L'esecuzione di attività di amministrazione di Oracle Solaris richiede spesso privilegi di alto livello. Una prassi consigliata consiste nel delegare privilegi o diritti ad account utente specifici anziché fornire accesso di root e di superutente per tutti i fini amministrativi.
Nella presente versione di Oracle Solaris, considerare i seguenti metodi per l'esecuzione di attività di amministrazione come utente privilegiato:
Controllo di accesso basato su ruolo: è possibile assegnare a un account utente speciale, detto ruolo, un profilo di autorizzazione per specificare quali attività possono essere eseguite dal ruolo. Gli utenti possono assumere solo ruoli per i quali dispongono di autorizzazione. In questa versione Oracle Solaris, l'account di root viene impostato come ruolo per impostazione predefinita. È pertanto possibile designare gli utenti autorizzati ad accedere all'account di root. Dopo aver aggiunto un utente con privilegi al ruolo di root, utilizzare il comando su e la password di root per accedere ai privilegi di root.
L'utente iniziale creato durante l'installazione viene autorizzato automaticamente ad assumere il ruolo root e viene anche posizionato nel file sudoers iniziale. Inoltre, a tale utente viene assegnato un profilo di autorizzazione per l'installazione di software, che include comandi quali pkg e beadm. Per tali comandi, non è necessario che l'utente assuma il ruolo root: può invece richiamare una shell secondaria, ad esempio pfsh, da cui è possibile richiamare tali comandi. Non è più necessario utilizzare il comando pfexec. In alternativa l'utente può eseguire l'equivalente grafico di tali comandi, ad esempio Package Manager. In tal caso all'utente viene richiesta la password di root. La password di root impostata inizialmente corrisponde alla password per l'account utente creata durante l'installazione, ma è già scaduta. Verrà richiesto immediatamente di reimpostare la password di root. Per ulteriori informazioni sulla password scaduta, vedere Gksu non emette report relativi alla password scaduta (6995127).
Utilizzo di controllo degli accessi basato su sudo: vengono assegnate funzionalità di root creando un file /etc/sudoers con il comando visudo e aggiungendo una voce per ogni utente con privilegi seguendo la sintassi descritta nella pagina man sudoers.4 . Ad esempio la seguente sintassi consente di concedere l'accesso con privilegi all'utente otto per tutti i comandi del sistema, purché venga specificata la password utente:
otto ALL=(ALL) ALL |
Un utente a cui vengono assegnati privilegi di amministrazione nel file /etc/sudoers esegue con sudo un comando simile al seguente:
$ sudo pkg update |