Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
Configuración de RBAC (mapa de tareas)
Cómo planificar la implementación de RBAC
Cómo crear y asignar un rol con la interfaz gráfica de usuario
Cómo crear un rol desde la línea de comandos
Cómo asumir un rol en una ventana de terminal
Cómo asumir un rol en Solaris Management Console
Gestión de RBAC (mapa de tareas)
Cómo cambiar la contraseña de un rol
Cómo cambiar las propiedades de un rol
Cómo crear o modificar un perfil de derechos
Cómo cambiar las propiedades RBAC de un usuario
Cómo agregar propiedades RBAC a las aplicaciones antiguas
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
RBAC se puede configurar con las siguientes utilidades:
Interfaz gráfica de usuario de Solaris Management Console: el método preferido para realizar tareas relacionadas con RBAC es por medio de la interfaz gráfica de usuario. Las herramientas de la consola para gestionar los elementos de RBAC se incluyen en el conjunto de la herramienta Users.
Comandos de Solaris Management Console: con las interfaces de línea de comandos de Solaris Management Console, como smrole, puede trabajar en cualquier servicio de nombres. Los comandos de Solaris Management Console requieren autenticación para conectarse con el servidor. Como resultado, estos comandos no resultan prácticos para usar en secuencias de comandos.
Comandos locales: con el conjunto de interfaces de línea de comandos user* y role*, como useradd, puede trabajar en archivos locales solamente. Los comandos que funcionan en archivos locales deben ser ejecutados por un superusuario o por un rol con los privilegios adecuados.
RBAC puede ser una parte integral de la manera en que una organización gestiona sus recursos de información. La planificación requiere un conocimiento exhaustivo de las capacidades de RBAC, así como de los requisitos de seguridad de la organización.
Lea Control de acceso basado en roles (descripción general). Usar RBAC para administrar un sistema es muy diferente a utilizar las prácticas administrativas UNIX convencionales. Debe estar familiarizado con los conceptos de RBAC antes de iniciar la implementación. Para obtener más detalles, consulte el Capítulo 10Control de acceso basado en roles (referencia).
La política de seguridad de la organización debe detallar las amenazas potenciales para el sistema, medir el riesgo de cada amenaza y tener una estrategia para contrarrestar estas amenazas. Aislar las tareas relacionadas con la seguridad a través de RBAC puede ser parte de la estrategia. Aunque puede instalar los roles recomendados y sus configuraciones como están, es posible que deba personalizar la configuración de RBAC para cumplir con la política de seguridad.
En función de las necesidades de seguridad, puede utilizar distintos grados de RBAC, como se muestra a continuación:
Sin RBAC: puede realizar todas las tareas como usuario root. En esta configuración, debe iniciar sesión con su usuario. Luego, debe escribir root como usuario cuando seleccione una herramienta de Solaris Management Console.
Rol único solamente: este método agrega un rol. Se asigna al rol único el perfil de derechos de administrador principal. Este método es similar al modelo de superusuario, ya que el rol tiene capacidades de superusuario. Sin embargo, este método permite realizar un seguimiento del usuario que asumió el rol.
Roles recomendados: este método crea tres roles que se basan en los siguientes perfiles de derechos: administrador principal, administrador del sistema y operador. Los roles son adecuados para las organizaciones con administradores con diferentes niveles de responsabilidad.
Roles personalizados: puede crear sus propios roles para cumplir con los requisitos de seguridad de la organización. Los nuevos roles se pueden basar en perfiles de derechos existentes o personalizados. Para personalizar los perfiles de derechos que aplican la separación de tareas, consulte Creación de roles y usuarios en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.
Usuario root como rol: este método impide que cualquier usuario inicie sesión como root. En su lugar, los usuarios deben iniciar sesión como usuarios comunes antes de asumir el rol root. Para obtener detalles, consulte Cómo convertir el usuario root en un rol.
Revise las capacidades de los roles recomendados y los perfiles de derechos predeterminados. Los perfiles de derechos predeterminados permiten a los administradores configurar un rol recomendado por medio de un único perfil.
