Ce chapitre fournit un aperçu général des fonctions des utilisateurs, des rôles et des profils de droits dans le système d'exploitation Oracle Solaris.
L'affectation de comptes utilisateur, de rôles et de profils de droits dans le système d'exploitation Oracle Solaris se conforme aux spécifications RBAC (Role-Based Access Control, Contrôle d'accès basé sur les rôles). Le RBAC constitue une alternative plus sécurisée au modèle tout ou rien des superutilisateurs.
RBAC met en oeuvre le principe de sécurité du privilège minimum. Privilège minimum signifie qu'un utilisateur possède uniquement les fonctions nécessaires à la réalisation d'une tâche spécifique. Les capacités situées au-delà des capacités utilisateur ordinaires sont regroupées dans des profils de droits. Ces profils sont affectés à des comptes utilisateur spéciaux, appelés rôles. Un utilisateur endosse un rôle pour effectuer une tâche qui requiert certaines capacités du superutilisateur.
Dans la configuration système par défaut d'Oracle Solaris, le compte utilisateur créé lors de l'installation se voit attribuer le rôle root si vous avez utilisé la méthode d'installation en mode texte. Si vous n'avez créé aucun compte utilisateur au cours de l'installation, root est configuré en tant que compte. Reportez-vous à la section Configuration des comptes utilisateur.
Pour mieux comprendre la finalité et la fonction des comptes utilisateur, des rôles et des profils de droits, consultez les informations suivantes :
Un compte utilisateur est un compte de connexion. Les utilisateurs standard peuvent se connecter au système et l'utiliser, mais ne peuvent pas l'administrer.
Un rôle n'est pas un compte de connexion. Par exemple, vous ne pouvez pas vous connecter directement au rôle root. Vous devez d'abord vous connecter sous votre nom d'utilisateur, puis utiliser la commande su - root pour assumer le rôle root. Un utilisateur peut uniquement assumer les rôles affectés à son compte de connexion.
Un profil de droits correspond à un ensemble de fonctions administratives généralement affectées à un rôle, mais pouvant être affectées à un utilisateur. Les noms des profils de droits indiquent les fonctions des profils, telles que Administrateur système ou Gestion des imprimantes. En général, l'administrateur système crée un rôle portant le même nom que le profil de droits et attribue le profil à ce rôle. Par ailleurs, les profils de droits sont hiérarchiques, ce qui signifie qu'un profil de droits peut inclure un autre profil de droits. Lorsqu'un rôle est affecté à un profil de droits incluant d'autres profils, il possède les fonctions de tous ces profils.
Oracle Solaris fournit des profils de droits prédéfinis. Ces profils, répertoriés dans le fichier /etc/security/prof_attr, peuvent être affectés par le rôle root à n'importe quel compte. Le rôle root se voit affecter tous les privilèges et toutes les autorisations, il peut donc effectuer toutes les tâches, au même titre que root lorsque root est un utilisateur.
Pour exécuter des fonctions administratives, ouvrez un terminal et changez l'utilisateur sur root. Dans ce terminal, vous pouvez ensuite effectuer toutes les fonctions administratives.
$ su - root Password: Type root password # |
Lorsque vous quittez le shell, les fonctions root ne sont plus en vigueur.
Lors de l'installation d'Oracle Solaris, vous êtes invité à créer un compte utilisateur et un mot de passe pour le système.
Au cours d'une installation via l'interface graphique à partir de l'image ISO du Live CD, vous devez renseigner les champs de compte utilisateur et de mot de passe. Le mot de passe d'utilisateur est également le mot de passe root initial pour votre système.
Au cours d'une installation en mode texte, vous êtes invité à créer un compte utilisateur et un mot de passe, ainsi qu'un mot de passe root pour le système. Pour ce mode d'installation, l'utilisateur root est un rôle que vous assumez. Cependant, si vous ne créez pas de compte utilisateur au cours de l'installation, root est configuré en tant que compte et non en tant que rôle.
Si vous avez utilisé le programme d'installation en mode texte pour installer Oracle Solaris, les spécifications de compte utilisateur et root décrites dans ce chapitre ne s'appliquent pas toutes.
Reportez-vous aux spécifications de connexion, de compte utilisateur et root suivantes :
Le rôle root ne parvient pas à se connecter. Vous devez vous connecter avec le compte utilisateur créé à l'installation. Une fois connecté, vous pouvez devenir utilisateur root pour configurer le système. Pour assumer ce rôle, ouvrez une fenêtre de terminal et exécutez la commande su - root.
Si vous tentez de vous connecter au système installé via la connexion root, un message d'erreur s'affiche. Cliquez sur OK et connectez-vous avec le compte utilisateur créé lors de l'installation.
Une fois le système d'exploitation Oracle Solaris installé, vous pouvez modifier le système pour autoriser les connexions root. Cependant, vous devez d'abord supprimer root en tant que rôle attribué.
# usermod -R your-login |
La commande précédente supprime tous les rôles affectés de votre compte de connexion.
Vous pouvez affecter le rôle root à un compte utilisateur pouvant se connecter. Pour affecter root à un utilisateur, saisissez la commande suivante dans une fenêtre de terminal :
# rolemod -K type=normal root |
Cette commande ne peut pas fonctionner si le rôle root est toujours affecté à un utilisateur.
Si vous oubliez le nom d'utilisateur local ou le mot de passe spécifié à l'installation, vous devez initialiser le système en mode de maintenance comme décrit à la section Dépannage de la connexion.
Les rôles peuvent uniquement être affectés à des utilisateurs.
Pour déterminer les rôles affectés à votre compte utilisateur, ouvrez une fenêtre de terminal et tapez :
$ roles root |
Pour affecter un rôle existant à un utilisateur, utilisez la commande usermod.
# usermod -R zfssnap username |
Pour créer et affecter un rôle à un utilisateur, utilisez la commande roleadd pour créer le rôle et la commande usermod l'affecter à un utilisateur.
Pour créer un rôle, utilisez l'une des deux méthodes suivantes :
# roleadd -K profiles="System Administrator" sysadmin |
# roleadd sysadmin # rolemod -P "System Administrator" sysadmin |
Pour affecter le rôle :
# usermod -R zfssnap,sysadmin username |
Pour plus d'informations, reportez-vous au Chapitre 8, Using Roles and Privileges (Overview) du System Administration Guide: Security Services.
Plus de plus amples informations, reportez-vous aux ressources supplémentaires suivantes :
Thème |
Sources d'informations supplémentaires |
---|---|
En savoir plus sur la configuration et l'utilisation du RBAC. |
Configuring and Using RBAC du System Administration Guide: Security Services |
Rechercher des tâches d'administration système pour la configuration et la gestion de comptes et de groupes d'utilisateurs. |