¿Qué son las cuentas de usuario y los grupos?

Una tarea de administración del sistema básica es configurar una cuenta de usuario para cada usuario en un sitio. Una cuenta de usuario típica incluye la información que necesita un usuario para iniciar sesión y utilizar un sistema, sin tener la contraseña root del sistema. Los componentes de información de cuenta de usuario se describen en Componentes de cuentas de usuario.

Al configurar una cuenta de usuario, puede agregar el usuario a grupos de usuarios predefinidos. Un uso habitual de grupos es configurar permisos de grupo en un archivo y directorio, lo que permite el acceso sólo a los usuarios que forman parte de ese grupo.

Por ejemplo, puede tener un directorio que contenga archivos confidenciales a los que sólo unos pocos usuarios deberían tener acceso. Puede configurar un grupo denominado topsecret que incluya los usuarios que trabajan en el proyecto topsecret. Y, puede configurar los archivos topsecret con permiso de lectura para el grupo topsecret. De esta manera, sólo los usuarios del grupo topsecret podrán leer los archivos.

Un tipo especial de cuenta de usuario, denominado un rol, sirve para brindar a usuarios seleccionados privilegios especiales. Para obtener más información, consulte Control de acceso basado en roles (descripción general) de Guía de administración del sistema: servicios de seguridad.

Componentes de cuentas de usuario

En las siguientes secciones se describen los componentes específicos de una cuenta de usuario.

Nombres de usuario (inicio de sesión)

Los nombres de usuario, también denominados nombres de inicio de sesión, permiten a los usuarios acceder a sus propios sistemas y sistemas remotos que tengan los privilegios de acceso apropiados. Debe seleccionar un nombre de usuario para cada cuenta de usuario que cree.

Considere establecer una manera estándar de asignar nombres de usuario para facilitar su seguimiento. Además, los nombres deben ser fáciles para que los usuarios los recuerden. Un esquema simple para seleccionar un nombre de usuario es usar la inicial del primer nombre y las siete primeras letras del apellido del usuario. Por ejemplo, Ziggy Ignatz sería zignatz. Si este esquema da como resultado nombres duplicados, puede utilizar la primera inicial, la inicial del segundo nombre y los seis primeros caracteres del apellido del usuario. Por ejemplo, Ziggy Top Ignatz sería ztignatz.

Si este esquema sigue dando como resultando nombres duplicados, tenga en cuenta el siguiente esquema para crear un nombre de usuario:

La primera inicial, la inicial del segundo nombre, los primeros cinco caracteres del apellido del usuario
El número 1, 2 o 3, y así sucesivamente hasta tener un nombre único

Nota - Cada nuevo nombre de usuario debe ser distinto de cualquier alias de correo conocido por el sistema o el dominio NIS. De lo contrario, el correo podría ser entregado al alias en lugar de al usuario real.

Para directrices detalladas sobre la configuración de nombres de usuario (inicio de sesión), consulte Directrices para utilizar nombres de usuario, ID de usuario e ID de grupo.

Números de ID de usuario

Hay un número de identificación de usuario (UID) asociado con cada nombre de usuario. El número UID identifica el nombre de usuario para cualquier sistema en el que el usuario intenta iniciar la sesión. Y los sistemas utilizan el número UID para identificar los propietarios de los archivos y directorios. Si crea cuentas de usuario para una sola persona en un número de sistemas diferentes, utilice siempre el mismo nombre de usuario y número de ID. De ese modo, el usuario puede mover fácilmente archivos entre sistemas sin problemas de titularidad.

Los números UID deben ser números completos menores o iguales que 2147483647. Los números UID son necesarios para cuentas de usuario normales y cuentas del sistema especiales. La siguiente tabla muestra los números UID que están reservados para las cuentas de usuario y las cuentas del sistema.

