Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d’Oracle Solaris : Tâches courantes Oracle Solaris 11 Information Library (Français) |
1. Localisation des informations relatives aux commandes Oracle Solaris
2. Gestion des comptes utilisateur et des groupes (présentation)
Nouveautés concernant les comptes utilisateur et les groupes
Arrêt de la prise en charge de la console de gestion Solaris
Algorithme de hachage du mot de passe par défaut
Définition des comptes utilisateur et des groupes
Composants d'un compte utilisateur
Numéros d'identification de l'utilisateur
Utilisation d'ID utilisateur et ID de groupe de grande valeur
Environnement de travail de l'utilisateur
Directives relatives à l'affectation des noms d'utilisateur, ID utilisateur et ID de groupe
Emplacement de stockage des informations de compte utilisateur et de groupe
Outils de ligne de commande pour la gestion des comptes utilisateur et de groupe
Personnalisation de l'environnement de travail d'un utilisateur
Utilisation des fichiers d'initialisation du site
Avertissement concernant les références au système local
Historique des shells bash et ksh93
Variables d'environnement des shells bash et ksh93
Personnalisation du shell bash
A propos de la variable d'environnement MANPATH
Directives relatives à la définition des chemins d'accès
Variables d'environnement linguistique
Autorisations de fichier par défaut (umask)
Personnalisation d'un fichier d'initialisation utilisateur
3. Gestion des comptes utilisateur et des groupes (tâches)
4. Initialisation et arrêt d'un système Oracle Solaris
5. Utilisation d'Oracle Configuration Manager
6. Gestion des services (présentation)
7. Gestion des services (tâches)
8. Utilisation du gestionnaire de pannes
9. Gestion des informations système (tâches)
10. Gestion des processus système (tâches)
11. Surveillance des performances du système (tâches)
12. Gestion des packages de logiciels (tâches)
13. Gestion de l'utilisation du disque (tâches)
14. Tâches de planification du système (tâches)
15. Configuration et administration d'imprimantes à l'aide de CUPS (tâches)
17. Gestion des informations sur les pannes système (tâches)
18. Gestion des fichiers noyau (tâches)
19. Dépannage du système et des problèmes logiciels (tâches)
20. Dépannage de divers problèmes système et logiciels (tâches)
Une tâche d'administration système de base consiste à configurer un compte utilisateur pour chaque utilisateur sur un site. En général, un compte utilisateur inclut les informations dont un utilisateur a besoin pour se connecter et utiliser un système, sans disposer du mot de passe root du système. Les composants d'un compte d'utilisateur sont décrits dans la section Composants d'un compte utilisateur.
Lorsque vous configurez un compte utilisateur, vous pouvez ajouter l'utilisateur à un groupe d'utilisateurs prédéfini. Une utilisation type des groupes consiste à configurer des autorisations de groupe sur un fichier et un répertoire et permettre l'accès uniquement aux utilisateurs appartenant à ce groupe.
Par exemple, vous pouvez disposer d'un répertoire contenant des fichiers confidentiels dont l'accès doit être limité à un nombre réduit d'utilisateurs. Vous pouvez configurer un groupe appelé topsecret qui inclut les utilisateurs travaillant sur le projet topsecret. En outre, vous pouvez configurer les fichiers topsecret avec une autorisation de lecture réservée au groupe topsecret. De cette manière, seuls les utilisateurs du groupe topsecret seront en mesure de lire les fichiers.
Un type spécial de compte utilisateur, appelé un rôle, accorde des privilèges spéciaux à des utilisateurs sélectionnés. Pour plus d'informations, reportez-vous à la section Contrôle d’accès basé sur les rôles (présentation) du manuel Administration d’Oracle Solaris : services de sécurité.
Les sections suivantes décrivent les différents composants d'un compte utilisateur.
Les noms d'utilisateurs, aussi appelés login names permettent aux utilisateurs d'accéder à leurs propres systèmes et à des systèmes distants disposant de privilèges d'accès appropriés. Vous devez choisir un nom d'utilisateur pour chaque compte utilisateur que vous créez.
