Uso de sus derechos administrativos asignados

Idioma:

En el rol root, el usuario inicial tiene todos los derechos administrativos. Como root, este usuario puede asignar derechos administrativos, como un rol, un perfil de derechos o privilegios y autorizaciones específicos para usuarios de confianza. En esta sección, se describe cómo estos usuarios pueden utilizar sus derechos asignados.

Notas - Oracle Solaris proporciona un editor para los archivos administrativos especiales. Al editar archivos administrativos, utilice el comando pfedit. El Example 5–1 muestra cómo activar root usuarios para editar archivos de sistema especificados.

Para realizar sus tareas administrativas, abra una ventana de terminal y seleccione una de las siguientes opciones:

Si está usando sudo, escriba el comando sudo.

Para administradores que estén familiarizados con el comando sudo, ejecute el comando con el nombre de un comando administrativo que se le asigna en el archivo sudoers. Para obtener más información, consulte las páginas del comando man sudo (1M) y sudoers (4) .
Si la tarea requiere privilegios de superusuario, conviértase en usuario root root.
```
% su -
Password: xxxxxxxx
#
```
Notas - Este método funciona si root es un usuario o un rol. El signo de almohadilla (#) indica que ahora es un usuario root.
Si la tarea está asignada a un rol, asuma el rol que puede realizar esa tarea.

En el siguiente ejemplo, asume un rol de configuración de auditoría. Este rol incluye el perfil de derechos de configuración de auditoría. Ha recibido la contraseña de rol del administrador.
```
% su - audadmin
Password: xxxxxxxx
#
```
Consejo - Si no ha recibido una contraseña de rol, el administrador ha configurado el rol para solicitar la contraseña de usuario. Escriba su contraseña de usuario para asumir el rol. Para obtener más información sobre esta opción, consulte Example 3–16.

El shell en el que escribió este comando se encuentra en un shell de perfil. En este shell, puede ejecutar el comando auditconfig. Para obtener más información acerca de los shells de perfil, consulte Shells de perfiles y derechos de verificación.

Consejo - Para ver los derechos de su rol, consulte: Lista de perfiles de derechos.
Si la tarea se asigna directamente a usted como usuario, cree un shell de perfil en una de las siguientes formas:
- Utilice el comando pfbash para crear un shell que se evalúe los derechos administrativos.
  
  En el ejemplo siguiente, se le ha asignado directamente el perfil de derechos de configuración de auditoría. El siguiente conjunto de comandos le permite ver los valores de preselección de auditoría y la política de auditoría en el shell de perfil pfbash:
```
% pfbash
# auditconfig -getflags
active user default audit flags = ua,ap,lo(0x45000,0x45000)
configured user default audit flags = ua,ap,lo(0x45000,0x45000)
# auditconfig -getpolicy
configured audit policies = cnt
active audit policies = cnt
```
- Use el comando pfexec para ejecutar un comando administrativo.
  
  En el ejemplo siguiente, se le ha asignado directamente el perfil de derechos de configuración de auditoría autenticado como un perfil de derechos. Puede ejecutar un comando con privilegios de este perfil utilizando el nombre de ese comando pfexec con el nombre de ese comando. Por ejemplo, puede ver los indicadores de auditoría preseleccionados del usuario:
```
% pfexec auditconfig -getflags
Enter password: Type your user password
active user default audit flags = ua,ap,lo(0x45000,0x45000)
configured user default audit flags = ua,ap,lo(0x45000,0x45000)
```
  En general, para ejecutar otro comando con privilegios que se incluye en los derechos, debe escribir pfexec de nuevo antes de escribir el comando con privilegios. Para obtener más información, consulte la página del comando man pfexec(1). Si está configurado con contraseña con almacenamiento en caché, puede ejecutar comandos posteriores dentro de un intervalo configurable sin proporcionar una contraseña, como se muestra en el ejemplo Example 5–2.

