Cambio entre root como usuario o rol

De manera predeterminada,root es un rol en Oracle Solaris. Tiene la opción para cambiarlo a un usuario, volver a cambiarlo a un rol, o eliminarlo del uso.

Debe cambiar root a un usuario si utiliza Oracle Enterprise Manager o si está siguiendo el modelo de superusuario tradicional de administración en lugar del modelo de derechos. Para obtener información, consulte Cómo decidir qué modelo de derechos utilizar para la administración.

Si sigue el modelo de derechos, se puede cambiar root a un usuario al retirar un sistema que se ha eliminado de la red. En esta situación, iniciar sesión en el sistema como root simplifica la limpieza.

En algunos sitios, root no es una cuenta legítima en los sistemas de producción. Para eliminar root de uso, consulte Example 5–13.

Cómo cambiar el rol root a un usuario

Este procedimiento es necesario en sistemas donderootdebe poder iniciar sesión directamente en el sistema.

Antes de empezar

Debe asumir el rol root.

1. Elimine la asignación del rol root de los usuarios locales.

   Por ejemplo, elimine la asignación de rol de dos usuarios.

   % su -
   Password: xxxxxxxx
   # roles jdoe
   root
   # roles kdoe
   root
   # roles ldoe
   secadmin
   # usermod -R "" jdoe
   # usermod -R "" kdoe
   #

2. Cambie el rol root a un usuario.

   # rolemod -K type=normal root

   Los usuarios que están actualmente en el rol root lo siguen estando. Otros usuarios que tienen acceso de usuario root pueden cambiar su a root o pueden iniciar sesión en el sistema como el usuario root.

3. Verifique el cambio.

   Puede utilizar uno de los siguientes comandos.

   • Examine la entrada user_attr para root.

     # getent user_attr root
     root::::auths=solaris.*;profiles=All;audit_flags=lo\:no;lock_after_retries=no;
     min_label=admin_low;clearance=admin_high

     Si falta la palabra clave type en la salida o es igual a normal, la cuenta no es un rol.

   • Ver la salida del comando userattr.

     # userattr type root

     Si la salida está vacía o muestra normal, la cuenta no es un rol.

Ejemplo 5-12  Cambio de usuario root a rol root

En este ejemplo, el usuario root devuelve al usuario root a un rol.

Primero, el usuario root cambia la cuenta root a un rol y verifica el cambio.

# usermod -K type=role root
# getent user_attr root
root::::type=role...

A continuación, root asigna el rol root a un usuario local.

# usermod -R root jdoe

Ejemplo 5-13  Impedir que el rol root se utilice para mantener un sistema

En este ejemplo, la política de seguridad del sitio requiere que se evite que la cuenta root mantenga el sistema. El administrador ha creado y probado los roles que mantienen el sistema. Estos roles incluyen cada perfil de seguridad y el perfil de derechos de administrador del sistema. Se ha asignado a un usuario de confianza un rol que puede restaurar una copia de seguridad. Ningún rol puede cambiar los indicadores de auditoría para un usuario, un rol o un perfil de derechos o cambiar la contraseña de un rol.

Para evitar que la cuenta root se utilice para mantener el sistema, el administrador de seguridad elimina la asignación del rol root. Debido a que la cuenta root debe poder iniciar sesión en el sistema en modo de un solo usuario, la cuenta retiene una contraseña.

# usermod -K roles= jdoe
# userattr roles jdoe

Errores más frecuentes

En un entorno de escritorio, no puede iniciar sesión directamente como root cuando root es un rol. Un mensaje de diagnóstico indica que root es un rol en el sistema.

Si no tiene una cuenta local que pueda asumir el rol root realizando los pasos siguientes:

• Como root, inicie sesión en el sistema en modo de un solo usuario, cree una cuenta de usuario local y la contraseña.

• Asigne el rol root a la cuenta nueva.

• Inicie sesión como el usuario nuevo y asuma el rol root.