In questo capitolo viene presentata una panoramica sulla funzione di utenti, ruoli e profili di autorizzazione nel sistema operativo Oracle Solaris.
L'assegnazione di account utente, ruoli e profili di autorizzazione in Oracle Solaris è conforme alle specifiche RBAC (Role-Based Access Control). Le specifiche RBAC offrono un'alternativa più sicura al modello unico di superutente.
RBAC applica un principio di protezione basato sul privilegio minimo. Privilegio minimo significa che un utente dispone solo delle autorizzazioni necessarie per eseguire un'operazione specifica. Le funzioni non standard dell'utente vengono raggruppate nei profili di autorizzazione. Questi profili vengono assegnati ad account utente speciali, denominati ruoli. Un utente assume un ruolo per eseguire un'operazione che richiede alcuni privilegi di superutente.
Nella configurazione di sistema predefinita di Oracle Solaris, all'account utente creato durante l'installazione viene assegnato il ruolo root se è stato utilizzato il metodo di installazione in modalità testo. Se non è stato creato un account utente durante l'installazione, root viene configurato come account. Vedere Configurazione di account utente.
Per una migliore comprensione dello scopo e della funzione degli account utente, dei ruoli e dei profili di autorizzazione, leggere le seguenti informazioni:
Un account utente è un account di login. Gli utenti comuni possono eseguire il login ed utilizzare il sistema, ma non amministrarlo.
Un ruolo non è un account di login. Ad esempio non è possibile eseguire direttamente il login con il ruolo root, bensì è necessario eseguire il login con l'account utente comune, quindi utilizzare il comando su - root per assumere il ruolo root. Un utente può assumere solo ruoli assegnati al proprio account di login.
Un profilo di autorizzazione è un insieme di funzioni amministrative, generalmente assegnato a un ruolo, ma assegnabile anche a un utente. I nomi dei profili di autorizzazione indicano le funzioni eseguibili dal profilo, ad esempio System administration (Amministratore di sistema) o Printer Management (Gestione stampanti). In genere l'amministratore di sistema crea un ruolo con lo stesso nome del profilo di autorizzazione e assegna il profilo a tale ruolo. Inoltre i profili di autorizzazione sono gerarchici, ovvero un profilo di autorizzazione può includerne altri. Quando si assegna a un ruolo un profilo di autorizzazione che include altri profili, il ruolo includerà le funzioni di tutti i profili.
Oracle Solaris include profili di autorizzazione predefiniti. Tali profili, elencati in /etc/security/prof_attr, possono essere assegnati dal ruolo root a qualsiasi account. Al ruolo root vengono assegnati tutti i privilegi e tutte le autorizzazioni: pertanto può svolgere tutte le operazioni, come accade quando root è un utente.
Per eseguire funzioni amministrative è necessario aprire una finestra del terminale e impostare root come utente. In tale finestra del terminale è quindi possibile eseguire tutte le funzioni amministrative.
$ su - root Password: Type root password # |
Quando si esce dalla shell le funzioni root non risultano più disponibili.
Durante il processo di installazione di Oracle Solaris verrà richiesto di creare un account e una password utente per il sistema.
Per un'installazione mediante interfaccia utente grafica dall'immagine ISO del Live CD, le informazioni su account utente e password sono campi che vanno completati durante l'installazione. La password utente verrà anche utilizzata come password root iniziale per il sistema.
Durante l'installazione in modalità testo verrà richiesto di creare un account utente e una password, nonché una password root per il sistema. Per l'installazione con questo metodo, l'utente root è un ruolo assunto dall'utente che esegue l'installazione. Se tuttavia non si crea un account utente durante l'installazione, root viene configurato come account anziché come ruolo.
Se Oracle Solaris è stato installato mediante l'installazione in modalità testo, non tutte le specifiche per l'account utente e root descritte nel presente capitolo sono valide.
Esaminare le specifiche per il login, l'account utente e root seguenti:
Al ruolo root non è consentito il login. È necessario eseguire il login con le impostazioni di utente specificate durante l'installazione. Dopo aver eseguito il login, è possibile assumere il ruolo root per configurare il sistema. Per assumere tale ruolo, aprire una finestra del terminale e utilizzare il comando su - root.
Se si tenta di eseguire il login al sistema installato come utente root, viene visualizzato un messaggio di errore. Fare clic su OK ed eseguire il login con le credenziali utente create durante l'installazione.
Dopo l'installazione di Oracle Solaris, è possibile modificare il sistema installato per permettere l'esecuzione del login a root. In primo luogo è tuttavia necessario rimuovere root come ruolo assegnato.
# usermod -R your-login |
Il comando precedente rimuove tutti i ruoli assegnati dall'account di login.
È possibile sostituire al ruolo root un account utente in grado di eseguire il login. Per convertire root in un utente, digitare il seguente comando in una finestra del terminale:
# rolemod -K type=normal root |
Il comando non riesce se il ruolo root è ancora assegnato a un utente.
Se non si ricordano il nome utente o la password locale immessi durante l'installazione, è necessario avviare il sistema in modalità di manutenzione, come descritto in Risoluzione dei problemi relativi al login.
I ruoli possono essere assegnati solo a utenti.
Per determinare i ruoli da assegnare all'account utente, aprire una finestra del terminale e digitare:
$ roles root |
Per assegnare un ruolo esistente a un utente, utilizzare il comando usermod.
# usermod -R zfssnap username |
Per creare un ruolo e assegnarlo a un utente, utilizzare il comando roleadd per la creazione del ruolo e il comando usermod per l'assegnazione del ruolo a un utente.
Per creare un ruolo utilizzare uno dei due metodi seguenti:
# roleadd -K profiles="System Administrator" sysadmin |
# roleadd sysadmin # rolemod -P "System Administrator" sysadmin |
Per assegnare il ruolo:
# usermod -R zfssnap,sysadmin username |
Per ulteriori informazioni, vedere il Capitolo 8, Using Roles and Privileges (Overview) in System Administration Guide: Security Services.
Per ulteriori informazioni, fare riferimento alle seguenti risorse aggiuntive.
Argomento |
Dove reperire ulteriori informazioni |
---|---|
Ulteriori informazioni sulla configurazione e l'utilizzo di RBAC. |
Configuring and Using RBAC in System Administration Guide: Security Services |
Informazioni sulle attività di amministrazione per configurazione e gestione di account utente e gruppi. |