Konfigurieren von RBAC

RBAC kann mit den folgenden Dienstprogrammen konfiguriert werden:

Solaris Management Console-GUI: Mit RBAC verbundene Aufgaben sollten bevorzugt über die GUI ausgeführt werden. Die Konsolen-Tools zur Verwaltung von RBAC-Elementen sind in der "User Tool Collection" enthalten.
Solaris Management Console-Befehle: Mit den Solaris Management Console-Befehlszeilenschnittstellen wie z. B. smrole können Sie Vorgänge für jeden Name Service ausführen. Die Solaris Management Console-Befehle erfordern eine Authentifizierung, um eine Verbindung zum Server herzustellen. Daher eignen sich diese Befehle nicht besonders gut für Skripten.
Lokale Befehle: Mit den Befehlszeilenschnittstellensätzen user* und role*, zu denen beispielsweise auch useradd zählt, können Sie nur lokale Dateien bearbeiten. Die Befehle zur Bearbeitung lokaler Dateien müssen vom Superuser oder einer Rolle mit den geeigneten Berechtigungen ausgeführt werden.

So planen Sie die RBAC-Implementierung

RBAC kann ein wesentlicher Teil der Informationsressourcen-Verwaltung eines Unternehmens sein. Für die Planung müssen Sie sowohl mit den Fähigkeiten von RBAC vertraut sein als auch die Sicherheitsanforderungen Ihres Unternehmens kennen.

Erlernen Sie die grundlegenden RBAC-Konzepte.
Lesen Sie die Informationen unter Rollenbasierte Zugriffssteuerung (Übersicht). Die Verwendung von RBAC zur Verwaltung eines Systems unterscheidet sich wesentlich von herkömmlichen UNIX-Administrationspraktiken. Sie sollten sich vor der Implementierung mit RBAC-Konzepten vertraut machen. Weitere Informationen finden Sie in Kapitel 10Rollenbasierte Zugriffssteuerung (Übersicht).
Untersuchen Sie die Sicherheitsrichtlinien Ihres Unternehmens.
Diese sollten nähere Informationen zu den potenziellen Bedrohungen des Systems, wie hoch das Risiko der einzelnen Bedrohungen ist und eine Strategie zur Bekämpfung dieser Bedrohungen enthalten. Die Isolierung der sicherheitsrelevanten Aufgaben durch RBAC kann Teil der Strategie sein. Auch wenn Sie die empfohlenen Rollen und ihre Konfigurationen unverändert installieren können, müssen Sie möglicherweise Ihre RBAC-Konfiguration zur Einhaltung Ihrer Sicherheitsrichtlinien anpassen.
Legen Sie den Umfang von RBAC für Ihr Unternehmen fest.
Abhängig von Ihren Sicherheitsanforderungen können Sie verschiedene RBAC-Stufen einsetzen:
- Kein RBAC: Sie können alle Aufgaben als root-Benutzer ausführen. Bei dieser Konfiguration melden Sie sich mit Ihrem eigenen Benutzernamen an. Dann geben Sie root als Benutzer ein, wenn Sie ein Solaris Management Console-Tool auswählen.
- Nur eine Rolle: Bei dieser Methode wird eine Rolle hinzugefügt. Der Rolle wird das Berechtigungsprofil "Primary Administrator" zugewiesen. Diese Methode ist dem Superuser-Modell ähnlich, da die Rolle über Superuser-Fähigkeiten verfügt. Mit dieser Methode können Sie jedoch nachverfolgen, wer die Rolle angenommen hat.
- Empfohlene Rollen: Bei dieser Methode werden drei Rollen erstellt, die auf den Berechtigungsprofilen "Primary Administrator", "System Administrator" und "Operator" basieren. Die Rollen sind für Unternehmen geeignet, in denen es Administratoren mit verschiedenen Stufen der Verantwortung gibt.
- Angepasste Rollen: Sie können eigene Rollen erstellen, entsprechend den Sicherheitsanforderungen Ihres Unternehmens. Die neuen Rollen können auf vorhandenen oder angepassten Berechtigungsprofilen basieren. Informationen zur Anpassung von Berechtigungsprofilen, um eine Aufgabentrennung durchzusetzen, finden Sie unter Creating Roles and Users in Trusted Extensions in Oracle Solaris Trusted Extensions Configuration Guide.
- Root-Benutzer als Rolle: Diese Methode verhindert, dass sich Benutzer als root anmelden. Sie müssen sich stattdessen zuerst als normale Benutzer anmelden, und dann die root-Rolle annehmen. Informationen finden Sie unter So wandeln Sie den root-Benutzer in eine Rolle um.
Entscheiden Sie, welche empfohlenen Rollen für Ihr Unternehmen geeignet sind.
Überprüfen Sie die Fähigkeiten der empfohlenen Rollen und der Standardberechtigungsprofile. Standardberechtigungsprofile ermöglichen Administratoren, eine empfohlene Rolle mithilfe eines einzelnen Profils zu konfigurieren.