Essayez de mettre en place une méthode standard d'affectation des noms d'utilisateur afin d'en faciliter le suivi. En outre, les utilisateurs doivent pouvoir les mémoriser facilement. Une méthode simple consiste à prendre l'initiale du prénom et les sept premières lettres du nom de famille. Par exemple, Ziggy Ignatz devient zignatz. En cas de doublons, vous pouvez utiliser l'initiale du prénom, l'initiale du deuxième prénom et les six premières lettres du nom de famille de l'utilisateur. Par exemple, Ziggy Top Ignatz devient ztignatz.
Si des doublons persistent, essayez de créer un nom d'utilisateur selon le modèle suivant :
initiale du prénom, initiale du deuxième prénom et cinq premières lettres du nom de famille de l'utilisateur ;
numéro 1, 2 ou 3, et ainsi de suite, jusqu'à ce qu'à l'obtention d'un nom unique.
Remarque - Tout nouveau nom d'utilisateur doit être différent des alias de messagerie déjà connu du système ou d'un domaine NIS. Dans le cas contraire, les messages risquent d'être remis à l'alias plutôt qu'à l'utilisateur réel.
Pour des instructions détaillées sur la configuration des noms (de connexion) utilisateur, reportez-vous à la section Directives relatives à l'affectation des noms d'utilisateur, ID utilisateur et ID de groupe.
Un numéro d'identification de l'utilisateur (UID) est associé à chaque nom d'utilisateur. L'ID utilisateur identifie le nom d'utilisateur par rapport à n'importe quel système sur lequel l'utilisateur tente de se connecter. L'ID utilisateur est utilisé par les systèmes pour identifier les propriétaires des fichiers et répertoires. Si vous créez des comptes utilisateur pour un seul individu sur un certain nombre de systèmes différents, utilisez toujours le même nom et ID utilisateur. De cette façon, l'utilisateur peut déplacer facilement des fichiers entre les systèmes sans rencontrer de problèmes de propriété.
Un ID utilisateur doit être un nombre entier inférieur ou égal à 2147483647. Les ID utilisateur sont requis pour les comptes utilisateur standard et les comptes système spéciaux. Le tableau suivant répertorie les ID utilisateurs qui sont réservés aux comptes utilisateur et comptes système.
Tableau 2-1 ID utilisateur réservés
|
N'attribuez pas d'ID utilisateur compris entre 0 et 99. Ces ID utilisateur sont réservés à l'usage d'Oracle Solaris. Par définition, root a toujours l'ID utilisateur 0, daemon l'ID utilisateur 1, le pseudo-utilisateur bin l'ID utilisateur 2. En outre, vous devez attribuer aux connexions uucp et connexions pseudo-utilisateur, telles que who, tty et ttytype, des ID utilisateur faibles pour qu'elles figurent au début du fichier passwd.
Pour des instructions supplémentaires sur la configuration des ID utilisateur, reportez-vous à la section Directives relatives à l'affectation des noms d'utilisateur, ID utilisateur et ID de groupe.
Comme pour les noms (de connexion) utilisateur, vous devez adopter un modèle pour l'assignation d'ID utilisateur uniques. Certaines entreprises attribuent des numéros d'employé uniques. Les administrateurs ajoutent ensuite un chiffre au numéro d'employé pour créer un ID utilisateur unique pour chaque employé.
Pour réduire les risques de sécurité, évitez de réutiliser les ID utilisateur de comptes supprimés. Si vous devez réutiliser un ID utilisateur, veillez à tout effacer de sorte que le nouvel utilisateur ne soit pas affecté par des attributs définis pour un ancien utilisateur. Par exemple, un ancien utilisateur s'est peut-être vu refuser l'accès à une imprimante en étant inclus dans une liste des accès refusé à l'imprimante. Cependant, cet attribut peut être inapproprié pour le nouvel utilisateur.
Les ID utilisateur et ID de groupe (GID) peuvent se voir affecter jusqu'à la valeur maximale d'un entier signé ou 2147483647.
Cependant, des ID utilisateur et ID de groupe supérieurs à 60000 ne disposent pas de toutes les fonctionnalités et ne sont pas compatibles avec de nombreuses fonctions d'Oracle Solaris. Par conséquent, évitez d'utiliser des ID utilisateur et ID de groupe supérieurs à 60000.
Le tableau suivant décrit les restrictions liées aux ID utilisateur et ID de groupe.
Tableau 2-2 Récapitulatif des restrictions liées aux ID utilisateur et ID de groupe de grande valeur
|
Un groupe est un ensemble d'utilisateurs pouvant partager des fichiers et des ressources système. Par exemple, des utilisateurs travaillant sur le même projet peuvent former un groupe. Un groupe est traditionnellement connu comme groupe UNIX.
