Este capítulo fornece uma visão geral que descreve o papel de usuários, funções e perfis de permissões no sistema operacional Oracle Solaris.
A atribuição de contas de usuários, funções e perfis de permissões no Oracle Solaris está em conformidade com as especificações do Controle de acesso com base em função (RBAC). O RBAC fornece uma alternativa mais segura ao modelo único de superusuário.
O RBAC implementa o princípio de segurança de menor privilégio. Menor privilégio significa que um usuário possui somente acesso aos recursos necessários para executar uma tarefa específica. O acesso aos recursos que está além do acesso aos recursos básicos do usuário são agrupados em perfis de permissão. Esses perfis são atribuídos a contas de usuário especiais, chamadas de funções. Um usuário assume uma função para realizar um trabalho que requer acesso a alguns dos recursos do superusuário.
Na configuração do sistema padrão do Oracle Solaris, a função raiz é atribuída à conta de usuário criada durante a instalação se o método de instalação de texto tiver sido utilizado. Se você não cria uma conta de usuário durante a instalação, raiz é definida como a conta. Consulte Como são configuradas as contas de usuário.
Para compreender melhor o propósito e funcionalidade das contas de usuário, funções e perfis de permissão, reveja as informações a seguir:
Uma conta de usuário é uma conta de logon. Usuários regulares podem efetuar o logon e utilizar o sistema, mas não podem administrá-lo.
Uma função não é uma conta de logon. Por exemplo, você não pode efetuar logon diretamente na função raiz. Em vez disso, você deve efetuar o logon com seu nome de usuário e, em seguida, utilizar o comando su - root para assumir a função raiz. Um usuário somente pode assumir as funções que são atribuídas a sua conta de logon.
Um perfil de permissão é uma coleção de recursos administrativos que normalmente são atribuídos a uma função, mas que podem ser atribuídos a um usuário. Os nomes dos perfis de permissão indicam o acesso aos recursos dos perfis, como um Administrador do sistema ou Gerenciamento de impressão. Normalmente, o administrador do sistema cria uma função com o mesmo nome do perfil de permissão e atribui o perfil àquela função. Além disso, os perfis de permissão são hierárquicos, o que significa que um perfil pode incluir outros perfis de permissão. Quando uma função é atribuída a um perfil de permissão que contém outros perfis, essa função tem acesso aos recursos de todos esses perfis.
O Oracle Solaris fornece perfis de permissão pré-definidos. Esses perfis, listados em /etc/security/prof_attr, podem ser atribuídos à função raiz em qualquer conta. A função raiz é atribuída a todos os privilégios e autorizações, portanto, pode executar todas as tarefas, assim como função raiz, quando a função raiz for um usuário.
Para efetuar funções administrativas, abra um terminal e alterne o usuário para a função raiz. Assim, é possível executar todas as funções administrativas naquele terminal.
$ su - root Password: Type root password # |
Ao sair do shell, o acesso aos recursos da função raiz não estarão mais em efeito.
Durante o processo de instalação do Oracle Solaris, você é solicitado a criar uma conta e uma senha de usuário para o sistema.
Para uma instalação GUI a partir da imagem ISO do CD interativo, as informações da conta e senha do usuário são campos que precisam ser completados durante uma instalação. A senha do usuário também será utilizada como a senha raiz inicial do sistema.
Durante uma instalação de texto, você é solicitado a criar uma conta e senha de usuário, assim como uma senha raiz para o sistema. Para esse método de instalação, o usuário raiz é uma função que você assume. No entanto, se uma conta de usuário não é criada durante a instalação, a conta raiz é definida como uma conta não como função.
Se o instalador de texto foi utilizado para instalar o Oracle Solaris, as especificações de conta de usuário e a raiz descritas neste capítulo não se aplicam.
Revise as especificações de logon a seguir, conta de usuário e raiz:
A função raiz não pode efetuar o logon. É preciso fazer o logon como o usuário criado durante a instalação. Após efetuar o logon, é possível assumir a função raiz para configurar o sistema. Para assumir a função, abra uma janela de terminal e utilize o comando su-root.
Se você tentar efetuar o logon no sistema instalado como raiz, uma mensagem de erro é exibida. Clique em OK e faça o logon como o usuário que criou durante a instalação.
Após instalar o Oracle Solaris, é possível alterar o sistema instalado para permitir que raiz efetue logon. No entanto, primeiro é preciso remover raiz como uma função atribuída.
# usermod -R your-login |
O comando precedente remove todas as funções atribuídas de sua conta de logon.
É possível alterar a função raiz para uma conta de usuário que possa efetuar o logon. Para alterar a função raiz para um usuário, digite os comandos a seguir na janela do terminal:
# rolemod -K type=normal root |
Esse comando não será bem-sucedido se a função raiz ainda está atribuída a um usuário.
Se você esquecer o nome de usuário local ou a senha inserida durante a instalação, inicialize o sistema no modo de manutenção, conforme descrito em Como solucionar problemas de logon.
As funções somente podem ser atribuídas aos usuários.
Para determinar quais funções são atribuídas à sua conta de usuário, abra a janela do terminal e insira:
$ roles root |
Para atribuir uma função existente a um usuário, utilize o comando usermod.
# usermod -R zfssnap username |
Para criar e atribuir uma função a um usuário, utilize o comando roleadd para criar a função e o comando usermod para atribuir a função a um usuário.
Para criar uma função, utilize um dos métodos a seguir:
# roleadd -K profiles="System Administrator" sysadmin |
# roleadd sysadmin # rolemod -P "System Administrator" sysadmin |
Para atribuir a função:
# usermod -R zfssnap,sysadmin username |
Para obter mais informações, consulte Capítulo 8, Using Roles and Privileges (Overview), no System Administration Guide: Security Services.
Veja os recursos adicionais a seguir para mais informações.
Tópico |
Onde encontrar mais informações |
---|---|
Saiba mais sobre como configurar e utilizar o RBAC. |
Configuring and Using RBAC no System Administration Guide: Security Services |
Encontre as tarefas de administração para configurar e administrar contas de usuário e grupos. |