Tabla 4-3 Números UID reservados

Números UID	Cuentas de usuario o de inicio de sesión	Descripción
0 – 99	root, `daemon`, `bin`, `sys` y así sucesivamente	Reservados para el uso por Oracle Solaris
100 – 2147483647	Usuarios normales	Cuentas con fines generales
60001 y 65534	`nobody` y `nobody4`	Usuarios anónimos
60002	`noaccess`	Ningún usuario de confianza

No asigne UID de 0 a 99. Estos UID están reservados para la asignación por Oracle Solaris. Por definición, root siempre tiene un UID 0, daemon tiene un UID 1 y pseudo usuario bin tiene un UID 2. Además, debería ofrecer a inicios de sesión uucp e inicios de sesión de pseudo usuario, como who, tty y ttytype, UID bajos para que queden al principio del archivo passwd.

Para obtener directrices adicionales sobre la configuración de UID, consulte Directrices para utilizar nombres de usuario, ID de usuario e ID de grupo.

Como con nombres de usuario (inicio de sesión), debe adoptar un esquema para asignar números UID únicos. Algunas compañías asignan números de empleado únicos. A continuación, los administradores agregan un número al número de empleado para crear un número UID único para cada empleado.

Para minimizar riesgos de seguridad, debería evitar volver a utilizar los UID de cuentas eliminadas. Si debe reutilizar un UID, "empiece desde 0" para que el nuevo usuario no se vea afectado por conjuntos de atributos de un antiguo usuario. Por ejemplo, a un antiguo usuario se le pudo haber denegado el acceso a una impresora por estar en una lista de denegación de impresora. Sin embargo, ese atributo puede ser inapropiado para el nuevo usuario.

Uso de ID de usuario e ID de grupo de gran tamaño

UID e ID de grupo (GID) pueden asignarse hasta el valor máximo de un entero firmado o 2147483647.

Sin embargo, UID y GID superiores a 60000 no tienen plena funcionalidad y son incompatibles con muchas funciones de Oracle Solaris. Por lo tanto, evite el uso de UID o GID superiores a 60000.

La siguiente tabla describe problemas de interoperabilidad con productos de Oracle Solaris y versiones anteriores.

Tabla 4-4 Problemas de interoperabilidad para UID o GID superiores a 60000

Categoría	Producto o comando	Problema
Interoperabilidad NFS	Software NFS de SunOS 4.0 y versiones compatibles	El servidor NFS y el código de cliente truncan UID y GID de gran tamaño a 16 bits. Esta situación puede crear problemas de seguridad, si los sistemas que ejecutan SunOS 4.0 y versiones compatibles se utilizan en un entorno donde se usan grandes UID y GID. Los sistemas que ejecutan SunOS 4.0 y versiones compatibles necesitan un parche para evitar este problema.
Interoperabilidad de servicio de nombres	Servicio de nombres NIS y servicio de nombres basado en archivos	Los usuarios con UID superiores a 60000 pueden iniciar sesión o utilizar el comando `su` en sistemas que ejecutan Solaris 2.5 (y versiones compatibles). Sin embargo, sus UID y GID se establecerán en 60001 (`nobody`).
	Servicio de nombres NIS+	A los usuarios con UID superiores a 60000 se les deniega el acceso en los sistemas que ejecutan Solaris 2.5 (y versiones compatibles) y el servicio de nombres NIS+.

La siguiente tabla describe limitaciones de UID y GID.