Drei Standardberechtigungsprofile sind zur Konfiguration der empfohlenen Rollen verfügbar:
- Berechtigungsprofil "Primary Administrator": Zur Konfiguration einer Rolle, die alle administrativen Aufgaben ausführt, anderen Personen Berechtigungen gewährt und mit administrativen Rollen verbundene Berechtigungen bearbeiten kann. Ein Benutzer mit dieser Rolle kann anderen Benutzern diese Rolle sowie Berechtigungen zuweisen.
- Berechtigungsprofil "System Administrator": Zur Konfiguration einer Rolle, die die meisten administrativen Aufgaben ausführen kann, die sich nicht auf die Sicherheit beziehen. Beispielsweise kann die Rolle "System Administrator" neue Benutzerkonten hinzufügen, jedoch keine Passwörter einstellen und auch anderen keine Berechtigungen gewähren.
- Berechtigungsprofil "Operator": Zur Konfiguration einer Rolle, die einfache administrative Aufgaben ausführen kann, wie z. B. Datenträger-Backup und Druckerverwaltung.
Weitere Informationen zu Berechtigungsprofilen finden Sie hier:
- Sehen Sie sich im Verzeichnis /etc/security den Inhalt der Datenbanken prof_attr und exec_attr an.
- Zeigen Sie in der Solaris Management Console mit dem Tool "Rights" (Berechtigungen) den Inhalt eines Berechtigungsprofils an.
- In diesem Dokument finden Sie unter Inhalt der Berechtigungsprofile Zusammenfassungen typischer Berechtigungsprofile.
Entscheiden Sie, ob zusätzliche Rollen oder Berechtigungsprofile für Ihr Unternehmen definiert werden müssen.
Suchen Sie nach anderen Anwendungen und Anwendungsfamilien an Ihrem Standort, für die ein beschränkter Zugriff vorteilhaft wäre. RBAC empfiehlt sich bei Anwendungen, die sich auf die Sicherheit auswirken und Denial-of-Service-Probleme verursachen können oder spezielle Administratorkenntnisse erfordern. Sie können Rollen und Berechtigungsprofile an die Sicherheitsanforderungen Ihres Unternehmens anpassen.
1. Legen Sie fest, welche Befehle für die neue Aufgabe erforderlich sind.
2. Entscheiden Sie, welche Berechtigungsprofile für diese Aufgabe geeignet sind.
  Überprüfen Sie, ob ein vorhandenes Berechtigungsprofil für diese Aufgabe geeignet ist oder ein separates Berechtigungsprofil erstellt werden muss.
3. Legen Sie fest, welche Rolle für dieses Berechtigungsprofil geeignet ist.
  Entscheiden Sie, ob das Berechtigungsprofil für diese Aufgabe einer vorhandenen Rolle zugewiesen werden muss oder eine neue Rolle erstellt werden muss. Wenn Sie eine vorhandene Rolle verwenden, überprüfen Sie, ob andere Berechtigungsprofile für Benutzer geeignet sind, die dieser Rolle zugewiesen sind.
Entscheiden Sie, welche Benutzer den verfügbaren Rollen zugewiesen werden sollen.
Nach dem Prinzip der geringsten Berechtigung sollten Sie Benutzern Rollen zuweisen, die ihren Vertraulichkeitsstufen entsprechen. Sie vermeiden unnötige Probleme, indem Sie Benutzern keinen Zugriff auf Aufgaben geben, die sie nicht ausführen müssen.

So können Sie eine Rolle mit der GUI erstellen und zuweisen

Als Superuser oder mit der Rolle "Primary Administrator" können Sie eine neue Rolle erstellen. Bei diesem Verfahren hat der Ersteller der neuen Rolle die Rolle "Primary Administrator" angenommen.

