Chapitre 3 Gestion des utilisateurs N1 System Manager et sécurité
Ce chapitre fournit des informations sur les règles de sécurité et de gestion des utilisateurs dans N1 System Manager.
Les tâches de gestion des utilisateurs traitées dans ce chapitre sont les suivantes :
Les tâches de gestion des rôles traitées dans ce chapitre sont les suivantes :
Introduction aux règles de sécurité N1 System Manager relatives aux utilisateurs
N1 System Manager intègre un système de comptes utilisateurs permettant un accès basé sur le rôle des utilisateurs à ses principales fonctionnalités (commandes et zones de l'interface de navigateur) via un ensemble de privilèges prédéfinis. Un privilège est une fonction d'administration prédéfinie de N1 System Manager, telle que l'installation de distributions de SE ou la suppression de tâches. Un rôle est un ensemble de privilèges auxquels un utilisateur a accès. N1 System Manager utilise trois rôles par défaut, mais vous pouvez créer des rôles personnalisés en fonction des besoins de votre installation.
Le tableau suivant fournit la liste des rôles par défaut disponibles dans N1 System Manager. Ces rôles ne peuvent pas être modifiés.
Tableau 3–1 Rôles N1 System Manager par défaut|
Rôle |
Privilèges |
Description |
|---|---|---|
|
Admin |
Tous les privilèges, excepté les privilèges SecurityAdmin |
Ce rôle bénéficie de tous les privilèges disponibles dans N1 System Manager, à l'exception de ceux spécifiques à la gestion des rôles, qui sont réservés au rôle SecurityAdmin. |
|
ReadOnly |
Tous les privilèges de lecture (*Read), excepté les privilèges SecurityAdmin |
Ce rôle autorise l'utilisateur à consulter uniquement les informations d'état (en lecture seule) relatives à N1 System Manager. |
|
SecurityAdmin |
RoleRead, RoleWrite, UserRead , UserWrite, PrivilegeRead |
Seul ce rôle bénéficie des privilèges requis pour les opérations de gestion des rôles, telles que la création de rôles, l'ajout de privilèges aux rôles et l'assignation de rôles aux utilisateurs. |
Lorsque vous installez le logiciel Sun N1 System Manager, le superutilisateur du serveur de gestion (root) se voit automatiquement assigner les trois rôles N1 System Manager par défaut, le rôle Admin étant configuré par défaut.
Les utilisateurs auxquels est assigné le rôle SecurityAdmin (les administrateurs de sécurité) sont autorisés à créer de nouveaux rôles en fonction des besoins de leur organisation, ce qui inclut l'ajout d'un ou plusieurs privilèges à ces rôles. Ils peuvent également assigner des rôles aux utilisateurs.
Par exemple, il peut arriver qu'il soit nécessaire de limiter certains utilisateurs à la gestion des mises à jour de SE sur les serveurs de déploiement. Dans ce cas, un administrateur de sécurité peut créer un rôle, appelé OSUpdateAdmin, et lui assigner les privilèges suivants : GroupRead, JobRead, LogRead, ServerDeployUpdate, ServerRead, UpdateRead et UpdateWrite. Reportez-vous au Tableau 3–2 pour une description détaillée des privilèges. Ensuite, l'administrateur de sécurité doit assigner ce rôle aux utilisateurs concernés. Si OSUpdateAdmin est le seul rôle assigné aux utilisateurs, ces derniers ne pourront pas accéder aux autres fonctionnalités de N1 System Manager, à l'exception de la fonction de gestion des mises à jour de SE.
Remarque –
Les utilisateurs, autres que le superutilisateur, ayant uniquement le rôle SecurityAdmin ne sont pas autorisés à étendre leurs privilèges, que ce soit par l'ajout de nouveaux privilèges au rôle SecurityAdmin non modifiable ou par l'ajout de nouveaux privilèges à leur propre compte utilisateur. Reportez-vous à la section Règles relatives à l'administrateur de sécurité pour de plus amples détails à ce sujet.
