Configuration de RBAC

RBAC peut être configuré à l'aide des utilitaires suivants :

• Interface graphique de la console de gestion Solaris  : la méthode recommandée pour l'exécution des tâches liées à RBAC est l'utilisation de l'interface graphique. Les outils de la console pour gérer les éléments RBAC sont contenus dans la collection d'outils des utilisateurs.

• Commandes de la console de gestion Solaris  : grâce aux interfaces de ligne de commande de la console de gestion Solaris, telles que smrole, vous pouvez travailler sur n'importe quel service de noms. Les commandes de la console de gestion Solaris nécessitent une authentification pour se connecter au serveur. Par conséquent, ces commandes ne sont pas pratiques à utiliser dans des scripts.

• Commandes locales  : grâce au jeu d'interfaces de ligne de commande user* et role*, telles que useradd, vous pouvez travailler sur les fichiers locaux uniquement. Les commandes permettant d'agir sur les fichiers locaux doivent être exécutées par un superutilisateur ou par un rôle doté des privilèges appropriés.

Procédure de planification de votre implémentation RBAC

RBAC peut faire partie intégrante de la façon dont une entreprise gère ses sources d'informations. La planification requiert une connaissance approfondie des fonctionnalités de RBAC et des exigences en matière de sécurité de votre organisation.

1. Découvrez les concepts RBAC de base.

   Lisez la section Contrôle d'accès basé sur les rôles (présentation) . L'utilisation de RBAC pour administrer un système est très différente de l'utilisation des pratiques administratives UNIX conventionnelles. Vous devez vous familiariser avec les concepts RBAC avant de commencer l'implémentation. Pour plus de détails, reportez-vous au Chapitre 10Contrôle d'accès basé sur les rôles (référence).

2. Examinez votre stratégie de sécurité.

   La stratégie de sécurité de votre entreprise doit détailler les menaces potentielles pour votre système, mesurer les risques de chaque menace et disposer d'une stratégie pour les contrer. L'isolation des tâches liées à la sécurité par le biais de RBAC peut être une partie de la stratégie. Bien que vous puissiez installer les rôles recommandés et leurs configurations en l'état, vous pouvez être amené à personnaliser votre configuration RBAC pour adhérer à la stratégie de sécurité en vigueur.

3. Décidez du degré de nécessité de RBAC pour votre organisation.

   En fonction de vos besoins en matière de sécurité, vous pouvez utiliser différents degrés de RBAC, comme suit :

   • Pas de RBAC  : vous pouvez effectuer toutes les tâches en tant qu'utilisateur root. Dans cette configuration, vous devez vous connecter en tant que vous-même. Puis, vous entrez root comme utilisateur lorsque vous sélectionnez un outil de la console de gestion Solaris.

   • Rôle unique seulement  : cette méthode ajoute un rôle. Le rôle unique se voit attribuer le profil de droits de l'administrateur principal. Cette méthode est similaire au modèle du superutilisateur, car le rôle dispose de capacités de superutilisateur. Cependant, cette méthode vous permet de suivre l'utilisateur qui a endossé le rôle.

   • Rôles recommandés  : cette méthode crée trois rôles basés sur les profils de droits suivants : administrateur principal, administrateur système et opérateur. Les rôles sont bien adaptés pour les organisations ayant des administrateurs à différents niveaux de responsabilité.

   • Rôles personnalisés  : vous pouvez créer vos propres rôles pour répondre aux exigences de sécurité de votre organisation. Les nouveaux rôles peuvent être basés sur des profils de droits existants ou personnalisés. Pour personnaliser des profils de droits permettant d'appliquer la séparation des tâches, reportez-vous à la section Création de rôles et d’utilisateurs dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions.

   • Utilisateur root en tant que rôle  : cette méthode empêche tout utilisateur de se connecter en tant que root. Au lieu de cela, les utilisateurs doivent se connecter en tant qu'utilisateurs standard avant d'endosser le rôle root. Pour plus de détails, reportez-vous à la section Procédure de changement d'un utilisateur root en rôle.

4. Déterminez les rôles recommandés appropriés pour votre organisation.

   Passez en revue les capacités des rôles recommandés et des profils de droits par défaut. Les profils de droits par défaut permettent aux administrateurs de configurer un rôle recommandé en utilisant un seul profil.