Chaque groupe doit disposer d'un nom, d'un ID et d'une liste des noms d'utilisateur appartenant au groupe. Un ID de groupe identifie le groupe en interne sur le système.
Les deux types de groupes auxquels un utilisateur peut appartenir sont les suivants :
Groupe principal : groupe assigné par le système d'exploitation aux fichiers créés par l'utilisateur. Chaque utilisateur doit appartenir à un groupe principal.
Groupes secondaires : groupes auxquels un utilisateur peut appartenir. Les utilisateurs peuvent appartenir à 15 groupes secondaires au maximum.
Pour consulter des instructions détaillées sur la configuration des noms de groupe, reportez-vous à la section Directives relatives à l'affectation des noms d'utilisateur, ID utilisateur et ID de groupe.
Il peut arriver qu'un groupe secondaire d'utilisateur ne soit pas important. Par exemple, la propriété des fichiers reflète le groupe principal, et pas les groupes secondaires. Toutefois, d'autres applications peuvent se baser sur l'appartenance d'un utilisateur à un groupe secondaire. Par exemple, un utilisateur doit être un membre du groupe sysadmin (groupe 14) pour utiliser le logiciel Admintool dans les versions précédentes de Solaris. Cependant, peu importe si le groupe 14 est son groupe principal actif.
La commande groups répertorie les groupes auxquels appartient un utilisateur. Un utilisateur ne peut avoir qu'un groupe principal à la fois. Toutefois, un utilisateur peut remplacer son groupe principal à l'aide de la commande newgrp par n'importe quel autre groupe auquel il appartient.
Lorsque vous ajoutez un compte utilisateur, vous devez assigner un groupe principal à l'utilisateur ou accepter le groupe par défaut staff (groupe 10). Le groupe principal doit déjà exister. Si le groupe principal n'existe pas, indiquez le groupe par un ID de groupe (GID) Les noms d'utilisateur ne sont pas ajoutés aux groupes principaux. Si des noms d'utilisateur étaient ajoutés aux groupes principaux, la liste deviendrait trop longue. Avant de pouvoir assigner des utilisateurs à un nouveau groupe secondaire, vous devez créer le groupe et lui assigner un ID de groupe.
Les groupes peuvent être locaux pour un système ou gérés par un service de noms. Afin de simplifier l'administration des groupes, vous devez utiliser un service de noms, tel que NIS ou d'un service d'annuaire, tel que LDAP. Ces services vous permettent de gérer de façon centralisée les appartenances aux groupes.
Vous pouvez spécifier un mot de passe utilisateur lorsque vous ajoutez l'utilisateur. Ou bien, vous pouvez forcer l'utilisateur à spécifier un mot de passe lorsque celui-ci se connecte pour la première fois.
Les mots de passe utilisateur doivent respecter la syntaxe suivante :
La longueur du mot de passe doit au moins correspondre à la valeur identifiée par la variable PASSLENGTH dans le fichier /etc/default/passwd. Par défaut, PASSLENGTH est définie sur 6.
Les 6 premiers caractères du mot de passe doivent contenir au moins deux caractères alphabétiques et au moins un chiffre ou un caractère spécial.
Alors que les noms d'utilisateur sont connus du public, les mots de passe doivent être tenus secrets et connus uniquement des utilisateurs. Un mot de passe doit être assigné à chaque compte utilisateur.
Remarque - Dans Oracle Solaris 11, l'algorithme de hachage du mot de passe par défaut a été remplacé par SHA256. Par conséquent, il n'y a plus de limitation de huit caractères pour les mots de passe utilisateur comme dans les versions précédentes d'Oracle Solaris. La limitation de huit caractères s'applique uniquement aux mots de passe qui utilisent l'ancien algorithme crypts_unix(5), lequel a été conservé à des fins de compatibilité avec les éventuelles entrées de fichier passwd et cartes NIS existantes.
Les mots de passe sont maintenant codés en utilisant l'un des autres algorithmes crypt(3c), notamment l'algorithme SHA256, qui est la valeur par défaut dans le fichier policy.conf de Solaris 11. Par conséquent, les mots de passe peuvent désormais comporter bien plus de huit caractères.
