Dieses Kapitel enthält eine allgemeine Übersicht zu den Funktionen von Benutzern, Rollen und Zugriffsrechteprofilen im Oracle Solaris-Betriebssystem.
Die Zuweisung von Benutzerkonten, Rollen und Zugriffsrechteprofilen in Oracle Solaris entspricht den Spezifikationen für rollenbasierte Zugriffskontrolle (RBAC, Role-Based Access Control). RBAC bietet eine sichere Alternative zum allumfassenden Superuser-Modell.
RBAC implementiert das Sicherheitsprinzip der niedrigsten Berechtigung. Niedrigste Berechtigung bedeutet, dass ein Benutzer nur über die Funktionen verfügt, die zum Ausführen einer bestimmten Aufgabe erforderlich sind. Funktionen, die über die normalen Benutzerfunktionen hinausgehen, werden in Zugriffsrechteprofilen zusammengefasst. Diese Profile werden speziellen Benutzerkonten zugewiesen, den so genannten Rollen. Ein Benutzer übernimmt eine Rolle, um eine Aufgabe auszuführen, die einige Superuser-Funktionen umfasst.
In der standardmäßigen Oracle Solaris-Systemkonfiguration wird das während der Installation erstellte Benutzerkonto der root-Rolle zugewiesen, wenn das textbasierte Installationsprogramm verwendet wurde. Wenn Sie während der Installation kein Benutzerkonto erstellt haben, wird root als ein Konto eingerichtet. Weitere Informationen finden Sie unter Einrichten von Benutzerkonten.
Lesen Sie zum besseren Verständnis des Zwecks und der Funktion der Benutzerkonten, Rollen und Zugriffsrechteprofile die folgenden Hinweise:
Ein Benutzerkonto ist ein Anmeldekonto. Normale Benutzer können sich am System anmelden und es verwenden, aber nicht verwalten.
Eine Rolle ist kein Anmeldekonto. Sie können sich beispielsweise nicht direkt für die Rolle root anmelden. Stattdessen melden Sie sich mit Ihrem Benutzernamen an, und verwenden anschließend den Befehl su - root, um die Rolle root zu übernehmen. Ein Benutzer kann nur Rollen übernehmen, die dem Anmeldekonto des jeweiligen Benutzers zugewiesen sind.
Ein Zugriffsrechteprofil ist eine Zusammenstellung mehrerer Administrationsfunktionen, die normalerweise einer Rolle zugewiesen wird, jedoch auch einem Benutzer zugewiesen werden kann. Die Namen der Zugriffsrechteprofile geben die Funktionen der Profile an, beispielsweise Systemadministrator oder Druckerverwaltung. Normalerweise erstellt der Systemadministrator eine Rolle mit dem gleichen Namen wie das Zugriffsrechteprofil und weist das Profil dieser Rolle zu. Außerdem sind Zugriffsrechteprofile hierarchisch aufgebaut, ein Zugriffsrechteprofil kann andere Zugriffsrechteprofile enthalten. Wenn eine Rolle einem Zugriffsrechteprofil zugewiesen ist, das andere Profile enthält, verfügt diese Rolle über alle Funktionen aller anderen Profile.
Oracle Solaris enthält vordefinierte Zugriffsrechteprofile. Diese Profile sind unter /etc/security/prof_attr aufgeführt und können von der root-Rolle einem beliebigen Konto zugewiesen werden. Der root-Rolle sind alle Berechtigungen zugewiesen, sodass sie alle Aufgaben ausführen kann. Das Gleiche gilt für root, wenn root einem Benutzer entspricht.
Um administrative Funktionen durchzuführen, öffnen Sie ein Terminal-Fenster und wechseln Sie den Benutzer zu root. In diesem Terminal-Fenster können Sie alle administrativen Funktionen ausführen.
$ su - root Password: Type root password # |
Nach dem Beenden der Shell können die root-Funktionen nicht mehr verwendet werden.
