Capítulo 5 Usuarios y roles
Este capítulo proporciona una descripción general sobre las funciones de los usuarios, los roles y los perfiles de derechos del sistema operativo OpenSolaris.
Cuentas de usuario, roles y perfiles de derechos
La asignación de cuentas de usuario, roles y perfiles de derechos en Oracle Solaris sigue las especificaciones de RBAC (Role-Based Access Control, control de acceso basado en roles). RBAC constituye una alternativa más segura que la del modelo de superusuario de "todo o nada".
RBAC implementa el principio de seguridad del privilegio mínimo. Privilegio mínimo significa que un usuario dispone únicamente de las capacidades necesarias para desempeñar una determinada tarea. Las capacidades que sobrepasan las capacidades normales de usuario se agrupan en perfiles de derechos. Estos perfiles se asignan a cuentas de usuario especiales, denominadas roles. Un usuario asume un rol para desempeñar una tarea que requiere algunas de las capacidades de superusuario.
En la configuración predeterminada del sistema Oracle Solaris, la cuenta de usuario que se crea durante la instalación tiene asignado el rol root si se ha utilizado el instalador de texto. Si no se ha creado ninguna cuenta de usuario durante la instalación, root se configura como cuenta. Consulte Configuración de las cuentas de usuario.
Para comprender mejor el propósito y la función de las cuentas de usuario, los roles y los perfiles de derechos, examine la información siguiente:
-
Una cuenta de usuario es una cuenta de inicio de sesión. Los usuarios habituales pueden iniciar sesión y usar el sistema, pero no administrarlo.
-
Un rol no es una cuenta de inicio de sesión. Por ejemplo, no se puede iniciar sesión directamente en el rol root, sino que debe iniciar sesión con su nombre de usuario y, a continuación, usar el comando su - root para asumir el rol root. Un usuario sólo puede asumir los roles asignados a la cuenta de inicio de sesión del usuario.
-
Un perfil de derechos es un conjunto de capacidades administrativas que suelen asignase a un rol pero que pueden asignarse a un usuario. Los nombres de los perfiles de derechos indican las capacidades de los perfiles, por ejemplo Administrador del sistema o Administración de la impresora. El administrador del sistema suele crear un rol con el mismo nombre que el perfil de derechos y asigna el perfil a ese rol. Los perfiles de derechos son jerárquicos, es decir, un perfil de derechos puede incluir otros perfiles de derechos. Cuando se asigna a un rol un perfil de derechos que incluye otros perfiles, el rol tiene las capacidades de todos estos perfiles.
Oracle Solaris proporciona perfiles de derechos predefinidos. Estos perfiles, enumerados en /etc/security/prof_attr, pueden asignarse a cualquier cuenta mediante el rol root. El rol root tiene asignados todos los privilegios y todas las autorizaciones, por lo que puede realizar todas las tareas, al igual que root cuando root es un usuario.
Para desempeñar funciones administrativas, debe abrir una ventana del terminal y conmutar el usuario a root. En dicho terminal puede desempeñar todas las funciones administrativas.
$ su - root Password: Type root password # |
Las capacidades de root dejan de tener vigencia una vez se sale del shell.
Configuración de las cuentas de usuario
En el proceso de instalación de Oracle Solaris, se indica al usuario que cree una cuenta de usuario y una contraseña para el sistema.
Para una instalación de GUI desde la imagen ISO del Live CD, la cuenta de usuario y la contraseña son campos que deben completarse durante la instalación. La contraseña de usuario es también la contraseña inicial de root para el sistema.
Nota –
En una instalación basada en texto, se indica al usuario que cree una cuenta de usuario y una contraseña, así como una contraseña root para el sistema. En este método de instalación, el usuario asume el rol de usuario root. Sin embargo, si no crea una cuenta de usuario durante la instalación, root se configura como cuenta, no como rol.
Si ha utilizado el instalador de texto para instalar Oracle Solaris, las especificaciones de cuenta de usuario y root descritas en este capítulo no se aplican en su totalidad.
Tenga en cuenta las especificaciones siguientes de inicio de sesión, cuenta de usuario y root:
-
El rol root no puede iniciar sesión. Debe iniciar sesión como el usuario que haya creado durante la instalación. Tras iniciar sesión, puede asumir el rol root para configurar el sistema. Para asumir el rol, abra una ventana del terminal y utilice el comando su - root.
Aparece un mensaje de error si se intenta iniciar sesión como usuario root en el sistema instalado. Haga clic en Aceptar e inicie sesión como el usuario que ha creado en el proceso de instalación.
-
Después de instalar Oracle Solaris, puede cambiar el sistema instalado para permitir que root inicie sesión. Sin embargo, en primer lugar debe quitar root como rol asignado.
# usermod -R your-login
El comando anterior quita todos los roles asignados de su cuenta de inicio de sesión.
-
Puede cambiar el rol root a una cuenta de usuario que pueda iniciar sesión. Para cambiar el rol root a un usuario, escriba el comando siguiente en una ventana del terminal:
# rolemod -K type=normal root
Este comando no se ejecuta correctamente si el rol root sigue asignado a un usuario.
-
Si se olvida del nombre de usuario local o de la contraseña que ha especificado durante la instalación, inicie el sistema en modo de mantenimiento, como se explica en Resolución de problemas de inicio de sesión.
Asignación de roles a cuentas de usuario
Los roles pueden asignarse únicamente a usuarios.
-
Para determinar los roles que se han asignado a la cuenta de usuario, abra una ventana del terminal y escriba lo siguiente:
$ roles root
-
Para asignar un rol existente a un usuario, utilice el comando usermod.
# usermod -R zfssnap username
-
Para crear y asignar un rol a un usuario, utilice el comando roleadd para crear el rol y el comando usermod para asignar el rol a un usuario.
Para crear un rol, utilice uno de los dos métodos siguientes:
# roleadd -K profiles="System Administrator" sysadmin
# roleadd sysadmin # rolemod -P "System Administrator" sysadmin
Para asignar el rol:
# usermod -R zfssnap,sysadmin username
Para obtener más información, consulte el Capítulo 8, Using Roles and Privileges (Overview) de System Administration Guide: Security Services.
Información relacionada
Para obtener más información, consulte los recursos adicionales siguientes.
|
Tema |
Dónde encontrar más información |
|---|---|
|
Información sobre la configuración y el uso de RBAC. |
Configuring and Using RBAC de System Administration Guide: Security Services |
|
Tareas de administración del sistema para configurar y administrar cuentas de usuarios y grupos. |
- © 2010, Oracle Corporation and/or its affiliates