usuario o un perfil de derechos.

Para evitar que la cuenta root se utilice para mantener el sistema, el administrador de seguridad elimina la asignación del rol root. Debido a que la cuenta root debe poder iniciar sesión en el sistema en modo de un solo usuario, la cuenta retiene una contraseña.

# usermod -K roles= jdoe
# userattr roles jdoe

Ejemplo 9-32 Cambio de usuario root a rol root

En este ejemplo, el usuario root devuelve el usuario root a un rol.

Primero, el usuario root cambia la cuenta root a un rol y verifica el cambio.

# usermod -K type=role root
# getent user_attr root
root::::type=role;auths=solaris.*;profiles=All;audit_flags=lo\:no;
lock_after_retries=no;min_label=admin_low;clearance=admin_high

A continuación, root asigna el rol root a un usuario local.

# usermod -R root jdoe

Errores más frecuentes

En un entorno de escritorio, no puede iniciar sesión directamente como root cuando root es un rol. Un mensaje de diagnóstico indica que root es un rol en el sistema.

Si no tiene una cuenta local que pueda asumir el rol root, cree una. Como root, inicie sesión en el sistema en el modo de un solo usuario, cree una cuenta de usuario local y una contraseña, y asigne el rol root a la nueva cuenta. A continuación, inicie sesión como el nuevo usuario y asuma el rol root.