Ignorer les liens de navigation | |
Quitter l'aperu | |
Transition d'Oracle Solaris 10 vers Oracle Solaris 11 Oracle Solaris 11 Information Library (Français) |
1. Transition d'Oracle Solaris 10 vers Oracle Solaris 11 (présentation)
2. Transition vers une méthode d'installation d'Oracle Solaris 11
4. Gestion des fonctions de stockage
5. Gestion des systèmes de fichiers
7. Gestion de la configuration réseau
8. Gestion de la configuration système
10. Gestion des versions d'Oracle Solaris dans un environnement virtuel
11. Modifications apportées à l'environnement et à la gestion des comptes utilisateur
Outils de gestion des comptes utilisateur, groupes et rôles
Création et gestion de comptes utilisateur, groupes et rôles
Création de comptes utilisateur
Modification de comptes utilisateur
Partage de répertoires personnels créés en tant que systèmes de fichiers ZFS
Modifications apportées aux fonctions d'environnement utilisateur
Shell de connexion par défaut et variable d'environnement PATH
Modifications apportées aux pages de manuel Oracle Solaris 11
12. Utilisation des fonctionnalités de bureau d'Oracle Solaris
A. Transition de versions antérieures vers Oracle Solaris 11
Sous Oracle Solaris 11, vous pouvez créer et gérer des utilisateurs, des groupes et des rôles uniquement à l'aide d'outils de ligne de commande. Aucun outil graphique n'existe actuellement pour l'exécution de ces tâches. En outre, les outils de ligne de commande utilisés par la console de gestion Solaris ne sont plus disponibles. Reportez-vous à la section Suppression des anciens outils, services, fichiers et commandes de gestion du système.
Pour plus d'informations sur la gestion des comptes utilisateur et des groupes, reportez-vous au Chapitre 2, Gestion des comptes utilisateur et des groupes (présentation) du manuel Administration d’Oracle Solaris : Tâches courantes et au Chapitre 3, Gestion des comptes utilisateur et des groupes (tâches) du manuel Administration d’Oracle Solaris : Tâches courantes .
L'algorithme de hachage du mot de passe par défaut est désormais SHA256. Le résultat du hachage du mot de passe est similaire à ce qui suit :
$5$cgQk2iUy$AhHtVGx5Qd0.W3NCKjikb8.KhOiA4DpxsW55sP0UnYD
Par ailleurs, la longueur d'un mot de passe utilisateur n'est plus limitée à huit caractères. Cette limite de huit caractères s'applique uniquement aux mots de passe utilisant l'ancien algorithme crypt_unix(5), qui a été préservé pour des raisons de compatibilité ascendante avec les entrées du fichier passwd et cartes NIS existantes.
Les mots de passe sont codés au moyen de l'un des autres algorithmes crypt(3c), notamment SHA256, qui est l'algorithme par défaut dans le fichier policy.conf. Par conséquent, les mots de passe peuvent désormais comporter bien plus de huit caractères. Reportez-vous à la page de manuel policy.conf(4).
Sous Oracle Solaris 11, les opérations de création et de gestion des comptes utilisateur ont été modifiées comme suit :
Les comptes utilisateur sont créés sous forme de systèmes de fichiers ZFS distincts, ce qui permet aux utilisateurs de disposer de leur propre système de fichiers et de leur propre jeu de données ZFS. Chaque répertoire personnel d'utilisateur créé avec les commandes useradd et roleadd est placé dans /export/home en tant que système de fichiers ZFS individuel.
La commande useradd compte sur le service de montage automatique, svc:/system/filesystem/autofs, pour monter les répertoires personnels. Ce service ne doit jamais être désactivé. Chaque entrée de répertoire personnel d'un utilisateur dans la base de données passwd est au format /home/username, ce qui constitue un déclencheur autofs résolu par l'agent de montage automatique à l'aide de la carte auto_home.