Tabla 4-5 Resumen de limitaciones de UID y GID de gran tamaño

UID o GID	Limitaciones
60003 o superior	Los usuarios que inicien sesión en sistemas que ejecutan Solaris 2.5 (y versiones compatibles) y el servicio de nombres de archivos o NIS obtienen un UID y GID de `nobody`.
65535 o superior	Los sistemas que ejecutan Solaris 2.5 (y versiones compatibles) con el software NFS versión 2 truncan los UID a 16 bits, lo que crea posibles problemas de seguridad. Los usuarios que utilizan el comando `cpio` con el formato de archivo predeterminado para copiar un archivo, ven un mensaje de error para cada archivo. Y, los UID y GID se establecen para `nobody` en el archivo. Sistemas basados en x86: los usuarios que ejecutan aplicaciones compatibles con SVR3 probablemente vean los códigos de devolución `EOVERFLOW` de llamadas del sistema. Sistemas basados en x86: si los usuarios intentan crear un archivo o directorio en un sistema de archivos System V montado, el sistema de archivos System V devuelve un error `EOVERFLOW`.
100000 o superior	El comando `ps -l` muestra un UID de un máximo de cinco dígitos. Por lo tanto, la columna impresa no se podrá alinear cuando se incluya un UID o GID superior a 99999.
262144 o superior	Los usuarios que utilizan el comando `cpio` con el formato `-H odc` o el comando `pax -x cpio` para copiar archivos ven un mensaje de error devuelto para cada archivo. Y, los UID y GID se establecen para `nobody` en el archivo.
1000000 o superior	Los usuarios que utilizan el comando `ar` tienen sus UID y GID establecidos en `nobody` en el archivo.
2097152 o superior	Los usuarios que utilizan el comando `tar`, el comando `cpio -H ustar` o el comando `pax -x tar` tienen sus UID y GID establecidos en `nobody`.

Grupos UNIX

Un grupo es una recopilación de usuarios que pueden compartir archivos y otros recursos del sistema. Por ejemplo, usuarios que trabajan en el mismo proyecto podrían formarse en un grupo. Un grupo es conocido tradicionalmente como un grupo UNIX.

Cada grupo debe tener un nombre, un número de identificación de grupo (GID) y una lista de nombres de usuario que pertenecen al grupo. Un número GID identifica el grupo internamente para el sistema.

Los dos tipos de grupos al que un usuario puede pertenecer son los siguientes:

Grupo primario – Especifica un grupo que el sistema operativo asigna a archivos creados por los usuarios. Cada usuario debe pertenecer a un grupo primario.
Grupos secundarios – Especifica uno o más grupos a los que los usuarios pueden pertenecer. Los usuarios pueden pertenecer a hasta 15 grupos secundarios.

Para obtener directrices detalladas sobre la configuración de nombres de grupo, consulte Directrices para utilizar nombres de usuario, ID de usuario e ID de grupo.

En ocasiones, un grupo secundario del usuario no es importante. Por ejemplo, la propiedad de archivos reflejar el grupo primario y no un grupo secundario. Otras aplicaciones, sin embargo, puedan depender de pertenencias a grupos secundarios del usuario. Por ejemplo, un usuario tiene que ser un miembro del grupo sysadmin (grupo 14) para utilizar el software Admintool en las versiones anteriores de Solaris. Sin embargo, no importa si el grupo 14 es su actual grupo primario.

El comando groups enumera la lista de grupos a los que pertenece un usuario. Un usuario puede tener solamente un grupo primario a la vez. Sin embargo, un usuario puede cambiar temporalmente el grupo primario del usuario, con el comando newgrp, para cualquier otro grupo del que el usuario es miembro.

Al agregar una cuenta de usuario, debe asignar un grupo primario a un usuario o aceptar el grupo predeterminado, staff (grupo 10). El grupo primario ya debería existir. Si el grupo primario no existe, especifique el grupo por número GID. Los nombres de usuario no se agregan a los grupos primarios. Si los nombres de usuario se agregaron a grupos primarios, la lista podría llegar a ser demasiado larga. Antes de poder asignar usuarios a un nuevo grupo secundario, debe crear el grupo y asignarle un número GID.

Los grupos pueden ser locales para un sistema o gestionados mediante un servicio de nombres. Para simplificar la administración de grupos, debe utilizar un servicio de nombres, como NIS o un servicio de directorio, como LDAP. Estos servicios permiten gestionar de manera centralizada la pertenencia a los grupos.

Contraseñas de usuario

Puede especificar una contraseña para un usuario cuando agrega el usuario. O bien, puede forzar al usuario a que especifique una contraseña cuando el usuario inicia sesión por primera vez.