Le tableau ci-dessous dresse la liste des privilèges prédéfinis pouvant être assignés aux rôles. Une version abrégée de cette liste peut être affichée à l'aide de la commande show privilege.
Tableau 3–2 Privilèges N1 System Manager|
Privilège |
Description |
Commandes |
|---|---|---|
|
Discover |
Détection des serveurs |
discover |
|
FirmwareRead |
Affichage des mises à jour de microprogramme |
show firmware |
|
FirmwareWrite |
Gestion des mises à jour de microprogramme |
create firmware delete firmware set firmware |
|
GroupRead |
Affichage des groupes de serveurs |
show group |
|
GroupWrite |
Gestion des groupes de serveurs |
create group delete group add group remove group set group |
|
JobRead |
Affichage des tâches |
show job |
|
JobWrite |
Suppression ou arrêt des tâches |
delete job stop job |
|
LogRead |
Affichage du journal d'événements |
show log |
|
NotificationRuleRead |
Affichage des règles de notification |
show notification |
|
NotificationRuleWrite |
Gestion des règles de notification |
create notification delete notification set notification start notification stop notification |
|
NotificationRuleTest |
Test d'une règle de notification |
set notification notification test |
|
OSProfileRead |
Affichage des profils de SE |
show osprofile |
|
OSProfileWrite |
Gestion des profils de SE |
add osprofile remove osprofile create osprofile delete osprofile set osprofile |
|
OSRead |
Affichage des distributions de SE |
show os |
|
OSWrite |
Gestion des distributions de SE |
create os delete os set os |
|
PrivilegeRead |
Affichage des privilèges |
show privilege |
|
RoleRead |
Affichage des rôles |
show role |
|
RoleWrite |
Gestion des rôles |
create role delete role add role remove role set role |
|
ServerBoot |
Redémarrage des serveurs |
reset group reset server |
|
ServerDeployFirmware |
Installation des microprogrammes sur les serveurs |
load server serveur firmware load group groupe firmware |
|
ServerDeployOS |
Installation de systèmes d'exploitation sur les serveurs |
load server serveur osprofile load group groupe osprofile |
|
ServerDeployUpdate |
Installation ou désinstallation de mises à jour de SE sur les serveurs |
load server serveur update load group groupe update unload server serveur update unload group groupe update |
|
ServerExecute |
Exécution des commandes sur les serveurs |
start server serveur command start group groupe command |
|
ServerPower |
Mise sous et hors tension des serveurs |
stop group stop server start group start server |
|
ServerRead |
Affichage et actualisation des serveurs |
show server set group groupe refresh set server serveur refresh |
|
ServerWrite |
Gestion des serveurs et des agents de gestion |
set server delete server |
|
UpdateRead |
Affichage des mises à jour de SE |
show update |
|
UpdateWrite |
Ajout et suppression des mises à jour de SE |
create update delete update |
|
UserRead |
Affichage des utilisateurs |
show user |
|
UserWrite |
Gestion des utilisateurs |
create user delete user add user remove user set user |
Règles relatives à l'administrateur de sécurité
Il est possible de configurer de façon sécurisée un utilisateur N1 System Manager autre que le superutilisateur pour qu'il dispose des privilèges d'administrateur de sécurité en lui assignant uniquement le rôle SecurityAdmin. Dans ce cas, il ne peut pas étendre ses privilèges, que ce soit par l'ajout de nouveaux privilèges au rôle SecurityAdmin (qui ne peut pas être modifié) ou par l'ajout de nouveaux rôles à son compte utilisateur.
Il n'est pas possible de configurer le superutilisateur (root) de façon à lui assigner uniquement les privilèges d'administrateur de sécurité, car le superutilisateur est autorisé à étendre les privilèges du compte root en lui assignant de nouveaux rôles.
De même, un utilisateur ne peut pas disposer uniquement des privilèges associés à l'administrateur de sécurité si le rôle SecurityAdmin et un autre rôle personnalisé lui sont déjà assignés. Ces utilisateurs pourraient en effet utiliser leurs privilèges SecurityAdmin pour ajouter des privilèges à leur rôle personnalisé et ainsi étendre leurs privilèges.