Bevor Sie beginnen

Sie haben bereits Benutzer erstellt, die diese Rolle an Ihrem Standort annehmen können. Wenn Sie noch keine Benutzer erstellt haben, führen Sie diesen Vorgang durch, indem Sie den Anweisungen unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration folgen.
Ihnen wurde die Rolle "Primary Administrator" zugewiesen, indem die Verfahren unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration durchgeführt wurden.

Starten Sie die Solaris Management Console.
```
# /usr/sbin/smc &
```
Eine Anleitung zum Anmelden finden Sie unter So nehmen Sie eine Rolle in der Solaris Management Console an.
Klicken Sie auf das Symbol "Administrative Roles" (Administrative Rollen).
Wählen Sie im Menü "Action" (Aktion) den Befehl "Add Administrative Role" (Administrative Rollen hinzufügen).
Erstellen Sie eine neue Rolle, indem Sie eine Reihe von Dialogfeldern ausfüllen.
Mögliche Rollen finden Sie in Beispiel 9-1 bis Beispiel 9-4.

Tipp - Alle Tools in der Solaris Management Console zeigen Informationen im unteren Seitenbereich oder auf der linken Seite des Assistentenfensters an. Sie können in dieser Schnittstelle jederzeit die Hilfefunktion aufrufen, um zusätzliche Informationen zur Durchführung von Aufgaben zu erhalten.
Weisen Sie die Rolle einem Benutzer zu.
Tipp - Nachdem Sie die Eigenschaften der Rolle festgelegt haben, werden Sie im letzten Dialogfeld aufgefordert, der Rolle einen Benutzer zuzuweisen.
Starten Sie den Name Service-Cache-Dämon in einem Terminalfenster neu.
```
# svcadm restart system/name-service-cache
```
Weitere Informationen finden Sie auf den Manpages svcadm(1M) und nscd(1M).

Beispiel 9-1 Erstellen einer Rolle für das Berechtigungsprofil "System Administrator"

In diesem Beispiel kann die neue Rolle Systemverwaltungsaufgaben ausführen, die sich nicht auf die Sicherheit beziehen. Die Rolle wird erstellt, indem das vorhergehende Verfahren mit den folgenden Parametern ausgeführt wird:

Rollenname: sysadmin
Vollständiger Rollenname: System Administrator
Rollenbeschreibung: Performs non-security admin tasks
Berechtigungsprofil: System Administrator

Dieses Berechtigungsprofil befindet sich an oberster Stelle in der Liste der Profile, die in der Rolle enthalten sind.

Beispiel 9-2 Erstellen einer Rolle für das Berechtigungsprofil "Operator"

Das Berechtigungsprofil "Operator" enthält Berechtigungen zum Verwalten von Druckern und Backup des Systems auf Offline-Datenträgern. Diese Rolle können Sie einem Benutzer pro Schicht zuweisen. Dazu wählen Sie im Dialogfeld "Step 1: Enter a Role Name" (Schritt 1: Rollennamen eingeben) die Option für die Rollenverteilerliste aus. Die Rolle wird erstellt, indem das vorhergehende Verfahren mit den folgenden Parametern ausgeführt wird:

Rollenname: operadm
Vollständiger Rollenname: Operator
Rollenbeschreibung: Backup operator
Berechtigungsprofil: Operator

Dieses Berechtigungsprofil muss sich an oberster Stelle in der Liste der Profile befinden, die in der Rolle enthalten sind.

Beispiel 9-3 Erstellen einer Rolle für ein sicherheitsbezogenes Berechtigungsprofil

Standardmäßig bietet nur das Profil "Primary Administrator" sicherheitsbezogene Befehle und Berechtigungen. Wenn Sie eine Rolle benötigen, die über weniger Berechtigungen als die Rolle "Primary Administrator" verfügt, jedoch einige sicherheitsbezogene Aufgaben ausführen kann, müssen Sie die Rolle erstellen.