   Trois profils de droits par défaut sont disponibles pour la configuration des rôles recommandés :

   • Profil de droits de l'administrateur principal  : pour configurer un rôle pouvant effectuer toutes les tâches d'administration, accorder des droits à d'autres personnes et modifier des droits associés à des rôles d'administration. Un utilisateur de ce rôle peut attribuer ce rôle et accorder des droits à d'autres utilisateurs.

   • Profil de droits de l'administrateur système  : pour configurer un rôle pouvant effectuer la plupart des tâches d'administration qui ne sont pas liées à la sécurité. Par exemple, l'administrateur système peut ajouter de nouveaux comptes utilisateur, mais ne peut pas définir les mots de passe ou accorder des droits à d'autres utilisateurs.

   • Profil de droits de l'opérateur  : pour configurer un rôle pouvant effectuer des tâches d'administration simples, telles que la sauvegarde de supports ou la maintenance d'imprimantes.

   Pour examiner de manière plus approfondie les profils de droits, lisez l'un des textes suivants :

   • Dans le répertoire /etc/security, lisez le contenu de la base de données prof_attr et la base de données exec_attr.

   • Dans la console de gestion Solaris, utilisez l'outil de droits pour afficher le contenu d'un profil de droits.

   • Dans ce manuel, reportez-vous à la section Contenu des profils de droits pour obtenir le résumé de certains profils de droits habituels.

5. Déterminez si l'un des rôles ou des profils de droits supplémentaires sont appropriés pour votre organisation.

   Recherchez d'autres applications ou familles d'applications sur votre site susceptibles de bénéficier d'un accès limité. Les applications affectant la sécurité, pouvant entraîner des problèmes de déni de service ou nécessitant une formation d'administrateur système particulière constituent de bons candidats pour RBAC. Vous pouvez personnaliser des rôles et des profils de droits pour gérer les exigences de sécurité de votre organisation.

   1. Déterminez les commandes nécessaires pour la nouvelle tâche.
   2. Choisissez le profil de droits approprié pour cette tâche.

      Vérifiez si un profil de droits existant peut traiter cette tâche ou si un autre profil de droits doit être créé.

   3. Déterminez le rôle approprié pour ce profil de droits.

      Choisissez si le profil de droits pour cette tâche doit être attribué à un rôle existant ou si un nouveau rôle doit être créé. Si vous utilisez un rôle existant, assurez-vous que les autres profils de droits sont appropriés pour les utilisateurs affectés à ce rôle.

6. Déterminez les utilisateurs devant être affectés aux rôles disponibles.

   Selon le principe du moindre privilège, vous devez affecter des utilisateurs à des rôles adaptés à leur niveau de confiance. Lorsque vous empêchez les utilisateurs d'accéder à des tâches qu'ils n'ont pas besoin d'effectuer, vous réduisez les problèmes potentiels.

Procédure de création et d'attribution d'un rôle à l'aide de l'interface graphique

Pour créer un nouveau rôle, vous pouvez être connecté en tant que superutilisateur ou vous pouvez utiliser le rôle d'administrateur principal. Dans cette procédure, le créateur du nouveau rôle a endossé le rôle d'administrateur principal.

Avant de commencer

• Vous avez déjà créé des utilisateurs pouvant endosser un rôle sur votre site. Si les utilisateurs ne sont pas encore créés, créez-les en suivant les instructions de la section Utilisation des outils de gestion Solaris avec RBAC (liste des tâches) du Guide d’administration système : administration de base.

• Le rôle d'administrateur principal vous a été attribué en suivant les procédures de la section Utilisation des outils de gestion Solaris avec RBAC (liste des tâches) du Guide d’administration système : administration de base.

1. Démarrez la console de gestion Solaris.

   # /usr/sbin/smc &

   Pour plus d'instructions sur la connexion, reportez-vous à la section Procédure d'endossement d'un rôle dans la console de gestion Solaris.

2. Cliquez sur l'icône des rôles d'administration.
3. Sélectionnez Add Administrative Role (Ajouter un rôle d'administration) dans le menu Action.
4. Créez un nouveau rôle en remplissant les champs de la série de boîtes de dialogue.

   Pour les rôles disponibles, reportez-vous aux Exemple 9-1 à Exemple 9-4.