Las contraseñas de usuario deben cumplir con la siguiente sintaxis:

La longitud de la contraseña debe coincidir al menos con el valor identificado por la variable PASSLENGTH del archivo /etc/default/passwd. De manera predeterminada, PASSLENGTH está establecido en 6.
Los seis primeros caracteres de la contraseña deben contener al menos dos caracteres alfabéticos y al menos un carácter numérico o especial.
Puede aumentar la longitud máxima de las contraseñas a más de ocho caracteres mediante la configuración del archivo /etc/policy.conf con un algoritmo que admite más de ocho caracteres.

Aunque los nombres de usuario son conocidos públicamente, las contraseñas deben mantenerse en secreto y sólo deben conocerlas los respectivos usuarios. Se debe asignar una contraseña a cada cuenta de usuario. La contraseña puede ser una combinación de seis a ocho letras, números o caracteres especiales.

Para hacer que los sistemas del equipo sean más seguros, los usuarios deben modificar sus contraseñas con frecuencia. Para un alto nivel de seguridad, se debe solicitar a los usuarios que cambien sus contraseñas cada seis semanas. Una vez cada tres meses es adecuado para niveles más bajos de seguridad. Los inicios de sesión de administración del sistema (como root y sys) deberían cambiarse mensualmente o siempre que una persona que sabe la contraseña de usuario root deja la compañía o es reasignada.

Numerosas infracciones de seguridad del equipo implican adivinar una contraseña legítima del usuario. Debe asegurarse de que los usuarios eviten el uso de nombres propios, nombres, nombres de inicio de sesión y otras contraseñas que una persona podría deducir sólo por saber algo sobre el usuario.

Algunas buenas opciones para las contraseñas incluyen lo siguiente:

Frases (beammeup).
Palabras sin sentido armadas con las primeras letras de cada palabra de una frase. Por ejemplo, swotrb para SomeWhere Over The RainBow.
Palabras con números o símbolos sustituidos por letras. Por ejemplo, sn00py para snoopy.

No utilice estas opciones para las contraseñas:

Su nombre (escrito hacia delante, hacia atrás o mezclado)
Nombres de miembros de la familia o mascotas
Números de licencia de conducir
Números de teléfono
Números de seguro social
Números de empleado
Palabras relacionadas con un pasatiempo o interés
Temas estacionales, como Papá Noel en diciembre
Cualquier palabra en el diccionario

Directorios principales

El directorio principal es la parte de un sistema de archivos asignado a un usuario para almacenar archivos privados. La cantidad de espacio que asigne a un directorio principal depende de los tipos de archivo que crea el usuario, su tamaño y el número de archivos que se crean.

Un directorio principal se puede ubicar en el sistema local del usuario o en un servidor de archivos remoto. En cualquier caso, por convención, el directorio principal debe crearse como /export/home/nombre de usuario. Para un sitio grande, debería almacenar los directorios principales en un servidor. Utilice un sistema de archivos independiente para cada directorio /export/homen para facilitar la copia de seguridad y restauración de los directorios principales. Por ejemplo, /export/home1, /export/home2.

Independientemente de la ubicación de sus respectivos directorios principales, los usuarios pueden acceder a sus directorios principales mediante un punto de montaje denominado /home/nombre de usuario. Cuando se usa AutoFS para montar directorios principales, no se le permite crear ningún directorio en el punto de montaje /home de ningún sistema. El sistema reconoce el estado especial de /home cuando AutoFS está activo. Para obtener más información sobre el montaje automático de directorios principales, consulte Descripción general de tareas para administración autofs de Guía de administración del sistema: servicios de red.

Para utilizar el directorio principal en cualquier lugar de la red, siempre debería hacer referencia al directorio como $HOME y no como /export/home/nombre de usuario. El último es específico de un equipo. Además, cualquier enlace simbólico creado en un directorio principal del usuario debería utilizar rutas relativas (por ejemplo, ../../../x/y/x) para que los enlaces sean válidos independientemente de dónde esté montado el directorio principal.