Mit der Rolle in dem folgenden Beispiel werden Geräte geschützt. Die Rolle wird erstellt, indem das vorhergehende Verfahren mit den folgenden Parametern ausgeführt wird:

Rollenname: devicesec
Vollständiger Rollenname: Device Security
Rollenbeschreibung: Configures Devices
Berechtigungsprofil: Device Security

Mit der Rolle in dem folgenden Beispiel werden Systeme und Hosts im Netzwerk geschützt. Die Rolle wird erstellt, indem das vorhergehende Verfahren mit den folgenden Parametern ausgeführt wird:

Rollenname: netsec
Vollständiger Rollenname: Network Security
Rollenbeschreibung: Handles IPsec, IKE, and SSH
Berechtigungsprofil: Network Security

Beispiel 9-4 Erstellen einer Rolle für ein Berechtigungsprofil mit einem beschränkten Bereich

Eine Reihe von Berechtigungsprofilen verfügen über einen beschränkten Bereich. In diesem Beispiel besteht die einzige Aufgabe der Rolle in der Verwaltung von DHCP. Die Rolle wird erstellt, indem das vorhergehende Verfahren mit den folgenden Parametern ausgeführt wird:

Rollenname: dhcpmgt
Vollständiger Rollenname: DHCP Management
Rollenbeschreibung: Manages Dynamic Host Config Protocol
Berechtigungsprofil: DHCP Management

Beispiel 9-5 Ändern der Rollenzuweisung eines Benutzers

In diesem Beispiel wird eine Rolle einem vorhandenen Benutzer hinzugefügt. Sie können die Rollenzuweisung eines Benutzers ändern, indem Sie in der Solaris Management Console im Tool "Users" (Benutzer) auf das Symbol "User Accounts" (Benutzerkonten) klicken, auf den Benutzer doppelklicken und die Anweisungen in der Onlinehilfe zum Hinzufügen einer Rolle zu den Benutzerfähigkeiten befolgen.

Allgemeine Fehler

Überprüfen Sie Folgendes, wenn die Rolle nicht die gewünschten Fähigkeiten aufweist:

Werden die Berechtigungsprofile der Rolle in der GUI vom stärksten bis zum schwächsten aufgeführt?

Wenn beispielsweise das Berechtigungsprofil All sich in der Liste an erster Stelle befindet, werden keine Befehle mit Sicherheitsattributen ausgeführt. Ein Profil, das Befehle mit Sicherheitsattributen enthält, muss in der Liste vor dem Berechtigungsprofil All aufgeführt werden.
Verfügen die Befehle in den Berechtigungsprofilen der Rolle über geeignete Sicherheitsattribute?

Für die Richtlinie suser benötigen beispielsweise einige Befehle uid=0 statt euid=0.
Wurde das Berechtigungsprofil in dem geeigneten Name Service-Bereich definiert? Funktioniert die Rolle in dem Name Service-Bereich, in dem das Berechtigungsprofil definiert wurde?
Wurde der Name Service-Cache svc:/system/name-service-cache neu gestartet?

Der Dämon nscd kann über eine längere Aktivitätszeit verfügen. Durch einen Neustart des Dämons wird der Name Service mit den neuesten Daten aktualisiert.

So erstellen Sie eine Rolle über die Befehlszeile

Die Solaris Management Console-GUI ist die bevorzugte Methode zur Verwaltung von RBAC. Informationen zur Verwendung der GUI finden Sie unter So können Sie eine Rolle mit der GUI erstellen und zuweisen. Sie können auch die Befehlszeilenschnittstelle verwenden, wie in diesem Verfahren beschrieben.

Hinweis - Versuchen Sie nicht, RBAC über die Befehlszeile und die grafische Benutzeroberfläche gleichzeitig zu verwalten. Dies könnte zu widersprüchlichen Änderungen an der Konfiguration und zu unvorhergesehenem Verhalten führen. Sie können beide Tools zur Verwaltung von RBAC verwenden, jedoch nicht gleichzeitig.

Bevor Sie beginnen

Um eine Rolle zu erstellen, müssen Sie entweder eine Rolle annehmen, die das Berechtigungsprofil "Primary Administrator" enthält, oder zum Benutzer root wechseln.