Pour accroître la sécurité de votre système informatique, les utilisateurs doivent changer leur mot de passe régulièrement. Pour maintenir un niveau de sécurité élevé, vous devez demander aux utilisateurs de modifier leur mot de passe toutes les six semaines. Pour un niveau de sécurité moins élevé, un changement tous les trois mois est suffisant. Il est recommandé de modifier les connexions d'administration système (telles que root et sys) une fois par mois, ou chaque fois qu'une personne connaissant le mot de passe root quitte l'entreprise ou change d'affectation.
Dans de nombreux cas, les failles de sécurité informatique sont liées à la possibilité de deviner le mot de passe d'un utilisateur légitime. Vous devez vous assurer que les utilisateurs ne définissent par leur mot de passe à partir de noms propres, noms, noms de connexion, ou éléments pouvant être devinés par quiconque les connaissant un peu.
Choix appropriés pour des mots de passe :
Phrases (beammeup).
Série de mots dénués de sens et composée des premières lettres de chaque mot d'une phrase. Par exemple, swotrb pour SomeWhere Over The RainBow.
Mots dont des lettres sont remplacés par des nombres ou des symboles. Par exemple, sn00py pour snoopy.
N'utilisez pas les types de mots de passe suivants :
votre nom (écrit à l'endroit, à l'envers ou de manière désordonnée) ;
noms de membres de votre famille ou d'animaux de compagnie ;
numéros d'immatriculation de voiture ;
numéros de téléphone ;
numéros de sécurité sociale ;
numéros d'employé ;
mots liés à un passe-temps ou un centre d'intérêts ;
thèmes saisonniers, comme Noël en décembre ;
n'importe quel mot figurant dans le dictionnaire.
Pour plus d'informations sur les tâches, reportez-vous à la section Procédure d'ajout d'un utilisateur.
Le répertoire personnel est la portion d'un système de fichiers allouée à un utilisateur pour le stockage de fichiers privés. La quantité d'espace alloué à un répertoire personnel dépend du type de fichiers créés par l'utilisateur, ainsi que de leur taille et leur nombre.
Un répertoire personnel peut se situé sur le système local de l'utilisateur ou sur un serveur de fichiers distant. Dans les deux cas, par convention, le répertoire personnel doit être créé en tant que /export/home/username. Pour un site de grande taille, vous devez stocker les répertoires personnels sur un serveur. Utilisez un système de fichiers distinct pour chaque utilisateur. Par exemple, /export/home/alice ou /export/home/bob. En créant des systèmes de fichiers distincts pour chaque utilisateur, vous pouvez définir les propriétés ou les attributs en fonction des besoins de chaque utilisateur.
Quel que soit l'emplacement du répertoire personnel, les utilisateurs ont généralement accès à leurs répertoires personnels par le biais d'un point de montage nommé /home/username. Lorsqu'AutoFS est utilisé pour monter des répertoires personnels, vous n'êtes pas autorisé à créer des répertoires sous le point de montage /home sur un système. Le système reconnaît le statut spécial de /home lorsqu'AutoFS est actif. Pour plus d'informations sur le montage automatique des répertoires personnels, reportez-vous à la section Présentation des tâches d’administration Autofs du manuel Administration d’Oracle Solaris : Services réseau.
Pour utiliser un répertoire personnel en tout point du réseau, vous devez toujours faire référence au répertoire personnel en tant que $HOME, et pas en tant que /export/home/username. Ce dernier est propre à la machine. En outre, les liens symboliques créés dans le répertoire personnel d'un utilisateur doivent utiliser des chemins d'accès relatifs (par exemple, ../../../x/y/x) pour que les liens restent valides quel que soit l'endroit où le répertoire personnel est monté.
Si vous gérez des comptes utilisateur pour un site de grande taille, vous pouvez être amené à utiliser un service de noms ou d'annuaire tel que LDAP ou NIS. Un service de noms ou d'annuaire vous permet de stocker des informations de compte utilisateur de manière centralisée au lieu de les stocker dans tous les fichiers /etc du système. Lorsque vous utilisez un service de nom ou d'annuaire pour les comptes utilisateur, les utilisateurs peuvent passer d'un système à l'autre en utilisant le même compte utilisateur sans que leurs informations ne soient dupliquées sur chaque système. L'utilisation d'un service de nommage ou d'annuaire garantit également la cohérence des informations sur les comptes utilisateur.