   ---

   Astuce - Tous les outils de la console de gestion Solaris affichent des informations dans la section inférieure de la page ou dans la partie gauche d'un panneau de l'assistant. Sélectionnez Help (Aide) à tout moment pour trouver des informations supplémentaires sur l'exécution de tâches dans cette interface.

   ---

5. Attribuez le rôle à un utilisateur.

   ---

   Astuce - Après avoir rempli les propriétés du rôle, la dernière boîte de dialogue vous invite à sélectionner un utilisateur pour le rôle.

   ---

6. Dans une fenêtre de terminal, redémarrez le démon nscd.

   # svcadm restart system/name-service-cache

   Pour plus d'informations, reportez-vous aux pages de manuel svcadm(1M) et nscd(1M).

Exemple 9-1 Création d'un rôle pour le profil de droits de l'administrateur système

Dans cet exemple, le nouveau rôle peut effectuer des tâches d'administration système qui ne sont pas liées à la sécurité. Le rôle est créé en effectuant la procédure précédente avec les paramètres suivants :

• Nom de rôle : sysadmin

• Nom de rôle complet : System Administrator

• Description du rôle : Performs non-security admin tasks

• Profil de droits : System Administrator

  Ce profil de droits s'affiche en haut de la liste des profils inclus dans le rôle.

Exemple 9-2 Création d'un rôle pour le profil de droits de l'opérateur

Le profil de droits de l'opérateur peut gérer les imprimantes et sauvegarder le système sur un support hors ligne. Vous pouvez souhaiter attribuer le rôle à un utilisateur de chaque équipe. Pour ce faire, vous devez sélectionner l'option de liste de diffusion du rôle dans la boîte de dialogue Step 1: Enter a Role Name (Étape 1 : entrez un nom de rôle). Le rôle est créé en effectuant la procédure précédente avec les paramètres suivants :

• Nom de rôle : operadm

• Nom de rôle complet : Operator

• Description du rôle : Backup operator

• Profil de droits : Operator

  Ce profil de droits doit s'afficher en haut de la liste des profils inclus dans le rôle.

Exemple 9-3 Création d'un rôle pour le profil de droits liés à la sécurité

Par défaut, le seul profil de droits contenant des commandes et des droits liés à la sécurité est le profil d'administrateur principal. Si vous souhaitez un rôle qui ne soit pas aussi puissant que l'administrateur principal, mais qui puisse gérer certaines tâches liées à la sécurité, vous devez créer ce rôle.

Dans l'exemple suivant, le rôle protège les périphériques. Le rôle est créé en effectuant la procédure précédente avec les paramètres suivants :

• Nom de rôle : devicesec

• Nom de rôle complet : Device Security

• Description du rôle : Configures Devices

• Profil de droits : Device Security

Dans l'exemple suivant, le rôle protège les systèmes et les hôtes sur le réseau. Le rôle est créé en effectuant la procédure précédente avec les paramètres suivants :

• Nom de rôle : netsec

• Nom de rôle complet : Network Security

• Description du rôle : Handles IPsec, IKE, and SSH

• Profil de droits : Network Security

Exemple 9-4 Création d'un rôle pour un profil de droits de portée limitée

Un certain nombre de profils de droits ont une portée limitée. Dans cet exemple, l'unique tâche du rôle est de gérer DHCP. Le rôle est créé en effectuant la procédure précédente avec les paramètres suivants :

• Nom de rôle : dhcpmgt

• Nom de complet : DHCP Management

• Description du rôle : Manages Dynamic Host Config Protocol

• Profil de droits : DHCP Management

Exemple 9-5 Modification de l'attribution d'un rôle à un utilisateur

Dans cet exemple, un rôle est ajouté à un utilisateur existant. L'attribution d'un rôle à l'utilisateur est modifiée en cliquant sur l'icône des comptes utilisateur dans l'outil des utilisateurs de la console de gestion Solaris, en double-cliquant sur l'utilisateur et en suivant l'aide en ligne pour ajouter un rôle aux capacités de l'utilisateur.

Erreurs fréquentes

Vérifiez ce qui suit si le rôle ne dispose pas des capacités attendues :

• Les profils de droits du rôle s'affichent-ils dans l'interface graphique du plus puissant au moins puissant ?