Nehmen Sie die Rolle "Primary Administrator" an, oder melden Sie sich als Superuser an.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
Wählen Sie einen der folgenden Befehle aus, um eine Rolle über die Befehlszeile zu erstellen.
- Für Rollen im Bereich des lokalen Name Service verwenden Sie den Befehl roleadd.
  Hinweis - Der Befehl roleadd unterliegt mehr Beschränkungen als die Solaris Management Console-GUI oder die Befehlszeilenschnittstellen. Im Anschluss an den Befehl roleadd müssen Sie den Befehl usermod ausführen, um die Rolle einem Benutzer zuzuweisen. Außerdem muss der Benutzer ein Passwort für die Rolle festlegen, wie unter So weisen Sie eine Rolle einem lokalen Benutzer zu gezeigt.
```
# roleadd -c comment \
-g group -m homedir -u UID -s shell \
-P profile rolename
```
  -c comment
  
  Kommentar zur Beschreibung von rolename
  
  -g group
  
  Gruppenzuweisung für rolename
  
  -m homedir
  
  Pfad zum Home-Verzeichnis für rolename
  
  -u UID
  
  UID für rolename
  
  -s shell
  
  Anmelde-Shell für rolename. Diese Shell muss eine Profil-Shell sein.
  
  -P profile
  
  Mindestens ein Berechtigungsprofil für rolename
  
  rolename
  
  Name der neuen lokalen Rolle
- Verwenden Sie den Befehl smrole add.
  Dieser Befehl erstellt eine Rolle in einem verteilten Name Service wie NIS, NIS+ oder LDAP. Dieser Befehl wird als Client des Solaris Management Console-Servers ausgeführt.
```
$ /usr/sadm/bin/smrole -D domain-name \ 
-r admin-role -l <Type admin-role password> \
add -- -n rolename -a rolename -d directory\
-F full-description -p profile
```
  -D domain-name
  
  Name der zu ändernden Domain
  
  -r admin-role
  
  Name der administrativen Rolle, von der die Rolle geändert werden kann. Die administrative Rolle muss über die Autorisierung solaris.role.assign verfügen. Wenn Sie Ihre angenommene Rolle ändern, muss die Rolle über die Autorisierung solaris.role.delegate verfügen.
  
  -l
  
  Eingabeaufforderung für das Passwort von admin-role
  
  --
  
  Trennzeichen zwischen Authentifizierungsoptionen und Unterbefehlsoptionen
  
  -n rolename
  
  Name der neuen Rolle
  
  -c comment
  
  Kommentar, der die Fähigkeiten der Rolle beschreibt
  
  -a username
  
  Name des Benutzers, der rolename annehmen kann
  
  -d directory
  
  Home-Verzeichnis für rolename
  
  -F full-description
  
  Vollständige Beschreibung für rolename. Diese Beschreibung wird in der Solaris Management Console-GUI angezeigt.
  
  -p profile
  
  Berechtigungsprofil, das in den Fähigkeiten von rolename enthalten ist. Diese Option stellt Befehle mit administrativen Fähigkeiten für die Rolle zur Verfügung. Sie können mehrere Optionen des Typs -p profile angeben.
Damit die Änderungen wirksam werden, führen Sie die Anweisungen unter So weisen Sie eine Rolle einem lokalen Benutzer zu aus.

Beispiel 9-6 Erstellen der Rolle "Custom Operator" mit dem Befehl smrole

Der Befehl smrole gibt eine neue Rolle und ihre Attribute in einem Name Service an. In dem folgenden Beispiel wird mit der Rolle "Primary Administrator" eine neue Version der Rolle "Media Backup" erstellt. Die Rolle schließt das Standardberechtigungsprofil "Media Backup" und das Berechtigungsprofil "FTP Management" ein. Beachten Sie, dass Sie aufgefordert werden, ein Passwort für die neue Rolle einzugeben.

% su - primaryadm
Password: <Type primaryadm password> 
$ /usr/sadm/bin/smrole add -H myHost -- -c "FTP and Backup Operator" \
-n operadm2 -a janedoe -d /export/home/operadm \
-F "Backup/FTP Operator" -p "Media Backup" -p "FTP Management"
Authenticating as user: primaryadm

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <Type primaryadm password>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadm was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password ::<Type operadm2 password>

$ svcadm restart system/name-service-cache

Der Befehl smrole mit dem Unterbefehl list zeigt die neue Rolle an:

$ /usr/sadm/bin/smrole list --
Authenticating as user: primaryadm

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <Type primaryadm password>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadm was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.
root                    0             Superuser
primaryadm            100             Most powerful role
sysadmin              101             Performs non-security admin tasks
operadm               102             Backup Operator
operadm2              103             Backup/FTP Operator

Beachten Sie, dass Berechtigungsprofile, die "Media Backup" oder "Media Restore" enthalten, dazu führen, dass die Rolle über Zugriff auf das gesamte Root-Dateisystem verfügt. Daher muss der Administrator diese Berechtigungsprofile vertrauenswürdigen Benutzern zuweisen. Alternativ kann der Administrator auch darauf verzichten, diese Berechtigungsprofile zuzuweisen. In diesem Fall kann nur der Superuser Backups und Wiederherstellungen durchführen.

