跳过导航链接 | |
退出打印视图 | |
从 Oracle Solaris 10 转换到 Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (简体中文) |
在此发行版中,可从命令行或使用用户管理器 GUI 创建和管理用户帐户。该 GUI 可替代 Solaris Management Console 的某些功能及其关联的命令行。有关更多信息,请参见《在 Oracle Solaris 11.1 中管理用户帐户和用户环境》。
以下是本发行版中新增或已更改的功能:
新增了用户管理器 GUI-用户管理器 GUI 是 Visual Panels 项目的一部分,可从桌面进行访问。该 GUI 可替代 Solaris Management Console 的某些功能。请参见《在 Oracle Solaris 11.1 中管理用户帐户和用户环境》中的第 3 章 "使用用户管理器 GUI 管理用户帐户(任务)"。
创建用户帐户-用户帐户的创建方式进行了以下更改:
在 Oracle Solaris 11 中,用户帐户创建为单个 ZFS 文件系统,这样,用户可以拥有自己的文件系统和自己的 ZFS 数据集。使用 useradd 和 roleadd 命令创建的每一个起始目录都将用户起始目录放在 /export/home 上,作为个人 ZFS 文件系统。
useradd 命令依赖自动挂载服务 svc:/system/filesystem/autofs 来挂载起始目录。此服务永远不应禁用。passwd 数据库中针对每个用户的每个起始目录条目采用 /home/username 格式,这是一个 autofs 触发器,由自动挂载程序通过 auto_home 映射进行解析。
useradd 命令会自动在 auto_home 映射中创建条目,这些条目与通过该命令的 -d 选项指定的路径名对应。如果路径名中指定了远程主机,例如 foobar:/export/home/jdoe,则 jdoe 的起始目录必须创建在系统 foobar 上。缺省路径名为 localhost:/export/home/user。由于 /export/home 是 ZFS 数据集的挂载点,因此将用户起始目录创建为 ZFS 子数据集,并授予用户创建快照的 ZFS 权限。如果指定一个不对应 ZFS 数据集的路径名,则创建常规目录。如果指定 -S ldap 选项,则 auto_home 映射条目在 LDAP 服务器上更新,而非在本地 auto_home 映射上更新。
修改用户帐户-在 Oracle Solaris 11 中,usermod 命令可用于 LDAP 和文件。可以使用该机制将所有安全属性指定给某个用户。例如,管理员可以使用 usermod 命令向用户帐户添加角色。
# roleadd -K roleauth=user -P "Network Management" netmgt # usermod -R +netmgt jdoe
有关其他示例,请参见 usermod(1M)。
创建和管理组-拥有 solaris.group.manage 授权的管理员可创建组。在创建组时,系统会将 solaris.group.assign/groupname 授权指定给管理员,这使管理员可以完全控制该组。随后管理员可以根据需要修改或删除该 groupname。请参见 groupadd(1M) 和 groupmod(1M) 手册页。
创建和管理角色-可以在本地以及 LDAP 系统信息库中创建角色。要创建角色并指定初始口令,必须为您指定 User Management(用户管理)权限配置文件。有关创建角色的说明,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何创建角色"。
用户口令管理和登录信息在以下方面进行了更改:
针对 password 命令完善了属性定义-此更改明确了哪些用户帐户可以锁定,哪些用户帐户不可以锁定。主要更改影响 LK 和 NL 属性定义,如下所述:
针对 UNIX 验证锁定该帐户。运行了 passwd -l 命令,或者由于验证失败次数达到了配置的最大允许次数而自动锁定了帐户。请参见 policy.conf(4) 和 user_attr(4) 手册页。
该帐户是 no login 帐户。运行了 passwd -N 命令。
登录失败计数通知-现在,即使用户帐户未配置为强制实施登录失败,系统也会针对失败的验证通知用户。无法正确验证的用户将看到类似以下有关成功验证的消息:
Warning: 2 failed authentication attempts since last successful authentication. The latest at Thu May 24 12:02 2012.
要隐藏此类通知,请创建一个 ~/.hushlogin 文件。
缺省口令散列算法-缺省口令散列算法现在为 SHA256。此口令散列类似于以下内容:
$5$cgQk2iUy$AhHtVGx5Qd0.W3NCKjikb8.KhOiA4DpxsW55sP0UnYD
此外,不再有对用户口令的八字符限制。八字符限制仅应用于使用较旧 crypt_unix(5) 算法的口令,为了向下兼容现有的 passwd 文件项和 NIS 映射,保留了该算法。从 Oracle Solaris 11 开始,crypt_sha256 算法为缺省算法。
使用其他 crypt(3c) 算法(包括 SHA256 算法,该算法是 policy.conf 文件中的缺省算法)中的一种算法来对口令进行编码。因此,口令现在的长度远远超过八个字符。请参见 policy.conf(4)。
创建 ZFS 文件系统的 NFS 或 SMB 共享,然后按照以下方式进行共享:
Oracle Solaris 11:使用 zfs set share 命令创建文件系统共享。此时,可定义特定共享属性。如果未定义共享属性,则使用缺省属性值。
通过设置 sharenfs 或 sharesmb 属性来发布 NFS 或 SMB 共享。此共享永久发布,直到将属性设置为 off。
Oracle Solaris 11.1:ZFS 存储池版本 34 中提供了以下共享功能:
share.nfs 属性会替换以前发行版中用于定义和发布 NFS 共享的 sharenfs 属性。
share.smb 属性会替换以前发行版中用于定义和发布 SMB 共享的 sharesmb 属性。
可利用 ZFS 属性继承来简化 ZFS 共享管理。如果要共享 tank/home 文件系统,请使用类似如下的语法:
# zfs set share.nfs=on tank/home
share.nfs 属性值会继承到任何后代文件系统。
# zfs create tank/home/userA # zfs create tank/home/userB
请参见《在 Oracle Solaris 11.1 中管理用户帐户和用户环境》中的"如何共享作为 ZFS 文件系统创建的起始目录"。
由于在 Oracle Solaris 11 中创建的起始目录作为 ZFS 文件系统,所以通常无需手动挂载起始目录。起始目录在创建时以及引导时通过 SMF 本地文件系统服务自动挂载。有关手动挂载用户起始目录的说明,请参见《在 Oracle Solaris 11.1 中管理用户帐户和用户环境》中的"手动挂载用户的起始目录 "。