Gestión de RBAC (tareas)

Una vez que configura y usa RBAC, utilice los procedimientos siguientes para mantener y modificar RBAC en los sistemas.

Gestión de RBAC (mapa de tareas)

El siguiente mapa de tareas hace referencia a los procedimientos para mantener el control de acceso basado en roles (RBAC) después de la implementación inicial de RBAC.

Estos procedimientos gestionan atributos de seguridad en usuarios, roles y perfiles de derechos. Para conocer procedimientos básicos de gestión de usuarios, consulte el Capítulo 2, Gestión de grupos y cuentas de usuario (descripción general) de Administración de Oracle Solaris: tareas comunes.

Cómo cambiar la contraseña de un rol

Antes de empezar

Debe tener el rol root.

• Ejecute el comando passwd.

  # passwd  [-r naming-service] target-rolename

  -r servicio_nombres

  Aplica el cambio de contraseña al depósito files o ldap. El depósito predeterminado es files. Si no especifica un depósito, se cambia la contraseña en todos los depósitos.

  nombre_rol_destino

  Nombre de un rol existente que desea modificar.

  Para conocer más opciones de comandos, consulte la página del comando man passwd(1).

Ejemplo 9-17 Cambio de contraseña de un rol

En este ejemplo, el rol root cambia la contraseña del rol devmgt local.

# passwd -r files devmgt
New password: Type new password
Confirm password: Retype new password

En este ejemplo, el rol root cambia la contraseña del rol devmgt en el servicio de directorios LDAP.

# passwd -r ldap devmgt
New password: Type new password
Confirm password: Retype new password

En este ejemplo, el rol root cambia la contraseña del rol devmgt en el archivo y LDAP.

# passwd devmgt
New password: Type new password
Confirm password: Retype new password

Cómo cambiar los atributos de seguridad de un rol

Antes de empezar

Debe tener asignado el perfil de derechos de seguridad de usuarios para cambiar los atributos de seguridad de un rol, excepto para los indicadores de auditoría y la contraseña del rol. Las propiedades del rol incluyen perfiles de derechos y autorizaciones. Para asignar indicadores de auditoría o cambiar la contraseña de un rol, debe encontrarse en el rol root.

1. Conviértase en administrador con los atributos de seguridad necesarios.

   Para obtener más información, consulte Cómo obtener derechos administrativos.

2. Utilice el comando rolemod.

   Este comando modifica los atributos de un rol definido en el servicio de nombres local o en LDAP. Los valores de las opciones -A, -P y -R pueden ser modificados por - o ++. - indica que se reste el valor de los valores asignados actualmente. ++ indica que se agregue el valor a los valores asignados actualmente.

   Para obtener más información sobre el comando rolemod, consulte lo siguiente:

   • Para obtener una descripción breve, consulte la descripción del comando roleadd en Cómo crear un rol.

   • Para conocer todos los argumentos de este comando, consulte la página del comando man rolemod(1M).

   • Para obtener la lista de valores de claves para la opción -K, consulte la página del comando man user_attr(4).

   El siguiente comando sustituye los perfiles de derechos asignados del rol devmgt en el depósito LDAP:

   $ rolemod -P "Device Management,File Management" -S ldap devadmin

Ejemplo 9-18 Cambio de los atributos de seguridad de un rol local

En este ejemplo, el administrador de seguridad modifica el rol prtmgt para incluir el perfil de derechos de gestión de VSCAN.

$ rolemod -c "Handles printers and virus scanning" \
-P "Printer Management,VSCAN Management,All" prtmgt

Estos perfiles de derechos se agregan a los perfiles que se otorgan por medio del archivo policy.conf.

Ejemplo 9-19 Asignación de privilegios directamente a un rol

En este ejemplo, el administrador de seguridad confía al rol systime un privilegio muy específico que afecta la hora del sistema.

$ rolemod -K priv=proc_clock_highres systime

Los valores de la palabra clave priv se encuentran en la lista de privilegios de los procesos del rol en todo momento.

Cómo cambiar las propiedades RBAC de un usuario

Las propiedades de usuario incluyen shell de inicio, perfiles de derechos y roles. El método más seguro para otorgar capacidades administrativas a un usuario es asignar un rol al usuario. Para ver una explicación, consulte Consideraciones de seguridad al asignar directamente atributos de seguridad.

Antes de empezar

Debe tener asignado el perfil de derechos de seguridad de usuarios para cambiar los atributos de seguridad de un usuario, excepto para los indicadores de auditoría y la contraseña del usuario. Para asignar indicadores de auditoría o cambiar la contraseña de un rol, debe encontrarse en el rol root. Para cambiar otros atributos de usuarios, debe tener asignado el perfil de derechos de gestión de usuarios.