Servicios de nombres

Si gestiona cuentas de usuario para un sitio de gran tamaño, es posible que desee tener en cuenta el uso de un servicio de nombres o directorios, como LDAP, NIS o NIS+. Un servicio de nombres o directorios permite almacenar información de cuenta de usuario de forma centralizada en lugar de almacenar información de cuenta de usuario en cada archivo /etc del sistema. Al utilizar un servicio de nombres o directorios para cuentas de usuario, los usuarios pueden moverse de sistema a sistema utilizando la misma cuenta de usuario sin tener información de cuenta de usuario duplicada en cada sistema. Un servicio de nombres o directorios también promueve información de cuenta de usuario centralizada y consistente.

Entorno de trabajo del usuario

Además de tener un directorio principal para crear y almacenar los archivos, los usuarios necesitan un entorno que les proporcione acceso a las herramientas y los recursos que necesitan para realizar su trabajo. Cuando un usuario inicia sesión en un sistema, el entorno de trabajo del usuario se determina por archivos de inicialización. Estos archivos están definidos por el shell de inicio del usuario, que puede variar, según la versión.

Una buena estrategia para gestionar el entorno de trabajo del usuario es proporcionar archivos de inicialización de usuario personalizados, como .login, .cshrc o .profile, en el directorio principal del usuario.

Nota - No utilice archivos de inicialización del sistema, como /etc/profile o /etc/.login, para gestionar el entorno de trabajo del usuario. Estos archivos residen localmente en los sistemas y no se administran de manera centralizada. Por ejemplo, si AutoFS se usa para montar el directorio principal del usuario desde cualquier sistema de la red, tendría que modificar los archivos de inicialización del sistema en cada sistema para garantizar un entorno consistente siempre que un usuario se mueva de un sistema a otro.

Para obtener información detallada acerca de la personalización de archivos de inicialización de usuario para los usuarios, consulte Personalización de un entorno de trabajo del usuario.

Otra forma de personalizar cuentas de usuario es mediante el control de acceso basado en roles (RBAC). Consulte Control de acceso basado en roles (descripción general) de Guía de administración del sistema: servicios de seguridad para obtener más información.

Directrices para utilizar nombres de usuario, ID de usuario e ID de grupo

Los nombres de usuario, los UID y GID deben ser únicos dentro de su organización, que pueden abarcar varios dominios.

Tenga en cuenta las directrices siguientes al crear usuarios o nombres de rol, UID y GID:

Nombres de usuario – Deben tener de dos a ocho letras y números. El primer carácter debería ser una letra. Al menos un carácter debería ser una letra en minúscula.

Nota - Aunque los nombres de usuario pueden incluir un punto (.), carácter de subrayado (_) o guión (-), no se recomienda el uso de estos caracteres porque pueden causar problemas con algunos productos de software.
Cuentas del sistema – No utilice ninguno de los nombres de usuario, UID o GID que están contenidos en los archivos predeterminados /etc/passwd y /etc/group. No utilice UID y GID, 0-99. Estos números están reservados para asignación por el sistema operativo Oracle Solaris y no deberían utilizarlos cualquier persona. Tenga en cuenta que esta restricción también se aplica a números que no se incluyan en uso actualmente.

Por ejemplo, gdm es el nombre de usuario reservado y el nombre de grupo para el daemon de gestor de visualización GNOME y no debería ser utilizado por otro usuario. Para obtener una lista completa de las entradas predeterminadas /etc/passwd y /etc/group, consulte la Tabla 4-6 y la Tabla 4-7.

Las cuentas nobody y nobody4 nunca deberían utilizarse para procesos en ejecución. Las dos siguientes cuentas están reservadas para su uso por NFS. El uso de estas cuentas para procesos en ejecución podría provocar riesgos de seguridad inesperados. Los procesos que se deben ejecutar como usuario no root deben utilizar las cuentas daemon o noaccess.
Configuración de cuentas del sistema - La configuración de cuentas del sistema predeterminada no debería cambiarse nunca. Esto incluye el cambio del shell de inicio de sesión de una cuenta del sistema que está actualmente bloqueada. La única excepción a esta regla es la configuración de una contraseña y parámetros de caducidad de la contraseña para la cuenta root.

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Guía de administración del sistema: administración básica