  Par exemple, si le profil de droits All s'affiche en haut de la liste, aucune commande n'est exécutée avec les attributs de sécurité. Un profil contenant des commandes avec des attributs de sécurité doit précéder le profil de droits All dans la liste.

• Les commandes des profils de droits du rôle disposent-elles des attributs de sécurité appropriés ?

  Par exemple, lorsque la stratégie est suser, certaines commandes requièrent uid=0 plutôt que euid=0.

• Le profil de droits est-il défini dans le champ d'application du service de noms approprié ? Le rôle est-il utilisé dans le champ d'application du service de noms où le profil de droits est défini ?

• Le cache de service de noms, svc:/system/name-service-cache, a-t-il été redémarré ?

  Le démon nscd peut avoir un long intervalle de durée de vie. En redémarrant le démon, vous mettez à jour le service de noms avec les données en cours.

Procédure de création d'un rôle à partir de la ligne de commande

L'interface graphique de la console de gestion Solaris est la méthode recommandée pour la gestion de RBAC. Pour utiliser l'interface graphique, reportez-vous à la section Procédure de création et d'attribution d'un rôle à l'aide de l'interface graphique. Vous pouvez également utiliser les interfaces de ligne de commande, de la manière décrite dans cette procédure.

Avant de commencer

Pour créer un rôle, vous devez soit endosser un rôle incluant le profil de droits d'administrateur principal, soit vous connectez en tant qu'utilisateur root.

1. Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.

2. Choisissez l'une des commandes suivantes pour créer un rôle sur la ligne de commande.
   • Pour les rôles dans le champ d'application du service de noms local, utilisez la commande roleadd.

     ---

     Remarque - La commande roleadd est plus limitée que l'interface graphique de la console de gestion Solaris ou les interfaces de ligne de commande. Après avoir exécuté la commande roleadd, vous devez exécuter la commande usermod pour attribuer le rôle à un utilisateur. Ainsi, l'utilisateur doit ensuite définir le mot de passe pour le rôle, tel qu'illustré dans la section Procédure d'attribution d'un rôle à un utilisateur local.

     ---

     # roleadd -c comment \
     -g group -m homedir -u UID -s shell \
     -P profile rolename

     -c comment

     Commentaire décrivant rolename.

     -g group

     Affectation du groupe pour rolename.

     -m homedir

     Chemin d'accès au répertoire personnel pour rolename.

     -u UID

     UID pour rolename.

     -s shell

     Shell de connexion pour rolename. Ce shell doit être un shell de profil.

     -P profile

     Un ou plusieurs profils de droits pour rolename.

     rolename

     Nom du nouveau rôle local.

   • Utilisez la commande smrole add.

     Cette commande crée un rôle dans un DNS, tel que NIS, NIS+ ou LDAP. Cette commande s'exécute en tant que client du serveur de la console de gestion Solaris.

     $ /usr/sadm/bin/smrole -D domain-name \ 
     -r admin-role -l <Type admin-role password> \
     add -- -n rolename -a rolename -d directory\
     -F full-description -p profile

     -D domain-name

     Nom du domaine que vous souhaitez gérer.

     -r admin-role

     Nom du rôle d'administration pouvant modifier le rôle. Le rôle d'administration doit disposer de l'autorisation solaris.role.assign. Si vous modifiez un rôle que vous avez endossé, il doit avoir l'autorisation solaris.role.delegate.

     -l

     Invite pour le mot de passe de admin-role.

     --

     Séparateur requis entre les options d'authentification et les options de sous-commande.

     -n rolename

     Nom du nouveau rôle.

     -c comment

     Commentaire qui décrit les capacités du rôle.

     -a username

     Nom de l'utilisateur qui peut endosser rolename.

     -d directory

     Répertoire personnel pour rolename.

     -F full-description

     Description complète de rolename. Cette description s'affiche dans l'interface graphique de la console de gestion Solaris.

     -p profile

     Profil de droits qui est inclus dans les capacités de rolename. Cette option donne des commandes avec des capacités d'administration au rôle. Vous pouvez spécifier plusieurs options -p profile.

3. Pour appliquer les modifications apportées, reportez-vous à la section Procédure d'attribution d'un rôle à un utilisateur local.

