En el rol root, el usuario inicial tiene todos los derechos administrativos. Como root, este usuario puede asignar derechos administrativos, como un rol, un perfil de derechos o privilegios y autorizaciones específicos para usuarios de confianza. En esta sección, se describe cómo estos usuarios pueden utilizar sus derechos asignados.
Para realizar sus tareas administrativas, abra una ventana de terminal y seleccione una de las siguientes opciones:
Si está usando sudo, escriba el comando sudo.
Para administradores que estén familiarizados con el comando sudo, ejecute el comando con el nombre de un comando administrativo que se le asigna en el archivo sudoers. Para obtener más información, consulte las páginas del comando man sudo (1M) y sudoers (4) .
Si la tarea requiere privilegios de superusuario, conviértase en usuario root root.
% su - Password: xxxxxxxx #
Si la tarea está asignada a un rol, asuma el rol que puede realizar esa tarea.
En el siguiente ejemplo, asume un rol de configuración de auditoría. Este rol incluye el perfil de derechos de configuración de auditoría. Ha recibido la contraseña de rol del administrador.
% su - audadmin Password: xxxxxxxx #
El shell en el que escribió este comando se encuentra en un shell de perfil. En este shell, puede ejecutar el comando auditconfig. Para obtener más información acerca de los shells de perfil, consulte Shells de perfiles y derechos de verificación.
Si la tarea se asigna directamente a usted como usuario, cree un shell de perfil en una de las siguientes formas:
Utilice el comando pfbash para crear un shell que se evalúe los derechos administrativos.
En el ejemplo siguiente, se le ha asignado directamente el perfil de derechos de configuración de auditoría. El siguiente conjunto de comandos le permite ver los valores de preselección de auditoría y la política de auditoría en el shell de perfil pfbash:
% pfbash # auditconfig -getflags active user default audit flags = ua,ap,lo(0x45000,0x45000) configured user default audit flags = ua,ap,lo(0x45000,0x45000) # auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt
Use el comando pfexec para ejecutar un comando administrativo.
En el ejemplo siguiente, se le ha asignado directamente el perfil de derechos de configuración de auditoría autenticado como un perfil de derechos. Puede ejecutar un comando con privilegios de este perfil utilizando el nombre de ese comando pfexec con el nombre de ese comando. Por ejemplo, puede ver los indicadores de auditoría preseleccionados del usuario:
% pfexec auditconfig -getflags Enter password: Type your user password active user default audit flags = ua,ap,lo(0x45000,0x45000) configured user default audit flags = ua,ap,lo(0x45000,0x45000)
En general, para ejecutar otro comando con privilegios que se incluye en los derechos, debe escribir pfexec de nuevo antes de escribir el comando con privilegios. Para obtener más información, consulte la página del comando man pfexec(1). Si está configurado con contraseña con almacenamiento en caché, puede ejecutar comandos posteriores dentro de un intervalo configurable sin proporcionar una contraseña, como se muestra en el ejemplo Example 5–2.
Si no es un usuario root con UID de 0, no puede editar archivos del sistema de manera predeterminada. Sin embargo, si se le asigna la autorización solaris.admin.edit/path-to-system-file, puede editar system-file. Por ejemplo, si se le asigna la autorización solaris.admin.edit/etc/security/audit_warn, puede editar el archivo audit_warn utilizando el comando pfedit.
# pfedit /etc/security/audit_warn
Para obtener más información, consulte la página del comando man pfedit (4) . Este comando es para uso de todos los administradores.
Ejemplo 5-2 Almacenamiento en la caché de la autenticación para facilitar el uso del rolEn este ejemplo, el administrador configura un rol para gestionar configuración de auditoría, pero proporciona facilidad mediante el almacenamiento en caché de la autenticación del usuario. En primer lugar, el administrador crea y asigna el rol.
# roleadd -K roleauth=user -P "Audit Configuration" audadmin # usermod -R +audadmin jdoe
Cuando jdoe utiliza la opción –c al cambiar al rol, se necesita una contraseña antes de que la salida de auditconfig se muestre:
% su - audadmin -c auditconfig option Password: xxxxxxxx auditconfig output
Si la autenticación no se almacena en caché, cuando jdoe ejecuta el comando de nuevo, aparece un indicador de contraseña.
El administrador crea un archivo en el directorio pam.d para contener una pila su que activa el almacenamiento en caché de la autenticación. Cuando la autenticación se almacena en caché, se requiere una contraseña inicialmente, pero no hasta que transcurre una determinada cantidad de tiempo.
# pfedit /etc/pam.d/su ## Cache authentication for switched user # auth required pam_unix_cred.so.1 auth sufficient pam_tty_tickets.so.1 auth requisite pam_authtok_get.so.1 auth required pam_dhkeys.so.1 auth required pam_unix_auth.so.1
Después de crear el archivo, el administrador comprueba que las entradas no tengan errores ortográficos, omisiones ni repeticiones.
El administrador debe proporcionar la pila su anterior completa. El módulo pam_tty_tickets.so.1 implementa la caché. Para obtener más información acerca del módulo de autenticación conectable, consulte las páginas del comando man pam_tty_tickets(5) y pam.conf(4) y Capítulo 1, Uso de módulos de autenticación conectables de Gestión de Kerberos y otros servicios de autenticación en Oracle Solaris 11.2 .
Después de que el administrador agrega el archivo PAM su y reinicia el sistema, a todos los roles, incluido el rol audadmin, se les solicitará una vez una contraseña al ejecutar un grupo de comandos.
% su - audadmin -c auditconfig option Password: xxxxxxxx auditconfig output % su - audadmin -c auditconfig option auditconfig output ...Ejemplo 5-3 Asunción del rol root
En el ejemplo siguiente, el usuario inicial asume el rol root y enumera los privilegios en el shell del rol.
% roles root % su - root Password: xxxxxxxx # Prompt changes to root prompt # ppriv $$ 1200: pfksh flags = <none> E: all I: basic P: all L: all
Para obtener información acerca de los privilegios, consulte Gestión de derechos de procesos y la página del comando man ppriv(1).
Ejemplo 5-4 Asumir un rol ARMOREn este ejemplo, el usuario asume un rol ARMOR asignado por el administrador.
En una ventana de terminal, el usuario determina qué roles están asignados.
% roles fsadm sysop
A continuación, el usuario asume el rol fsadmrol y proporciona la contraseña del usuario.
% su - fsadm Password: xxxxxxxx #
El nombre del comando su - rol cambia el shell del terminal a un shell de perfil. El usuario es ahora el rol fsadm en esta ventana de terminal.
Para determinar los comandos que se pueden ejecutar en este rol, el usuario sigue las instrucciones en Lista de perfiles de derechos.