Hay tres perfiles de derechos predeterminados disponibles para configurar los roles recomendados:
Perfil de derechos de administrador principal: para configurar un rol que pueda llevar a cabo todas las tareas administrativas, pueda otorgar derechos a otros usuarios y pueda editar los derechos asociados a roles administrativos. Un usuario con este rol puede asignar este rol a otros usuarios y puede otorgar derechos a otros usuarios.
Perfil de derechos de administrador del sistema: para configurar un rol que pueda realizar la mayoría de las tareas administrativas que no están relacionados con la seguridad. Por ejemplo, el administrador del sistema puede agregar nuevas cuentas de usuario, pero no puede definir contraseñas ni otorgar derechos a otros usuarios.
Perfil de derechos de operador: para configurar un rol que pueda realizar tareas administrativas sencillas, como copias de seguridad de medios y mantenimiento de impresoras.
Para examinar de forma más detallada los perfiles de derechos, lea uno de los siguientes temas:
En el directorio /etc/security, lea el contenido de la base de datos prof_attr y la base de datos exec_attr.
En Solaris Management Console, utilice la herramienta Rights para mostrar el contenido de un perfil de derechos.
En esta guía, consulte Contenido de los perfiles de derechos para obtener resúmenes de algunos perfiles de derechos típicos.
Busque otras aplicaciones o familias de aplicaciones en su sitio que puedan beneficiarse del acceso restringido. Las aplicaciones que afectan la seguridad, que pueden causar problemas de denegación del servicio, o que requieren una formación de administrador especial son opciones apropiadas para RBAC. Puede personalizar roles y perfiles de derechos para gestionar los requisitos de seguridad de la organización.
Compruebe si un perfil de derechos existente puede gestionar esta tarea o si es necesario crear un perfil de derechos independiente.
Decida si el perfil de derechos para esta tarea se debe asignar a un rol existente o si es necesario crear un nuevo rol. Si utiliza un rol existente, compruebe que los demás perfiles de derechos sean adecuados para los usuarios que están asignados a este rol.
Según el principio de privilegio mínimo, debe asignar los usuarios a roles que sean adecuados para su nivel de confianza. Al impedir el acceso de usuarios a tareas que los usuarios no necesitan realizar, se reducen los problemas potenciales.
Para crear un nuevo rol, puede ser superusuario o puede utilizar el rol de administrador principal. En este procedimiento, el creador del nuevo rol asumió el rol de administrador principal.
Antes de empezar
Ya creó usuarios que pueden asumir un rol en su sitio. Si los usuarios aún no se crearon, créelos siguiendo las instrucciones detalladas en Uso de las herramientas de gestión de Solaris con RBAC (mapa de tareas) de Guía de administración del sistema: administración básica.
Se le asignó el rol de administrador principal siguiendo los procedimientos descritos en Uso de las herramientas de gestión de Solaris con RBAC (mapa de tareas) de Guía de administración del sistema: administración básica.
# /usr/sbin/smc &
Para obtener instrucciones relacionadas con el inicio de sesión, consulte Cómo asumir un rol en Solaris Management Console.
Para conocer los posibles roles, consulte del Ejemplo 9-1 al Ejemplo 9-4.
Consejo - Todas las herramientas de Solaris Management Console muestran información en la sección inferior de la página o en la parte izquierda de un panel de asistente. Seleccione Help en cualquier momento para buscar información adicional sobre cómo realizar tareas en esta interfaz.
Consejo - Después de completar las propiedades del rol, el último cuadro de diálogo le solicita un usuario para el rol.
# svcadm restart system/name-service-cache
Para obtener más información, consulte las páginas del comando man svcadm(1M) y nscd(1M).
Ejemplo 9-1 Creación de un rol para el perfil de derechos de administrador del sistema
En este ejemplo, el nuevo rol puede realizar tareas de administración del sistema que no estén conectadas con la seguridad. El rol se crea siguiendo el procedimiento anterior con los siguientes parámetros:
Nombre del rol: sysadmin
Nombre completo del rol: System Administrator
Descripción del rol: Performs non-security admin tasks
Perfil de derechos: System Administrator
Este perfil de derechos está en la parte superior de la lista de perfiles incluidos en el rol.