Ejemplo 5-1 Edición de un archivo del sistema

Si no es un usuario root con UID de 0, no puede editar archivos del sistema de manera predeterminada. Sin embargo, si se le asigna la autorización solaris.admin.edit/path-to-system-file, puede editar system-file. Por ejemplo, si se le asigna la autorización solaris.admin.edit/etc/security/audit_warn, puede editar el archivo audit_warn utilizando el comando pfedit.

# pfedit /etc/security/audit_warn

Para obtener más información, consulte la página del comando man pfedit (4) . Este comando es para uso de todos los administradores.

Ejemplo 5-2 Almacenamiento en la caché de la autenticación para facilitar el uso del rol

En este ejemplo, el administrador configura un rol para gestionar configuración de auditoría, pero proporciona facilidad mediante el almacenamiento en caché de la autenticación del usuario. En primer lugar, el administrador crea y asigna el rol.

# roleadd -K roleauth=user -P "Audit Configuration" audadmin
# usermod -R +audadmin jdoe

Cuando jdoe utiliza la opción –c al cambiar al rol, se necesita una contraseña antes de que la salida de auditconfig se muestre:

% su - audadmin -c auditconfig option
Password: xxxxxxxx 
auditconfig output

Si la autenticación no se almacena en caché, cuando jdoe ejecuta el comando de nuevo, aparece un indicador de contraseña.

El administrador crea un archivo en el directorio pam.d para contener una pila su que activa el almacenamiento en caché de la autenticación. Cuando la autenticación se almacena en caché, se requiere una contraseña inicialmente, pero no hasta que transcurre una determinada cantidad de tiempo.

# pfedit /etc/pam.d/su
## Cache authentication for switched user
#
auth required           pam_unix_cred.so.1
auth sufficient         pam_tty_tickets.so.1
auth requisite          pam_authtok_get.so.1
auth required           pam_dhkeys.so.1
auth required           pam_unix_auth.so.1

Después de crear el archivo, el administrador comprueba que las entradas no tengan errores ortográficos, omisiones ni repeticiones.

El administrador debe proporcionar la pila su anterior completa. El módulo pam_tty_tickets.so.1 implementa la caché. Para obtener más información acerca del módulo de autenticación conectable, consulte las páginas del comando man pam_tty_tickets(5) y pam.conf(4) y Capítulo 1, Uso de módulos de autenticación conectables de Gestión de Kerberos y otros servicios de autenticación en Oracle Solaris 11.2 .

Después de que el administrador agrega el archivo PAM su y reinicia el sistema, a todos los roles, incluido el rol audadmin, se les solicitará una vez una contraseña al ejecutar un grupo de comandos.

% su - audadmin -c auditconfig option
Password: xxxxxxxx 
auditconfig output
% su - audadmin -c auditconfig option 
auditconfig output
...

Ejemplo 5-3 Asunción del rol root

En el ejemplo siguiente, el usuario inicial asume el rol root y enumera los privilegios en el shell del rol.

% roles
root
% su - root
Password: xxxxxxxx
# Prompt changes to root prompt
# ppriv $$
1200:   pfksh
flags = <none>
        E: all
        I: basic
        P: all
        L: all

Para obtener información acerca de los privilegios, consulte Gestión de derechos de procesos y la página del comando man ppriv(1).

Ejemplo 5-4 Asumir un rol ARMOR

En este ejemplo, el usuario asume un rol ARMOR asignado por el administrador.

En una ventana de terminal, el usuario determina qué roles están asignados.

% roles
fsadm
sysop

A continuación, el usuario asume el rol fsadmrol y proporciona la contraseña del usuario.

% su - fsadm
Password: xxxxxxxx
#

El nombre del comando su - rol cambia el shell del terminal a un shell de perfil. El usuario es ahora el rol fsadm en esta ventana de terminal.

Para determinar los comandos que se pueden ejecutar en este rol, el usuario sigue las instrucciones en Lista de perfiles de derechos.