So weisen Sie eine Rolle einem lokalen Benutzer zu

Mit diesem Verfahren wird einem lokalen Benutzer eine lokale Rolle zugewiesen und der Name Service-Cache-Dämon neu gestartet. Dann wird gezeigt, wie der Benutzer die Rolle annehmen kann.

Informationen zum Zuweisen einer Rolle zu einem Benutzer in einem verteilten Name Service finden Sie unter So erstellen Sie eine Rolle über die Befehlszeile und So ändern Sie die Eigenschaften einer Rolle.

Bevor Sie beginnen

Sie haben eine lokale Rolle, wie in So erstellen Sie eine Rolle über die Befehlszeile beschrieben, hinzugefügt. Sie müssen entweder eine Rolle annehmen, die das Berechtigungsprofil "Primary Administrator" enthält, oder zum Benutzer root wechseln.

Weisen Sie die Rolle einem lokalen Benutzer zu.
Wenn Sie eine lokale Rolle mit dem Befehl roleadd hinzugefügt haben, ist dieser Schritt erforderlich. Dieser Schritt ist optional, wenn Sie die Rolle mit dem Befehl smrole und der Solaris Management Console erstellt haben.
```
# usermod -u UID -R rolename login-name
```
-u UID

UID des Benutzers

-R rolename

Rolle, die dem Benutzer zugewiesen wird

login-name

Anmeldename des Benutzers
Damit die Änderungen angewendet werden, starten Sie den Name Service-Cache-Dämon neu.
```
# svcadm restart system/name-service-cache
```
Wenn Sie eine Rolle mit einer Solaris Management Console-Schnittstelle hinzugefügt haben, gehen Sie wie unter Verwenden von Rollen (Übersicht der Schritte) beschrieben vor. Andernfalls fahren Sie mit dem nächsten Schritt fort.
(Optional) Um das Rollenkonto freizugeben, muss der Benutzer ein Passwort erstellen.
Wenn Sie eine lokale Rolle mit dem Befehl roleadd hinzugefügt haben, ist dieser Schritt erforderlich.
```
% su - rolename
Password: <Type rolename password>
Confirm Password: <Retype rolename password>
$
```

Beispiel 9-7 Erstellen und Zuweisen einer lokalen Rolle über die Befehlszeile

In diesem Beispiel wird eine Rolle zur Verwaltung von Oracle Solaris Cryptographic Framework erstellt. Das Berechtigungsprofil "Crypto Management" enthält den Befehl cryptoadm zur Verwaltung von kryptografischen Hardware- und Softwareservices auf einem lokalen System.

# roleadd -c "Cryptographic Services manager" \
-g 14 -m /export/home/cryptoadm -u 104 -s pfksh \
-P "Crypto Management" cryptomgt
# usermod -u 1111 -R cryptomgt
# svcadm restart system/name-service-cache
% su - cryptomgt
Password: <Type cryptomgt password>
Confirm Password: <Retype cryptomgt password>
$ /usr/ucb/whoami
cryptomgt
$

Informationen zu Oracle Solaris Cryptographic Framework finden Sie in Kapitel 13Oracle Solaris Cryptographic Framework (Übersicht). Informationen zur Verwaltung des Frameworks finden Sie unter Verwalten von Cryptographic Framework (Übersicht der Schritte).

So prüfen Sie Rollen

Die von einer Rolle durchgeführten Aktionen können geprüft werden. Der Prüfdatensatz enthält den Anmeldenamen des Benutzers, der die Rolle angenommen hat, den Rollennamen und die Aktion, die die Rolle durchgeführt hat. Die Informationen werden vom Prüfereignis 6180:AUE_prof_cmd:profile command:ua,as erfasst. Durch Vorauswahl der Klassen as oder ua können Sie die Rollenaktionen prüfen.