Ejemplo 9-2 Creación de un rol para el perfil de derechos de operador
El perfil de derechos de operador puede gestionar impresoras y realizar copias de seguridad del sistema en medios sin conexión. Es posible que desee asignar el rol a un usuario en cada turno. Para ello, debe seleccionar la opción de lista de correo del rol en el cuadro de diálogo Step 1: Enter a Role Name. El rol se crea siguiendo el procedimiento anterior con los siguientes parámetros:
Nombre del rol: operadm
Nombre completo del rol: Operator
Descripción del rol: Backup operator
Perfil de derechos: Operator
Este perfil de derechos debe estar en la parte superior de la lista de perfiles incluidos en el rol.
Ejemplo 9-3 Creación de un rol para un perfil de derechos relacionados con la seguridad
De manera predeterminada, el único perfil de derechos que contiene comandos y derechos relacionados con la seguridad es el perfil de administrador principal. Si desea crear un rol que no sea tan poderoso como el administrador principal, pero que pueda gestionar algunas tareas relacionadas con la seguridad, debe crear el rol.
En el siguiente ejemplo, el rol protege dispositivos. El rol se crea siguiendo el procedimiento anterior con los siguientes parámetros:
Nombre completo del rol: Device Security
Descripción del rol: Configures Devices
Perfil de derechos: Device Security
En el siguiente ejemplo, el rol protege los sistemas y hosts de la red. El rol se crea siguiendo el procedimiento anterior con los siguientes parámetros:
Nombre completo del rol: Network Security
Descripción del rol: Handles IPsec, IKE, and SSH
Perfil de derechos: Network Security
Ejemplo 9-4 Creación de un rol para un perfil de derechos con ámbito limitado
Algunos perfiles de derechos son de alcance limitado. En este ejemplo, la única tarea del rol es gestionar DHCP. El rol se crea siguiendo el procedimiento anterior con los siguientes parámetros:
Nombre del rol: dhcpmgt
Nombre completo del rol: DHCP Management
Descripción del rol: Manages Dynamic Host Config Protocol
Perfil de derechos: DHCP Management
Ejemplo 9-5 Modificación de la asignación de rol de un usuario
En este ejemplo, se agrega un rol a un usuario existente. Para modificar la asignación de rol del usuario, haga clic en el icono User Accounts en la herramienta Users de Solaris Management Console, haga doble clic en el usuario y siga la ayuda en pantalla para agregar un rol a las capacidades del usuario.
Errores más frecuentes
Compruebe lo siguiente si el rol no tiene las capacidades que debería tener:
¿Los perfiles de derechos del rol están enumerados en la interfaz gráfica de usuario del más al menos poderoso?
Por ejemplo, si el perfil de derechos All está en la parte superior de la lista, no se ejecuta ningún comando con atributos de seguridad. Un perfil que contiene comandos con atributos de seguridad debe preceder al perfil de derechos All en la lista.
¿Los comandos de los perfiles de derechos del rol tienen los atributos de seguridad adecuados?
Por ejemplo, cuando la política es suser, algunos comandos requieren uid=0 en lugar de euid=0.
¿El perfil de derechos está definido en el ámbito de servicio de nombres adecuado? ¿El rol funciona en el ámbito de servicio de nombres donde está definido el perfil de derechos?
¿La antememoria de servicio de nombres, svc:/system/name-service-cache, se reinició?
El daemon nscd puede tener un intervalo de tiempo de vida prolongado. Al reiniciar el daemon, actualiza el nombre de servicios con los datos actuales.
La interfaz gráfica de usuario de Solaris Management Console es el método preferido para gestionar RBAC. Para usar la interfaz gráfica de usuario, consulte Cómo crear y asignar un rol con la interfaz gráfica de usuario. También puede utilizar las interfaces de línea de comandos, como se describe en este procedimiento.
Nota - No intente administrar RBAC con la línea de comandos y la interfaz gráfica de usuario al mismo tiempo. En ese caso, se podrían realizar cambios en la configuración que entren en conflicto y el comportamiento sería impredecible. Puede utilizar ambas herramientas para administrar RBAC, pero no puede hacerlo simultáneamente.