Exemple 9-6 Création d'un rôle d'opérateur personnalisé à l'aide de la commande smrole

La commande smrole spécifie un nouveau rôle et ses attributs dans un service de noms. Dans l'exemple suivant, l'administrateur principal crée une nouvelle version du rôle de sauvegarde des supports. Le rôle inclut le profil de droits de sauvegarde des supports standard ainsi que le profil de droits de gestion FTP. Notez que la commande vous invite à saisir un mot de passe pour le nouveau rôle.

% su - primaryadm
Password: <Type primaryadm password> 
$ /usr/sadm/bin/smrole add -H myHost -- -c "FTP and Backup Operator" \
-n operadm2 -a janedoe -d /export/home/operadm \
-F "Backup/FTP Operator" -p "Media Backup" -p "FTP Management"
Authenticating as user: primaryadm

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <Type primaryadm password>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadm was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password ::<Type operadm2 password>

$ svcadm restart system/name-service-cache

La commande smrole avec la sous-commande list est utilisée pour afficher le nouveau rôle :

$ /usr/sadm/bin/smrole list --
Authenticating as user: primaryadm

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <Type primaryadm password>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadm was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.
root                    0             Superuser
primaryadm            100             Most powerful role
sysadmin              101             Performs non-security admin tasks
operadm               102             Backup Operator
operadm2              103             Backup/FTP Operator

Notez que les profils de droits qui incluent la sauvegarde des supports ou la restauration des supports fournissent un rôle disposant d'un accès à l'intégralité du système de fichiers root. Par conséquent, l'administrateur doit attribuer ces profils de droits aux utilisateurs de confiance. L'administrateur peut également choisir de ne pas attribuer ces profils de droits. Dans ce cas, seul le superutilisateur peut procéder à la sauvegarde et la restauration.

Procédure d'attribution d'un rôle à un utilisateur local

Cette procédure permet d'attribuer un rôle local à un utilisateur local, redémarre le démon cache du nom, puis affiche la manière dont l'utilisateur peut endosser le rôle.

Pour attribuer un rôle à un utilisateur dans un DNS, reportez-vous aux sections Procédure de création d'un rôle à partir de la ligne de commande et Procédure de modification des propriétés d'un rôle.

Avant de commencer

Vous avez ajouté un rôle local, comme indiqué à la section Procédure de création d'un rôle à partir de la ligne de commande. Vous devez soit endosser un rôle incluant le profil de droits de l'administrateur principal, soit devenir l'utilisateur root.

1. Attribuez le rôle à un utilisateur local.

   Si vous avez ajouté un rôle local avec la commande roleadd, cette étape est obligatoire. Cette étape est facultative lorsque vous utilisez la commande smrole et la console de gestion Solaris pour créer un rôle.

   # usermod -u UID -R rolename login-name

   -u UID

   UID de l'utilisateur.

   -R rolename

   Rôle qui est attribué à l'utilisateur.

   login-name

   Nom de connexion de l'utilisateur.

2. Pour appliquer les modifications apportées, redémarrez le démon nscd.

   # svcadm restart system/name-service-cache

   Si vous avez ajouté un rôle à l'aide d'une interface de la console de gestion Solaris, reportez-vous à la section Utilisation des rôles (liste des tâches). Dans le cas contraire, passez à l'étape suivante.

3. (Facultatif) Pour déverrouiller le compte du rôle, l'utilisateur doit créer un mot de passe.

   Si vous avez ajouté un rôle local avec la commande roleadd, cette étape est obligatoire.

   % su - rolename
   Password: <Type rolename password>
   Confirm Password: <Retype rolename password>
   $

Exemple 9-7 Création et attribution d'un rôle local à partir de la ligne de commande

Dans cet exemple, un rôle est créé pour l'administration de la structure cryptographique Oracle Solaris. Le profil de droits de gestion de la cryptographie contient la commande cryptoadm pour l'administration des services cryptographiques matériels et logiciels sur un système local.

# roleadd -c "Cryptographic Services manager" \
-g 14 -m /export/home/cryptoadm -u 104 -s pfksh \
-P "Crypto Management" cryptomgt
# usermod -u 1111 -R cryptomgt
# svcadm restart system/name-service-cache
% su - cryptomgt
Password: <Type cryptomgt password>
Confirm Password: <Retype cryptomgt password>
$ /usr/ucb/whoami
cryptomgt
$

Pour plus d'informations sur la structure cryptographique Oracle Solaris, reportez-vous au Chapitre 13Structure cryptographique Oracle Solaris (présentation). Pour l'administration de la structure, reportez-vous à la rubrique Administration de la structure cryptographique (liste des tâches).

