Cuentas de usuario, roles y perfiles de derechos

La asignación de cuentas de usuario, roles y perfiles de derechos en Oracle Solaris sigue las especificaciones de RBAC (Role-Based Access Control, control de acceso basado en roles). RBAC constituye una alternativa más segura que la del modelo de superusuario de "todo o nada".

RBAC implementa el principio de seguridad del privilegio mínimo. Privilegio mínimo significa que un usuario dispone únicamente de las capacidades necesarias para desempeñar una determinada tarea. Las capacidades que sobrepasan las capacidades normales de usuario se agrupan en perfiles de derechos. Estos perfiles se asignan a cuentas de usuario especiales, denominadas roles. Un usuario asume un rol para desempeñar una tarea que requiere algunas de las capacidades de superusuario.

En la configuración predeterminada del sistema Oracle Solaris, la cuenta de usuario que se crea durante la instalación tiene asignado el rol root si se ha utilizado el instalador de texto. Si no se ha creado ninguna cuenta de usuario durante la instalación, root se configura como cuenta. Consulte Configuración de las cuentas de usuario.

Para comprender mejor el propósito y la función de las cuentas de usuario, los roles y los perfiles de derechos, examine la información siguiente:

• Una cuenta de usuario es una cuenta de inicio de sesión. Los usuarios habituales pueden iniciar sesión y usar el sistema, pero no administrarlo.

• Un rol no es una cuenta de inicio de sesión. Por ejemplo, no se puede iniciar sesión directamente en el rol root, sino que debe iniciar sesión con su nombre de usuario y, a continuación, usar el comando su - root para asumir el rol root. Un usuario sólo puede asumir los roles asignados a la cuenta de inicio de sesión del usuario.

• Un perfil de derechos es un conjunto de capacidades administrativas que suelen asignase a un rol pero que pueden asignarse a un usuario. Los nombres de los perfiles de derechos indican las capacidades de los perfiles, por ejemplo Administrador del sistema o Administración de la impresora. El administrador del sistema suele crear un rol con el mismo nombre que el perfil de derechos y asigna el perfil a ese rol. Los perfiles de derechos son jerárquicos, es decir, un perfil de derechos puede incluir otros perfiles de derechos. Cuando se asigna a un rol un perfil de derechos que incluye otros perfiles, el rol tiene las capacidades de todos estos perfiles.

Oracle Solaris proporciona perfiles de derechos predefinidos. Estos perfiles, enumerados en /etc/security/prof_attr, pueden asignarse a cualquier cuenta mediante el rol root. El rol root tiene asignados todos los privilegios y todas las autorizaciones, por lo que puede realizar todas las tareas, al igual que root cuando root es un usuario.

Para desempeñar funciones administrativas, debe abrir una ventana del terminal y conmutar el usuario a root. En dicho terminal puede desempeñar todas las funciones administrativas.

$ su - root
Password: Type root password
#

Las capacidades de root dejan de tener vigencia una vez se sale del shell.