Antes de empezar
Para crear un rol, debe asumir un rol que incluya el perfil de derechos de administrador principal, o bien cambiar al usuario root.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
Nota - El comando roleadd es más limitado que las interfaces de línea de comandos o la interfaz gráfica de usuario de Solaris Management Console. Después de ejecutar el comando roleadd, debe ejecutar el comando usermod para asignar el rol a un usuario. Y, a continuación, el usuario debe definir la contraseña para el rol, como se muestra en Cómo asignar un rol a un usuario local.
# roleadd -c comment \ -g group -m homedir -u UID -s shell \ -P profile rolename
Comentario que describe a nombre_rol.
Asignación de grupo para nombre_rol.
Ruta del directorio principal para nombre_rol.
UID para nombre_rol.
Shell de inicio de sesión para nombre_rol. Este shell debe ser un shell de perfil.
Uno o varios perfiles de derechos para nombre_rol.
Nombre del nuevo rol local.
Este comando crea un rol en un servicio de nombres distribuido, como NIS, NIS+ o LDAP. Este comando se ejecuta como cliente del servidor de Solaris Management Console.
$ /usr/sadm/bin/smrole -D domain-name \ -r admin-role -l <Type admin-role password> \ add -- -n rolename -a rolename -d directory\ -F full-description -p profile
Nombre del dominio que desea gestionar.
Nombre del rol administrativo que puede modificar el rol. El rol administrativo debe tener la autorización solaris.role.assign. Si desea modificar un rol que asumió, el rol debe tener la autorización solaris.role.delegate.
Petición de datos para la contraseña de rol_admin.
Separador obligatorio entre las opciones de autenticación y las opciones de subcomando.
Nombre del nuevo rol.
Comentario que describe las capacidades del rol.
Nombre del usuario que puede asumir nombre_rol.
Directorio principal para nombre_rol.
Descripción completa para nombre_rol. Esta descripción se muestra en la interfaz gráfica de usuario de Solaris Management Console.
Perfil de derechos que se incluye en las capacidades de nombre_rol. Esta opción proporciona comandos con capacidades administrativas al rol. Puede especificar varias opciones -p perfil.
Ejemplo 9-6 Creación de un rol de operador personalizado con el comando smrole
El comando smrole especifica un nuevo rol y sus atributos en un nombre de servicios. En el siguiente ejemplo, el administrador principal crea una nueva versión del rol de copia de seguridad de medios. El rol incluye el perfil de derechos de copia de seguridad de medios estándar, así como el perfil de derechos de gestión de FTP. Tenga en cuenta que el comando solicita una contraseña para el nuevo rol.
% su - primaryadm Password: <Type primaryadm password> $ /usr/sadm/bin/smrole add -H myHost -- -c "FTP and Backup Operator" \ -n operadm2 -a janedoe -d /export/home/operadm \ -F "Backup/FTP Operator" -p "Media Backup" -p "FTP Management" Authenticating as user: primaryadm Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password :: <Type primaryadm password> Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost Login to myHost as user primaryadm was successful. Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful. Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password ::<Type operadm2 password> $ svcadm restart system/name-service-cache
El comando smrole con el subcomando list se utiliza para mostrar el nuevo rol:
$ /usr/sadm/bin/smrole list -- Authenticating as user: primaryadm Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password :: <Type primaryadm password> Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost Login to myHost as user primaryadm was successful. Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful. root 0 Superuser primaryadm 100 Most powerful role sysadmin 101 Performs non-security admin tasks operadm 102 Backup Operator operadm2 103 Backup/FTP Operator
Tenga en cuenta que los perfiles de derechos que incluyen copia de seguridad de medios o restauración de medios proporcionan un rol con acceso a todo el sistema de archivos raíz. Por lo tanto, el administrador debe asignar esos perfiles de derechos a usuarios de confianza. El administrador también puede optar por no asignar estos perfiles de derechos. En este caso, sólo el superusuario puede realizar operaciones de copia de seguridad y restauración.
Este procedimiento asigna un rol local a un usuario local, reinicia el daemon de antememoria de servicio de nombres y luego muestra cómo un usuario puede asumir el rol.
Para asignar un rol a un usuario en un servicio de nombres distribuido, consulte Cómo crear un rol desde la línea de comandos y Cómo cambiar las propiedades de un rol.