Planen Sie die Prüfung und bearbeiten Sie die Prüfkonfigurationsdateien.
Weitere Informationen finden Sie unter Prüfung bei Oracle Solaris (Übersicht der Schritte).
Nehmen Sie die Klasse ua oder die Klasse as in die flags-Zeile der Datei audit_control auf.
```
## audit_control file
flags:lo,as
naflags:lo
plugin:name=audit_binfile.so; p_dir=/var/audit
```
Die Klassen ua oder as enthalten andere Prüfereignisse. Die in einer Klasse enthaltenen Prüfereignisse können Sie in der Datei audit_event anzeigen. Stattdessen können Sie auch den Befehl bsmrecord verwenden (siehe Beispiel 30-27).
Schließen Sie die Konfiguration des Prüfservice ab und aktivieren Sie die Prüffunktion.
Weitere Informationen finden Sie unter Konfigurieren und Aktivieren des Prüfservice (Aufgaben).

So wandeln Sie den `root`-Benutzer in eine Rolle um

In diesem Verfahren wird beschrieben, wie der root von einem Anmeldungsbenutzer in eine Rolle umgewandelt wird. Nach Abschluss dieses Verfahrens können Sie sich nicht mehr direkt beim System als root anmelden, es sei denn der Einzelbenutzermodus wird ausgeführt. Ihnen muss die root-Rolle zugewiesen sein und Sie müssen mit su zu root wechseln.

Durch Umwandeln des root-Benutzers in eine Rolle verhindern Sie anonyme root-Anmeldungen. Da ein Benutzer sich zuerst anmeldet und dann die root-Rolle annimmt, wird die Anmelde-ID des Benutzers an den Prüfservice übergeben und in der Datei sulog aufgezeichnet.

Mit diesem Verfahren erstellen Sie einen lokalen Benutzer und weisen ihm die root-Rolle zu. In Beispiel 9-8 wird beschrieben, wie Sie Benutzer daran hindern, die Rolle anzunehmen.

Bevor Sie beginnen

Sie können dieses Verfahren nicht durchführen, wenn Sie direkt als root angemeldet sind. Sie müssen sich erst mit Ihrem Benutzernamen anmelden und dann mit su zu root wechseln.

Melden Sie sich beim Zielsystem als gewöhnlicher Benutzer an.
Nehmen Sie die Rolle "Primary Administrator" an, oder melden Sie sich als Superuser an.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.
Erstellen Sie einen lokalen Benutzer, der die root-Rolle annehmen kann.
Zur Sicherheit sollte mindestens einem lokalen Benutzer die root-Rolle zugewiesen werden.
```
$ useradd -c comment -u uid -d homedir username
```
-c comment

Kommentar zur Beschreibung des Benutzers

-d homedir

Home-Verzeichnis des Benutzers. Dieses Verzeichnis sollte sich auf dem lokalen System befinden.

-u uid

Benutzer-ID

username

Name des neuen lokalen Benutzers.
```
# useradd -c "JDoe's local account" -u 123 -d /export/home1 jdoe-local
```

Weisen Sie dem Benutzer ein Passwort zu.

# passwd -r files jdoe-local
New Password:    <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for jdoe-local
#

Stellen Sie sicher, dass Sie nicht als root angemeldet sind.

# who
jdoe    console      May 24 13:51    (:0)
jdoe    pts/5        May 24 13:51    (:0.0)
jdoe    pts/4        May 24 13:51    (:0.0)
jdoe    pts/10       May 24 13:51    (:0.0)

Wandeln Sie den root-Benutzer in eine Rolle um.
```
# usermod -K type=role root
```
Stellen Sie sicher, dass root eine Rolle ist.
Der root-Eintrag in der Datei user_attr sollte etwa wie folgt aussehen:
```
# grep root /etc/user_attr
root::::type=role;auths=solaris.*,solaris.grant;profiles=...
```

Weisen Sie die root-Rolle Ihrem lokalen Konto zu.

# usermod -R root jdoe-local

Achtung - Wenn Sie die root-Rolle keinem Benutzer zuweisen, ist eine Anmeldung als Superuser nur noch im Einzelbenutzermodus möglich. Sie müssen ein Root-Passwort eingeben, um in den Einzelbenutzermodus zu wechseln.

