test

系统管理指南:基本管理

成为超级用户 (root) 或承担角色

多数管理任务(如添加用户或管理文件系统)要求您首先以 root (UID=0) 身份登录或者承担角色(如果使用 RBAC)。root 帐户又称作超级用户帐户,可用来对系统进行更改,还可以在紧急情况下覆盖用户的文件保护。

为防止随意更改系统,超级用户帐户和角色只应当用来执行管理任务。与超级用户帐户相关的安全问题就是,即使用户执行很少的任务,也能够完全访问系统。

在非 RBAC 环境中,可以超级用户的身份登录系统,也可以使用 su 命令切换到超级用户帐户。如果实现了 RBAC,则可以通过控制台承担角色,或者使用 su 指定角色。

在使用控制台执行管理任务时,可以执行以下操作之一:

RBAC 的一个主要优点就是,可以创建对特定功能进行有限访问的角色。如果使用 RBAC,则可以通过承担角色(而不是成为超级用户)来运行受限制的应用程序。

有关创建主管理员角色的分步说明,请参见如何创建第一个角色(主管理员)。有关 RBAC 的概述,请参见 《系统管理指南:安全性服务》中的第 9  章 “使用基于角色的访问控制(任务)”

Procedure如何成为超级用户 (root) 或承担角色

可通过使用以下方法之一成为超级用户或承担角色。每种方法都要求您知道超级用户口令或角色口令。

  1. 通过选择以下方法的其中之一,成为超级用户:

    • 以用户身份登录,然后执行以下操作:

      1. 启动 Solaris Management Console。

      2. 选择 Solaris 管理工具。

      3. root 身份登录。

      通过此方法可以从控制台执行任何管理任务。

      有关启动 Solaris Management Console 的信息,请参见如何在名称服务环境中启动 Solaris Management Console

    • 以超级用户身份登录系统控制台。


      hostname console: root
Password: root-password
#

      井号 (#) 是超级用户帐户的 shell 提示符。

      此方法提供对所有系统命令和工具的完全访问权限。

    • 以用户身份登录,然后通过在命令行上使用 su 命令切换到超级用户帐户。


      % su
Password: root-password
#

      此方法提供对所有系统命令和工具的完全访问权限。

    • 以超级用户身份远程登录。

      此方法在缺省情况下处于禁用状态。必须修改 /etc/default/login 文件,允许以超级用户身份远程登录系统控制台。有关修改此文件的信息,请参见《系统管理指南:安全性服务》中的第 3  章 “控制对系统的访问(任务)”

      此方法提供对所有系统命令和工具的完全访问权限。

  2. 承担角色。

    选择以下引导方法之一:

    • 以用户身份登录,然后通过在命令行上使用 su 命令切换到角色。


      % su role
Password: role-password
$

      此方法提供对角色能够访问的所有命令和工具的访问权限。

    • 以用户身份登录,然后执行以下操作:

      1. 启动 Solaris Management Console。

      2. 选择 Solaris 管理工具。

      3. 承担角色。

      有关启动 Solaris Management Console 的信息,请参见如何以超级用户或角色身份启动控制台

      此方法提供对角色能够访问的所有 Solaris 管理工具的访问权限。