Antes de empezar
Ha agregado un rol local, como se describe en Cómo crear un rol desde la línea de comandos. Debe asumir un rol que incluya el perfil de derechos de administrador principal, o bien cambiar al usuario root.
Si agregó un rol local con el comando roleadd, este paso es necesario. Este paso es opcional cuando utiliza el comando smrole y Solaris Management Console para crear un rol.
# usermod -u UID -R rolename login-name
UID del usuario.
Rol que se asignará al usuario.
Nombre de inicio de sesión del usuario.
# svcadm restart system/name-service-cache
Si agregó un rol con una interfaz de Solaris Management Console, vaya a Uso de roles (mapa de tareas). De lo contrario, continúe con el paso siguiente.
Si agregó un rol local con el comando roleadd, este paso es necesario.
% su - rolename Password: <Type rolename password> Confirm Password: <Retype rolename password> $
Ejemplo 9-7 Creación y asignación de un rol local desde la línea de comandos
En este ejemplo, se crea un rol para administrar la estructura criptográfica de Oracle Solaris. El perfil de derechos de gestión de criptografía contiene el comando cryptoadm para administrar los servicios criptográficos de hardware y software en un sistema local.
# roleadd -c "Cryptographic Services manager" \ -g 14 -m /export/home/cryptoadm -u 104 -s pfksh \ -P "Crypto Management" cryptomgt # usermod -u 1111 -R cryptomgt # svcadm restart system/name-service-cache % su - cryptomgt Password: <Type cryptomgt password> Confirm Password: <Retype cryptomgt password> $ /usr/ucb/whoami cryptomgt $
Para obtener información sobre la estructura criptográfica de Oracle Solaris, consulte el Capítulo 13Estructura criptográfica de Oracle Solaris (descripción general). Para administrar la estructura, consulte Administración de la estructura criptográfica (mapa de tareas).
Las acciones que realiza un rol se pueden auditar. En el registro de auditoría, se incluye el nombre de inicio de sesión del usuario que asumió el rol, el nombre del rol y la acción que realizó el rol. El evento de auditoría 6180:AUE_prof_cmd:profile command:ua,as recopila la información. Al preseleccionar la clase as o la clase ua, puede auditar acciones de roles.
Para obtener más información, consulte Auditoría de Oracle Solaris (mapa de tareas).
## audit_control file flags:lo,as naflags:lo plugin:name=audit_binfile.so; p_dir=/var/audit
La clase ua y la clase as incluyen otros eventos de auditoría. Para ver los eventos de auditoría que se incluyen en una clase, lea el archivo audit_event. También puede utilizar el comando bsmrecord, como se muestra en el Ejemplo 30-27.
Para obtener más información, consulte Configuración y habilitación del servicio de auditoría (tareas).
Este procedimiento muestra cómo cambiar root de un usuario de inicio de sesión a un rol. Al completar este procedimiento, ya no podrá iniciar sesión directamente en el sistema como root, excepto en el modo de usuario único. Debe tener asignado el rol root y usar su para convertirse en root.
Al cambiar el usuario root a un rol, impide que el inicio de sesión anónimo de root. Debido a que un usuario debe iniciar sesión y luego asumir el rol root, se proporciona el ID de inicio de sesión del usuario para el servicio de auditoría y se encuentra en el archivo sulog.
En este procedimiento, crea un usuario local y asigna el rol root al usuario. Para impedir que los usuarios asuman el rol, consulte el Ejemplo 9-8.
Antes de empezar
No puede realizar este procedimiento cuando inició sesión directamente como root. Debe iniciar sesión con su usuario y, a continuación, usar su para convertirse en root.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte Uso de las herramientas de gestión de Solaris con RBAC (mapa de tareas) de Guía de administración del sistema: administración básica.
Por motivos de seguridad, se debe asignar el rol root a un usuario local como mínimo.
$ useradd -c comment -u uid -d homedir username
Comentario que describe al usuario.
Directorio principal del usuario. Este directorio debe estar en el sistema local.
Número de identificación del usuario.
Nombre del nuevo usuario local.