La commande useradd crée automatiquement des entrées dans la carte auto_home qui correspondent au nom de chemin d'accès spécifié par l'option -d de cette commande. Si le chemin d'accès comporte une spécification d'hôte distant, foobar:/export/home/jdoe par exemple, le répertoire personnel de jdoe doit être créé sur le système foobar. Le chemin par défaut est localhost:/export/home/ utilisateur. Comme /export/home est le point de montage d'un jeu de données ZFS, le répertoire personnel de l'utilisateur est créé sous forme d'un jeu de données ZFS enfant, la permission ZFS de prendre des instantanés étant déléguée à l'utilisateur. Si le nom de chemin d'accès spécifié ne correspond pas à un jeu de données ZFS, un répertoire normal est créé. Si l'option -S ldap est spécifiée, l'entrée de carte auto_home est mise à jour sur le serveur LDAP et non sur la carte auto_home locale.
Dans Oracle Solaris 10, vous ne pouvez pas assigner d'attributs d'audit par le biais de la commande usermod. Dans Oracle Solaris 11, la commande usermod fonctionne avec LDAP et les fichiers. Il est possible d'assigner tous les attributs de sécurité à un utilisateur par le biais de ce mécanisme.
Par exemple, l'administrateur peut ajouter un rôle au compte d'un utilisateur en exécutant la commande usermod.
# roleadd -K roleauth=user -P "Network Management" netmgt # usermod -R +netmgt jdoe
Reportez-vous à la page de manuel usermod(1M) pour consulter d'autres exemples.
Les rôles peuvent être créés localement et dans un référentiel LDAP. Pour créer un rôle et lui assigner un mot de passe initial, vous devez disposer du profil de droits User Management. Pour assigner les attributs de sécurité du rôle, vous devez disposer du profil de droits User Security. La différence importante pour l'authentification des rôles sous Oracle Solaris 11 est l'ajout du mot-clé roleauth=user et du module pam_tty_tickets pour la mise en cache de l'authentification. Notez que le module pam_tty_tickets n'est pas activé par défaut. Pour ajouter ce module, modifiez le fichier /etc/pam.conf comme suit :
# vi /etc/pam.conf su auth required pam_unix_cred.so.1 su auth sufficient pam_tty_tickets.so.1 su auth requisite pam_authtok_get.so.1 su auth required pam_dhkeys.so.1 su auth required pam_unix_auth.so.1
L'intégralité de la pile su est requise. Le module pam_tty_tickets.so.1 fournit le cache. Reportez-vous à la page de manuel pam.conf(4). Pour plus d'informations sur la création d'un rôle, reportez-vous à la section Procédure de création d’un rôle du manuel Administration d’Oracle Solaris : services de sécurité.
Un partage NFS ou SMB d'un système de fichiers ZFS est créé, puis ce partage est publié, ce qui implique les actions suivantes :
Le partage du système de fichiers est créé à l'aide de la commande zfs set share. Des propriétés de partage spécifiques peuvent être définies à ce moment. Si une propriété de partage n'est pas définie, sa valeur par défaut est utilisée.
Le partage NFS ou SMB est publié en définissant la propriété sharenfs ou sharesmb. Le partage est publié durablement jusqu'à ce que la propriété soit définie sur off.
Reportez-vous à la section Procédure de partage de répertoires personnels créés en tant que systèmes de fichiers ZFS du manuel Administration d’Oracle Solaris : Tâches courantes .
Comme les répertoires personnels sont créés sous Oracle Solaris 11 en tant que systèmes de fichiers ZFS, il est généralement inutile de les monter manuellement. Un répertoire personnel est monté automatiquement lors de sa création et aussi, lors de l'initialisation, par le service du système de fichiers local SMF. Pour plus d'informations sur le montage manuel du répertoire personnel d'un utilisateur, reportez-vous à la section Montage manuel du répertoire personnel d’un utilisateur du manuel Administration d’Oracle Solaris : Tâches courantes .