Gestion des utilisateurs
À tout moment, il est possible de créer des utilisateurs N1 System Manager. Lorsque vous installez le logiciel Sun N1 System Manager, le superutilisateur du serveur de gestion (root) se voit automatiquement assigner les trois rôles N1 System Manager par défaut, le rôle Admin étant configuré par défaut.
Le tableau suivant constitue une référence rapide pour toutes les tâches et commandes associées permettant de gérer les utilisateurs.
Tableau 3–3 Référence rapide pour la gestion des utilisateurs|
Tâche |
Syntaxe de la commande |
|---|---|
|
# useradd -s # n1sh create user utilisateur role rôle |
|
|
# n1sh delete user utilisateur # userdel |
|
|
set user utilisateur defaultrole rôle_par_défaut |
|
|
show user utilisateur |
|
|
add user utilisateur role rôle |
|
|
remove user utilisateur role rôle |
|
|
show user utilisateur |
Ajout d'un utilisateur N1 System Manager
Avant de commencer
Pour créer un compte utilisateur au niveau du système d'exploitation de serveur de gestion, vous devez être superutilisateur (root). Les étapes restantes de cette procédure doivent être effectuées par un utilisateur auquel a été assigné le rôle SecurityAdmin, tel que le compte superutilisateur utilisé dans la procédure ci-dessous.
Lors de la création d'un utilisateur dans N1 System Manager, vous pouvez également configurer le shell de connexion de l'utilisateur comme étant un shell UNIX ou le shell N1–ok> (commande n1sh). Si vous optez pour le shell N1–ok>, l'utilisateur accèdera automatiquement au shell N1–ok> lors de sa connexion à serveur de gestion.
Étapes
-
Connectez-vous en tant que superutilisateur au serveur de gestion à partir d'un système distant.
$ ssh -l root serveur_gestion
serveur_gestion correspond au nom d'hôte ou à l'adresse IP du serveur de gestion.
-
Entrez un mot de passe lorsque vous y êtes invité.
-
Créez un utilisateur dans serveur de gestion à l'aide de la commande useradd(1m).
Fournissez les données de configuration suivantes :
-
Utilisez l'option useradd -s pour configurer le shell de l'utilisateur de façon à le connecter automatiquement au shell n1–ok> (commande n1sh). Par exemple : useradd -s /opt/sun/n1gc/bin/n1sh
-
Utilisez la commande passwd pour définir le mot de passe de l'utilisateur.
-
Ajoutez /opt/sun/n1gc/bin au chemin d'accès de l'utilisateur pour lui donner accès à la commande n1sh.
-
-
Ajoutez l'utilisateur dans N1 System Manager en lui assignant un ou plusieurs rôles.
# n1sh -r SecurityAdmin create user utilisateur role rôle[,rôle...]
L'option -r permet d'utiliser la commande n1sh avec le rôle SecurityAdmin, ce qui est nécessaire pour effectuer cette opération. Pour plus de détails, consultez la section create user. Par la suite, vous pouvez également utiliser la commande add user pour assigner des rôles supplémentaires à l'utilisateur.
Suppression d'un utilisateur N1 System Manager
Avant de commencer
Pour supprimer un compte utilisateur existant au niveau du système d'exploitation de serveur de gestion, vous devez être superutilisateur (root). Les étapes restantes de cette procédure doivent être effectuées par un utilisateur auquel a été assigné le rôle SecurityAdmin, tel que le compte superutilisateur utilisé dans la procédure ci-dessous.
Étapes
-
Connectez-vous en tant que superutilisateur au serveur de gestion à partir d'un système distant.
$ ssh -l root serveur_gestion
serveur_gestion correspond au nom d'hôte du serveur de gestion.
-
Un message vous invite à saisir un mot de passe.
-
Supprimez l'utilisateur de N1 System Manager.