# useradd -c "JDoe's local account" -u 123 -d /export/home1 jdoe-local
# passwd -r files jdoe-local New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for jdoe-local #
# who jdoe console May 24 13:51 (:0) jdoe pts/5 May 24 13:51 (:0.0) jdoe pts/4 May 24 13:51 (:0.0) jdoe pts/10 May 24 13:51 (:0.0)
# usermod -K type=role root
La entrada root del archivo user_attr debe ser similar a la siguiente:
# grep root /etc/user_attr root::::type=role;auths=solaris.*,solaris.grant;profiles=...
# usermod -R root jdoe-local
Precaución - Si no asigna el rol root a un usuario, nadie podrá convertirse en superusuario, excepto en el modo de usuario único. Debe escribir una contraseña de usuario root para acceder al modo de usuario único. |
% whoami jdoe % su - jdoe-local Enter password: <Type jdoe-local password> % roles root % su - root Enter password: <Type root password> #
Por ejemplo, las siguientes entradas del archivo nsswitch.conf permitirán que regrese el servicio de nombres.
passwd: files nis [TRYAGAIN=0 UNAVAIL=return NOTFOUND=return] group: files nis [TRYAGAIN=0 UNAVAIL=return NOTFOUND=return]
Para conocer el procedimiento, consulte Cómo cambiar las propiedades RBAC de un usuario.
Ejemplo 9-8 Evitar que el rol root se utilice para configurar un sistema
En este ejemplo, la política de seguridad del sitio requiere que varios roles discretos configuren el sistema. Estos roles discretos se han creado y probado. Para evitar que la cuenta root se utilice para configurar el sistema, el administrador de la seguridad cambia root a un rol, pero no asigna el rol. El rol root conserva una contraseña para acceder al sistema en el modo de usuario único.
En primer lugar, el administrador verifica que root no sea un rol asignado.
% whoami jdoe-local % su - root Password: a!2@3#4$5%6^7 # grep roles /etc/user_attr jdoe-local::::type=normal;roles=secadmin kdoe-local::::type=normal;roles=sysadmin
Aún en la cuenta root, el administrador cambia root a un rol.
# usermod -K type=role root
A continuación, el administrador verifica el cambio en la entrada root del archivo user_attr.
# grep root /etc/user_attr root::::type=role;auths=solaris.*,solaris.grant;profiles=...
Ejemplo 9-9 Cambiar de nuevo el rol root al usuario root
En este ejemplo, el administrador está retirando un sistema y desea iniciar sesión en el escritorio como superusuario. El sistema se eliminó de la red.
En primer lugar, el administrador asume el rol root para eliminar todas las asignaciones de rol root.
% whoami jdoe-local % su - root Password: a!2@3#4$5%6^7 # grep roles /etc/user_attr jdoe-local::::type=normal;roles=root kdoe-local::::type=normal;roles=root # usermod -R "" jdoe-local # usermod -R "" kdoe-local # grep roles /etc/user_attr #
Aún en el rol root, el administrador cambia root a un usuario.
# rolemod -K type=normal root
A continuación, el administrador verifica el cambio en la entrada root del archivo user_attr.
# grep root /etc/user_attr root::::type=normal;auths=solaris.*,solaris.grant;profiles=...
Errores más frecuentes
En un entorno de escritorio, no puede iniciar sesión directamente como root cuando root es un rol. Un mensaje de diagnóstico indica que root es un rol en el sistema. Si no tiene una cuenta local que pueda asumir el rol root, cree una. Como root, inicie sesión en el sistema en el modo de usuario único, cree una cuenta de usuario local y asigne el rol root a la nueva cuenta. A continuación, inicie sesión como el nuevo usuario y asuma el rol root.
Nadie se puede convertir en superusuario si cambia el usuario root a un rol y no realiza alguna de las siguientes asignaciones:
Asigne el rol root a un usuario válido.
Asigne un perfil de derechos que sea equivalente al perfil de derechos de root a un usuario válido. El perfil de administrador principal es un perfil de derechos equivalente para las capacidades de root.
Cree un rol que tenga las capacidades de root y asígnelo a un usuario válido. Un rol que tiene asignado el perfil de administrador principal es equivalente al rol root.