Procédure d'audit des rôles

Les actions qu'un rôle effectue peuvent faire l'objet d'un audit. Le nom de connexion de l'utilisateur qui endosse le rôle, le nom de rôle, ainsi que l'action que le rôle effectue sont inclus dans l'enregistrement d'audit. L'événement d'audit 6180:AUE_prof_cmd:profile command:ua,as collecte les informations. En présélectionnant la classe as ou la ua, vous pouvez effectuer un audit des actions du rôle.

1. Planifiez l'audit et modifiez les fichiers de configuration d'audit.

   Pour plus d'informations, reportez-vous à la section Audit Oracle Solaris (liste des tâches) .

2. Incluez la classe ua ou as à la ligne flags du fichier audit_control.

   ## audit_control file
   flags:lo,as
   naflags:lo
   plugin:name=audit_binfile.so; p_dir=/var/audit

   Les classes ua et as incluent d'autres événements d'audit. Pour voir les événements d'audit qui sont inclus dans une classe, lisez le fichier audit_event. Vous pouvez également utiliser la commande bsmrecord, tel qu'illustré dans l'Exemple 30-27.

3. Terminez la configuration du service d'audit, puis activez l'audit.

   Pour plus d'informations, reportez-vous à la section Configuration et activation du service d'audit (tâches) .

Procédure de changement d'un utilisateur root en rôle

Cette procédure montre la modification d'un utilisateur de connexion root en un rôle root. Lorsque vous effectuez la procédure ci-dessous, vous ne pouvez plus vous connecter directement au système en tant que root, sauf en mode monoutilisateur. Le rôle root doit vous être affecté et su doit être attribué à root.

En modifiant l'utilisateur root en un rôle, vous empêchez toute connexion root anonyme. Étant donné qu'un utilisateur doit se connecter, puis endosser le rôle root, l'ID de connexion de l'utilisateur est fourni au service d'audit et se trouve dans le fichier sulog.

Dans cette procédure, vous créez un utilisateur local et attribuez le rôle root à l'utilisateur. Pour empêcher les utilisateurs d'endosser le rôle, reportez-vous à l'Exemple 9-8.

Avant de commencer

Vous ne pouvez pas effectuer cette procédure lorsque vous êtes directement connecté en tant que root. Vous devez vous connecter en tant que vous-même, puis attribuez su à root.

1. En tant qu'utilisateur standard, connectez-vous au système cible.
2. Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Utilisation des outils de gestion Solaris avec RBAC (liste des tâches) du Guide d’administration système : administration de base.

3. Créez un utilisateur local qui peut endosser le rôle root.

   Pour des raisons de sécurité, le rôle root doit être attribué à au moins un utilisateur local.

   $ useradd -c comment -u uid -d homedir username

   -c comment

   Commentaire décrivant l'utilisateur.

   -d homedir

   Répertoire personnel de l'utilisateur. Ce répertoire doit se trouver sur le système local.

   -u uid

   Numéro d'identification de l'utilisateur.

   username

   Nom du nouvel utilisateur local.

   # useradd -c "JDoe's local account" -u 123 -d /export/home1 jdoe-local

4. Donnez un mot de passe à l'utilisateur.

   # passwd -r files jdoe-local
   New Password:    <Type password>
   Re-enter new Password: <Retype password>
   passwd: password successfully changed for jdoe-local
   #

5. Assurez-vous de ne pas être connecté en tant que root.

   # who
   jdoe    console      May 24 13:51    (:0)
   jdoe    pts/5        May 24 13:51    (:0.0)
   jdoe    pts/4        May 24 13:51    (:0.0)
   jdoe    pts/10       May 24 13:51    (:0.0)

6. Modifiez l'utilisateur root en rôle.

   # usermod -K type=role root

7. Vérifiez que root est un rôle.

   L'entrée root dans le fichier user_attr doit ressembler à ce qui suit :

   # grep root /etc/user_attr
   root::::type=role;auths=solaris.*,solaris.grant;profiles=...

8. Attribuez le rôle root à votre compte local.

   # usermod -R root jdoe-local

   ---

   Attention - Si vous n'attribuez pas le rôle root à un utilisateur, personne ne peut devenir superutilisateur, sauf en mode monoutilisateur. Vous devez saisir un mot de passe root pour entrer en mode monoutilisateur.