Outre le répertoire personnel destiné à créer et stocker des fichiers, les utilisateurs doivent bénéficier d'un environnement leur permettant d'accéder aux outils et ressources dont ils ont besoin pour effectuer leur travail. Lorsqu'un utilisateur se connecte à un système, son environnement de travail est déterminé par les fichiers d'initialisation. Ces fichiers sont définis par le shell de démarrage de l'utilisateur, et peut varier en fonction de la version.
Une bonne stratégie de gestion de l'environnement de travail des utilisateurs consiste à fournir des fichiers d'initialisation utilisateur personnalisés, tels que .bash_profile, .bash_login, .kshrc ou .profile, dans le répertoire personnel des utilisateurs.
Remarque - N'utilisez pas de fichiers d'initialisation système, tels que /etc/profil ou /etc/.login pour gérer un environnement de travail d'utilisateur. Ces fichiers sont stockés localement sur les systèmes et ne sont pas administrés de façon centralisée. Si, par exemple, AutoFS est utilisé pour monter le répertoire personnel d'utilisateur à partir de n'importe quel système sur le réseau, vous devez modifier les fichiers d'initialisation système sur chaque système afin de garantir un environnement cohérent chaque fois qu'un utilisateur se déplace d'un système à l'autre.
Pour plus d'informations sur la personnalisation des fichiers d'initialisation utilisateur pour les utilisateurs, reportez-vous à la section Personnalisation de l'environnement de travail d'un utilisateur .
Pour plus d'informations sur la procédure de personnalisation des comptes utilisateur via la fonction RBAC (role-based access control, contrôle d'accès basé sur les rôles), reportez-vous à la section Contrôle d’accès basé sur les rôles (présentation) du manuel Administration d’Oracle Solaris : services de sécurité.
Les noms d'utilisateur, ID utilisateur et ID de groupe doivent être uniques au sein de votre organisation, qui peut s'étendre sur plusieurs domaines.
Gardez à l'esprit les directives suivantes lorsque vous créez des noms d'utilisateur ou de rôle, des ID utilisateurs et des ID de groupe :
Noms d'utilisateur : les noms d'utilisateur doivent être composés de deux à huit lettres et chiffres. Le premier caractère doit être une lettre. Au moins un des caractères doit être une lettre minuscule.
Remarque - Même si les noms d'utilisateur peuvent inclure un point (.), un trait de soulignement (_), ou un trait d'union (-), l'utilisation de ces caractères n'est pas recommandée car ils peuvent provoquer des problèmes avec certains logiciels.
Comptes système : n'utilisez pas les noms d'utilisateur, les ID utilisateur ou les ID de groupe contenus dans les fichiers par défaut /etc/passwd et /etc/group. N'utilisez pas d'ID utilisateur et de groupe compris entre 0 et 99. Ces numéros sont réservés à l'usage d'Oracle Solaris et ne doivent pas être utilisés. Notez que cette restriction s'applique également aux chiffres qui ne sont actuellement pas en cours d'utilisation.
Par exemple, gdm est le nom d'utilisateur et de groupe réservé au démon du gestionnaire d'affichage GNOME et ne doit pas être utilisé pour un autre utilisateur. Pour obtenir la liste complète des entrées par défaut /etc/passwd et /etc/group, reportez-vous aux Tableau 2-3 et Tableau 2-4.
Les comptes nobody et nobody4 ne doivent jamais être utilisés pour l'exécution de processus. Ces deux comptes sont réservés à l'utilisation par NFS. L'utilisation de ces comptes pour l'exécution de processus peut entraîner des risques inattendus pour la sécurité. Les processus devant s'exécuter en tant qu'utilisateur non root doivent utiliser les comptes daemon ou noaccess.
Configuration des comptes système : la configuration des comptes système par défaut ne doit jamais être modifiée. Ceci inclut la modification du shell de connexion d'un compte système qui est actuellement verrouillé. La seule exception à cette règle est la définition d'un mot de passe et de paramètres de vieillissement du mot de passe pour le compte root.
Remarque - La modification du mot de passe d'un compte utilisateur verrouillé modifie le mot de passe, mais ne déverrouille plus par la même occasion le compte concerné. Une deuxième étape est désormais nécessaire pour déverrouiller le compte et requiert l'utilisation de la commande passwd -u.