# n1sh -r SecurityAdmin delete user utilisateur
L'option -r permet d'utiliser la commande n1sh avec le rôle SecurityAdmin, ce qui est nécessaire pour effectuer cette opération. Pour plus de détails, consultez la section delete user.
-
(Facultatif) Vous pouvez supprimer le compte utilisateur à partir du serveur de gestion en utilisant la commande userdel(1m).
Définition du rôle par défaut d'un utilisateur
Les utilisateurs sont automatiquement connectés à N1 System Manager avec leur rôle par défaut.
Étapes
-
Connectez-vous à N1 System Manager.
Reportez-vous à la section Accès à la ligne de commande de N1 System Manager pour plus de détails à ce sujet.
-
Affichez les rôles assignés à l'utilisateur.
N1-ok> show user utilisateur
Pour plus de détails, consultez la section show user.
-
Définissez le rôle par défaut de l'utilisateur.
N1-ok> set user utilisateur defaultrole rôle_par_défaut
Pour plus de détails, consultez la section set user.
Exemple 3–1 Définition du rôle par défaut d'un utilisateur
N1-ok> show user root Name: root Default Role: Admin Roles: SecurityAdmin, ReadOnly, Admin N1-ok> set user root defaultrole SecurityAdmin |
Affichage du rôle par défaut d'un utilisateur
Étapes
-
Connectez-vous à N1 System Manager.
Reportez-vous à la section Accès à la ligne de commande de N1 System Manager pour plus de détails à ce sujet.
-
Affichez le rôle par défaut d'un utilisateur.
N1-ok> show user utilisateur
Pour plus de détails, consultez la section show user.
Exemple 3–2 Affichage du rôle par défaut d'un utilisateur
N1-ok> show user root Name: root Default Role: Admin Roles: SecurityAdmin, ReadOnly, Admin |
Ajout d'un rôle à un utilisateur
Étapes
-
Connectez-vous à N1 System Manager.
Reportez-vous à la section Accès à la ligne de commande de N1 System Manager pour plus de détails à ce sujet.
-
Ajoutez un rôle à un utilisateur.
N1-ok> add user utilisateur role rôle[,rôle...]
Pour plus de détails, consultez la section add user. Vous pouvez utiliser la commande show role all pour afficher la liste de tous les rôles valides.
Suppression d'un rôle assigné à un utilisateur
Étapes
-
Connectez-vous à N1 System Manager.
Reportez-vous à la section Accès à la ligne de commande de N1 System Manager pour plus de détails à ce sujet.
-
Supprimez un rôle assigné à un utilisateur.
N1-ok> remove user utilisateur role rôle
Pour plus de détails, consultez la section remove user. Vous pouvez utiliser la commande show user utilisateur pour afficher la liste de tous les rôles assignés à un utilisateur donné.
Affichage des rôles assignés à un utilisateur
Étapes
-
Connectez-vous à N1 System Manager.
Reportez-vous à la section Accès à la ligne de commande de N1 System Manager pour plus de détails à ce sujet.
-
Affichez les rôles assignés à un utilisateur.
N1-ok> show user utilisateur
Pour plus de détails, consultez la section show user.
Exemple 3–3 Affichage des rôles assignés à un utilisateur
N1-ok> show user root Name: root Default Role: Admin Roles: SecurityAdmin, ReadOnly, Admin |
Gestion des rôles
Le Tableau 3–1 fournit la liste des rôles par défaut disponibles dans N1 System Manager. Ces rôles ne peuvent pas être modifiés. Cependant, vous pouvez créer des rôles personnalisés pour répondre aux besoins organisationnels et professionnels de votre infrastructure.
Le tableau suivant constitue une référence rapide pour toutes les tâches et commandes associées permettant de gérer les rôles.
Tableau 3–4 Référence rapide pour la gestion des rôles|
Tâche |
Syntaxe de la commande |
|---|---|
|
create role rôle privilege privilège |
|
|
delete role rôle |
|
|
add role rôle privilege privilège |
|
|
remove role rôle privilege privilège |
|
|
show role all |
|
|
show role rôle |
|
|
show user all |
|
|
show privilege all |
Création d'un rôle
Étapes
-
Connectez-vous à N1 System Manager.