   ---

9. Configurez le service de noms à renvoyer en cas d'échec.
   1. Ouvrez une nouvelle fenêtre de terminal et endossez le rôle root.

      % whoami
      jdoe
      % su - jdoe-local
      Enter password:   <Type jdoe-local password>
      % roles
      root
      % su - root
      Enter password:   <Type root password>
      #

   2. Modifiez le fichier nsswitch.conf.

      Par exemple, les entrées suivantes du fichier nsswitch.conf activent le service de noms à renvoyer.

      passwd:  files nis [TRYAGAIN=0 UNAVAIL=return NOTFOUND=return]
      group:  files nis [TRYAGAIN=0 UNAVAIL=return NOTFOUND=return]

10. (Facultatif) Attribuez le rôle root pour les comptes utilisateur sélectionnés dans le service de noms.

    Pour plus d'informations sur cette procédure, reportez-vous à la section Procédure de modification des propriétés RBAC d'un utilisateur.

Exemple 9-8 Interdiction de l'utilisation du rôle root pour configurer un système

Dans cet exemple, la stratégie de sécurité du site requiert que plusieurs rôles discrets configurent le système. Ces rôles discrets ont été créés et testés. Pour empêcher que le compte root soit utilisé pour configurer le système, l'administrateur de sécurité change root en rôle, mais n'attribue pas le rôle. Le rôle root conserve un mot de passe pour entrer dans le système en mode monoutilisateur.

Tout d'abord, l'administrateur vérifie que root n'est pas un rôle attribué.

% whoami
jdoe-local
% su - root
Password: a!2@3#4$5%6^7
# grep roles /etc/user_attr
jdoe-local::::type=normal;roles=secadmin
kdoe-local::::type=normal;roles=sysadmin

Toujours dans le compte root, l'administrateur change root en rôle.

# usermod -K type=role root

Ensuite, l'administrateur vérifie le changement dans l'entrée root du fichier user_attr.

# grep root /etc/user_attr
root::::type=role;auths=solaris.*,solaris.grant;profiles=...

Exemple 9-9 Retour du rôle root en utilisateur root

Dans cet exemple, l'administrateur désactive un système et souhaite se connecter au bureau en tant que superutilisateur. Le système a été supprimé du réseau.

Tout d'abord, l'administrateur endosse le rôle root pour supprimer toutes les attributions de rôle root.

% whoami
jdoe-local
% su - root
Password: a!2@3#4$5%6^7
# grep roles /etc/user_attr
jdoe-local::::type=normal;roles=root
kdoe-local::::type=normal;roles=root
# usermod -R "" jdoe-local
# usermod -R "" kdoe-local
# grep roles /etc/user_attr
#

Toujours dans le rôle root, l'administrateur change root en utilisateur.

# rolemod -K type=normal root

Ensuite, l'administrateur vérifie le changement dans l'entrée root du fichier user_attr.

# grep root /etc/user_attr
root::::type=normal;auths=solaris.*,solaris.grant;profiles=...

Erreurs fréquentes

Dans un environnement de bureau, vous ne pouvez pas vous connecter directement en tant que root lorsque root est un rôle. Un message de diagnostic indique que root est un rôle sur votre système. Si vous ne disposez pas d'un compte local pouvant endosser le rôle root, créez-en un. En tant que root, connectez-vous au système en mode monoutilisateur, créez un compte utilisateur local et attribuez le rôle root au nouveau compte. Ensuite, connectez-vous en tant que nouvel utilisateur et endossez le rôle root.

Personne ne peut devenir superutilisateur si vous modifiez l'utilisateur root en rôle et ne parvenez pas à appliquer l'une des attributions suivantes :

• Attribution du rôle root à un utilisateur valide.

• Attribution d'un profil de droits équivalent au profil de droits de root à un utilisateur valide. Le profil d'administrateur principal est un profil de droits équivalent pour les capacités de root.

• Création d'un rôle possédant les capacités de root et attribution du rôle à un utilisateur valide. Un rôle auquel le profil d'administrateur principal est attribué équivaut au rôle root.