Während der Oracle Solaris-Installation werden Sie aufgefordert, ein Benutzerkonto und ein Passwort für Ihr System festzulegen.
Bei einer GUI-Installation vom ISO-Abbild der Live-CD müssen die Felder für Benutzerkonto und Passwort ausgefüllt werden. Das Benutzerpasswort ist auch das anfängliche root-Passwort für das System.
Bei einer textbasierten Installation müssen Sie ein Benutzerkonto und Passwort sowie ein root-Passwort für das System erstellen. Während dieser Installation übernehmen Sie die Rolle des root-Benutzers. Wenn Sie jedoch während der Installation kein Benutzerkonto erstellen, wird root als Konto und nicht als Rolle eingerichtet.
Wenn Sie Oracle Solaris mit einem textbasierten Installationsprogramm installiert haben, gelten nicht alle in diesem Kapitel beschriebenen Spezifikationen für Benutzerkonto und root.
Beachten Sie die folgenden Spezifikationen für Anmeldung, Benutzerkonto und root:
Mit der root-Rolle können Sie keine Anmeldung durchführen. Sie müssen sich als der Benutzer anmelden, den Sie während der Installation erstellt haben. Nach der Anmeldung können Sie die root-Rolle übernehmen, um das System zu konfigurieren. Um die Rolle zu übernehmen, öffnen Sie ein Terminal-Fenster und verwenden Sie den Befehl su - root.
Wenn Sie sich auf dem installierten System mit root anmelden, wird eine Fehlermeldung angezeigt. Klicken Sie auf "OK", und melden Sie sich dann als der Benutzer an, den Sie während der Installation erstellt haben.
Nach der Installation von Oracle Solaris können Sie das installierte System ändern, um eine Anmeldung mit root zu ermöglichen. Sie müssen jedoch zuerst root als eine zugewiesene Rolle entfernen.
# usermod -R your-login |
Durch den vorhergehenden Befehl werden alle zugewiesenen Rollen vom Anmeldekonto entfernt.
Sie können die root-Rolle zu einem Benutzerkonto ändern, mit dem eine Anmeldung möglich ist. Um root zu einem Benutzer zu ändern, geben Sie den folgenden Befehl in ein Terminal-Fenster ein:
# rolemod -K type=normal root |
Dieser Befehl kann nicht daraufhin eingegeben werden, wenn die root-Rolle weiterhin einem Benutzer zugewiesen ist.
Wenn Sie den lokalen Benutzernamen oder das Passwort, den bzw. das Sie bei der Installation eingegeben haben, vergessen, booten Sie das System im Wartungsmodus wie unter So beheben Sie Fehler bei der Anmeldung beschrieben.
Rollen können nur Benutzern zugewiesen werden.
Um festzustellen, welche Rollen Ihrem Benutzerkonto zugewiesen sind, öffnen Sie ein Terminal-Fenster und geben Folgendes ein:
$ roles root |
Um eine vorhandene Rolle einem Benutzer zuzuweisen, verwenden Sie den Befehl usermod.
# usermod -R zfssnap username |
Verwenden Sie den Befehl roleadd, um eine Rolle zu erstellen, und den Befehl usermod, um die Rolle einem Benutzer zuzuweisen.
Verwenden Sie zum Erstellen einer Rolle eine der folgenden zwei Möglichkeiten:
# roleadd -K profiles="System Administrator" sysadmin |
# roleadd sysadmin # rolemod -P "System Administrator" sysadmin |
So weisen Sie die Rolle zu:
# usermod -R zfssnap,sysadmin username |
Weitere Informationen erhalten Sie in Kapitel 8, Using Roles and Privileges (Overview) in System Administration Guide: Security Services.
Weitere Informationen erhalten Sie in den folgenden zusätzlichen Quellen.
Thema |
Weitere Informationen |
---|---|
Konfigurieren und Verwenden von RBAC |
Configuring and Using RBAC in System Administration Guide: Security Services |
Systemverwaltungsaufgaben zum Einrichten und Verwalten von Benutzerkonten und Gruppen |