Reportez-vous à la section Accès à la ligne de commande de N1 System Manager pour plus de détails à ce sujet.
-
Créez un rôle avec un ou plusieurs privilèges.
N1-ok> create role rôle [description description] privilege privilège[,privilège...]
Pour plus de détails, consultez la section create role. Par la suite, vous pouvez également utiliser la commande add role pour associer des privilèges supplémentaires au rôle.
Suppression d'un rôle
Avant de commencer
Un rôle ne peut pas être supprimé s'il est toujours assigné à un ou plusieurs utilisateurs. Dans ce cas, si vous tentez de le supprimer, un message d'erreur s'affiche. Pour supprimer un rôle, un utilisateur autorisé doit d'abord le retirer aux utilisateurs auxquels il a été assigné, puis effectuer sa suppression.
Utilisez la commande show role all pour afficher la liste de tous les rôles disponibles.
Étapes
-
Connectez-vous à N1 System Manager.
Reportez-vous à la section Accès à la ligne de commande de N1 System Manager pour plus de détails à ce sujet.
-
Supprimez le rôle voulu.
N1-ok> delete role rôle
Pour plus de détails, consultez la section delete role.
Ajout d'un privilège à un rôle
Avant de commencer
Utilisez la commande show privilege all pour afficher la liste de tous les privilèges disponibles.
Étapes
-
Connectez-vous à N1 System Manager.
Reportez-vous à la section Accès à la ligne de commande de N1 System Manager pour plus de détails à ce sujet.
-
Ajoutez un privilège à un rôle.
N1-ok> add role rôle privilege privilège[,privilège]
Pour plus de détails, consultez la section add role.
Astuce –Pour ajouter la plupart des privilèges à un rôle, vous pouvez utiliser l'option all, puis la commande remove role pour supprimer les privilèges voulus.
Suppression d'un privilège assigné à un rôle
Avant de commencer
Utilisez la commande show role rôle pour afficher la liste de tous les privilèges assignés à un rôle.
Étapes
-
Connectez-vous à N1 System Manager.
Reportez-vous à la section Accès à la ligne de commande de N1 System Manager pour plus de détails à ce sujet.
-
Supprimez les privilèges assignés à un rôle.
N1-ok> remove role rôle privilege privilège
Pour plus de détails, consultez la section remove role.
Affichage des rôles disponibles
Étapes
-
Connectez-vous à N1 System Manager.
Reportez-vous à la section Accès à la ligne de commande de N1 System Manager pour plus de détails à ce sujet.
-
Affichez tous les rôles disponibles
N1-ok> show role all
Affichage des privilèges assignés à un rôle
Avant de commencer
Utilisez la commande show role all pour afficher la liste de tous les rôles disponibles.
Étapes
-
Connectez-vous à N1 System Manager.
Reportez-vous à la section Accès à la ligne de commande de N1 System Manager pour plus de détails à ce sujet.
-
Affichez les privilèges assignés à un rôle.
N1-ok> show role rôle
Pour plus de détails, consultez la section show role.
Exemple 3–4 Affichage des privilèges assignés à un rôle
N1-ok> show role SecurityAdmin Name: SecurityAdmin Privileges: UserWrite, RoleWrite, RoleRead, PrivilegeRead, UserRead |
Affichage des rôles assignés aux utilisateurs
Étapes
-
Connectez-vous à N1 System Manager.
Reportez-vous à la section Accès à la ligne de commande de N1 System Manager pour plus de détails à ce sujet.
-
Affichez les rôles assignés aux utilisateurs.
N1-ok> show user all
Affichage des privilèges disponibles
Étapes
-
Connectez-vous à N1 System Manager.
Reportez-vous à la section Accès à la ligne de commande de N1 System Manager pour plus de détails à ce sujet.
-
Affichez tous les privilèges disponibles
N1-ok> show privilege all
- © 2010, Oracle Corporation and/or its affiliates