Konfigurieren Sie den Name Service, zu dem im Falle eines Fehlers zurückgewechselt werden soll.
1. Öffnen Sie ein neues Terminalfenster und nehmen Sie die root-Rolle an.
```
% whoami
jdoe
% su - jdoe-local
Enter password:   <Type jdoe-local password>
% roles
root
% su - root
Enter password:   <Type root password>
#
```
2. Bearbeiten Sie die Datei nsswitch.conf.
  Folgende Einträge in der Datei nsswitch.conf ermöglichen die Rückkehr des Name Service.
```
passwd:  files nis [TRYAGAIN=0 UNAVAIL=return NOTFOUND=return]
group:  files nis [TRYAGAIN=0 UNAVAIL=return NOTFOUND=return]
```
(Optional) Weisen Sie die root-Rolle den ausgewählten Benutzerkonten im Name Service zu.
Die Vorgehensweise wird unter So ändern Sie die RBAC-Eigenschaften eines Benutzers beschrieben.

Beispiel 9-8 Verhindern der Konfiguration eines Systems mit der root-Rolle

In diesem Beispiel erfordert eine Standortsicherheitsrichtlinie, dass das System durch mehrere unterschiedliche Rollen konfiguriert wird. Diese unterschiedlichen Rollen wurden erstellt und getestet. Damit das root-Konto nicht zur Konfiguration des Systems verwendet wird, wandelt der Sicherheitsadministrator root in eine Rolle um, weist diese jedoch nicht zu. Die root-Rolle enthält ein Passwort, um das System im Einzelbenutzermodus zu verwenden.

Zunächst überprüft der Administrator, dass root keine zugewiesene Rolle ist.

% whoami
jdoe-local
% su - root
Password: a!2@3#4$5%6^7
# grep roles /etc/user_attr
jdoe-local::::type=normal;roles=secadmin
kdoe-local::::type=normal;roles=sysadmin

Ohne das root-Konto zu verlassen, wandelt der Administrator root in eine Rolle um.

# usermod -K type=role root

Dann überprüft der Administrator die Änderung im root-Eintrag in der Datei user_attr.

# grep root /etc/user_attr
root::::type=role;auths=solaris.*,solaris.grant;profiles=...

Beispiel 9-9 Umwandeln der root-Rolle in einen root-Benutzer

In diesem Beispiel setzt der Administrator das System außer Betrieb und möchte sich beim Desktop als Superuser anmelden. Das System wurde vom Netzwerk getrennt.

Zuerst nimmt der Administrator die root-Rolle an, um alle root-Rollenzuweisungen zu entfernen.

% whoami
jdoe-local
% su - root
Password: a!2@3#4$5%6^7
# grep roles /etc/user_attr
jdoe-local::::type=normal;roles=root
kdoe-local::::type=normal;roles=root
# usermod -R "" jdoe-local
# usermod -R "" kdoe-local
# grep roles /etc/user_attr
#

Ohne die root-Rolle zu verlassen, wandelt der Administrator root in einen Benutzer um.

# rolemod -K type=normal root

Dann überprüft der Administrator die Änderung im root-Eintrag in der Datei user_attr.

# grep root /etc/user_attr
root::::type=normal;auths=solaris.*,solaris.grant;profiles=...

Allgemeine Fehler

In einer Desktop-Umgebung können Sie sich nicht direkt als root anmelden, wenn root als Rolle definiert ist. Eine diagnostische Meldung gibt an, dass root eine Rolle auf Ihrem System ist. Wenn kein lokales Konto die root-Rolle annehmen kann, müssen Sie eines erstellen. Melden Sie sich im Einzelbenutzermodus als root beim System an, erstellen Sie ein lokales Benutzerkonto und weisen Sie dem neuen Konto die root-Rolle zu. Melden Sie sich als neuer Benutzer an und nehmen Sie die root-Rolle an.

Es ist keine Anmeldung als Superuser möglich, wenn Sie den root-Benutzer in eine Rolle umwandeln und nicht folgende Zuweisungen vornehmen:

Zuweisen der root-Rolle zu einem gültigen Benutzer
Zuweisen eines Berechtigungsprofils, das dem root-Berechtigungsprofil entspricht, zu einem gültigen Benutzer. Das Profil "Primary Administrator" entspricht dem root-Berechtigungsprofil.
Erstellen Sie eine Rolle mit root-Fähigkeiten und weisen Sie diese einem gültigen Benutzer zu. Eine Rolle, der das Profil "Primary Administrator" zugewiesen ist, entspricht der root-Rolle.

Navigationslinks �berspringen
Druckansicht beenden
	Systemverwaltungshandbuch: Sicherheitsservices