Tâches d'administration Oracle Solaris effectuées en tant qu'utilisateur privilégié
Pour effectuer des tâches d'administration Oracle Solaris, vous devez disposer le plus souvent de privilèges élevés. Il est préférable de déléguer des privilèges ou des droits spécifiques aux comptes utilisateur au lieu de fournir un accès superutilisateur ou root pour toutes les tâches administratives.
Dans cette version d'Oracle Solaris, vous devez prendre en compte les méthodes suivantes pour effectuer des tâches administratives en tant qu'utilisateur privilégié :
-
Contrôle d'accès basé sur les rôles - Un compte utilisateur spécial appelé rôle pouvant être affecté à un profil de droits d'accès pour indiquer les tâches pouvant être effectuées par un rôle. Les utilisateurs peuvent uniquement occuper des rôles pour lesquels ils disposent d'une autorisation. Dans cette version d'Oracle Solaris, le compte root est configuré comme rôle par défaut. Cela signifie que vous pouvez désigner des utilisateurs autorisés à se connecter au compte root. Une fois qu'un utilisateur privilégié est ajouté au rôle root, utilisez la commande su et le mot de passe root pour accéder aux privilèges root.
L'utilisateur initial créé lors de l'installation est automatiquement autorisé à occuper le rôle root et il est également placé dans le premier fichier sudoers. En outre, l'utilisateur se voit accorder le profil de droits d'installation de logiciel comprenant des commandes telles que pkg et beadm. Pour ce type de commande, l'utilisateur n'a pas besoin de disposer d'un rôle root. L'utilisateur peut au contraire appeler un sous-programme shell. Par exemple, il peut s'agir du sous-programme pfsh à partir duquel il est possible d'appeler ces commandes. Il n'est plus nécessaire d'utiliser la commande pfexec. En revanche, l'utilisateur peut exécuter la représentation graphique équivalente de ces commandes, comme le gestionnaire de packages. Dans ce cas, l'utilisateur est invité à saisir le mot de passe root. Le mot de passe root est initialement défini sur le même mot de passe que le compte utilisateur créé lors de l'installation, mais il est déjà arrivé à expiration. Vous serez immédiatement invité à le réinitialiser. Pour plus d'informations sur le mot de passe arrivé à expiration, consultez la rubrique Gksu ne signale pas les mots de passe arrivés à expiration (6995127).
-
Utilisation du contrôle d'accès basé sur le paramètre sudo – Vous pouvez accorder des capacités root en créant un fichier /etc/sudoers à l'aide de la commande visudo et en y ajoutant une entrée pour chaque utilisateur privilégié à l'aide de la syntaxe suivante décrite dans la page de manuel sudoers.4. Par exemple, la syntaxe suivante permet d'accorder un accès privilégié à l'utilisateur otto pour l'ensemble des commandes du système, mais il doit fournir son mot de passe utilisateur :
otto ALL=(ALL) ALL
Un utilisateur disposant de privilèges d'administration grâce à une entrée dans le fichier /etc/sudoers exécute une commande avec le paramètre sudo similaire à la suivante :
$ sudo pkg update
- © 2010, Oracle Corporation and/or its affiliates