1. Conviértase en administrador con los atributos de seguridad necesarios.

   Para obtener más información, consulte Cómo obtener derechos administrativos.

2. Utilice el comando usermod.

   Este comando modifica los atributos de un usuario que está definido en el servicio de nombres local o el servicio de nombres LDAP. Los argumentos RBAC para este comando son similares a los argumentos para el comando useradd, como se describe en la página del comando man user_attr(4) y como se muestra en el Ejemplo 9-23.

   En el siguiente ejemplo, se asigna el rol devmgt a un usuario LDAP. Este rol sustituye cualquier asignación anterior de rol. El rol devmgt debe existir en el servicio de nombres LDAP.

   $ usermod -R devmgt -S ldap jdoe-ldap

   En el siguiente ejemplo, este rol se agrega a cualquier asignación anterior de rol.

   $ usermod -R +devmgt -S ldap jdoe-ldap

Ejemplo 9-20 Asignación de un rol a un usuario local

En este ejemplo, el usuario jdoe ahora puede asumir el rol de administrador del sistema, sysadmin.

$ userattr roles jdoe
secdevice
$ usermod -R secdevice,sysadmin jdoe
$ userattr roles jdoe
secdevice,sysadmin

Ejemplo 9-21 Eliminación de privilegios del conjunto límite de un usuario

En el siguiente ejemplo, a todas las sesiones que se originan a partir del inicio de sesión inicial de jdoe se les impide utilizar el privilegio sys_linkdir. Es decir, el usuario no puede establecer enlaces físicos a directorios ni anular el enlace a directorios, incluso después de ejecutar el comando su.

$ usermod -K limitpriv=all,!sys_linkdir jdoe
$ userattr limitpriv jdoe
all,!sys_linkdir

Ejemplo 9-22 Creación de un usuario que puede gestionar DHCP

En este ejemplo, el administrador de seguridad crea un usuario en LDAP. Al iniciar sesión, el usuario jdoe-dhcp puede gestionar DHCP.

# useradd -P "DHCP Management" -s /usr/bin/pfbash -S ldap jdoe-dhcp

Debido a que el usuario tiene asignado pfbash como el shell de inicio de sesión, los atributos de seguridad en el perfil de derechos de gestión de DHCP están disponibles para el usuario en el shell predeterminado del usuario.

Ejemplo 9-23 Asignación de autorizaciones directamente a un usuario

En este ejemplo, el administrador de seguridad crea un usuario local que puede controlar el brillo de la pantalla.

# useradd -c "Screened JDoe, local" -s /usr/bin/pfbash \
-A solaris.system.power.brightness jdoe-scr

Esta autorización se agrega a las asignaciones existentes del usuario.

Ejemplo 9-24 Asignación de privilegios directamente a un usuario

En este ejemplo, el administrador de seguridad confía al usuario jdoe un privilegio muy específico que afecta la hora del sistema.

$ usermod -K defaultpriv=basic,proc_clock_highres jdoe

Los valores de la palabra clave defaultpriv reemplazan los valores existentes. Por lo tanto, para que el usuario conserve los privilegios basic, se especifica el valor basic. En la configuración predeterminada, todos los usuarios tienen privilegios básicos.

Cómo restringir a un usuario a las aplicaciones de escritorio

Puede restringir a un usuario de Oracle Solaris al acceso de escritorio solamente.

Antes de empezar

Debe tener el rol root.

1. Asigne al usuario un shell de perfil como el shell de inicio de sesión.

   Por ejemplo, puede asignar el shell pfbash al usuario.

   # usermod -s /usr/bin/pfbash username

   Todos los procesos de usuario ahora están bajo el control de RBAC.

2. Cree un perfil de derechos que permita al usuario ejecutar los applets básicos en el escritorio de Oracle.

   El comando siguiente crea el perfil de derechos. El comando end indica que el comando agregado no necesita atributos de seguridad. Para crear el perfil de derechos en el depósito LDAP, utilice la opción -S ldap.

   # profiles -p "Desktop Applets"
   profiles:Desktop Applets> set desc="Can use basic desktop applications"
   profiles:Desktop Applets> add cmd=/usr/bin/nautilus;end
   profiles:Desktop Applets> add cmd=/usr/bin/dbus-launch;end
   profiles:Desktop Applets> add cmd=/usr/lib/dbus-daemon;end
   profiles:Desktop Applets> add cmd=/usr/lib/clock-applet;end
   profiles:Desktop Applets> add cmd=/usr/lib/gconfd-2;end
   profiles:Desktop Applets> add cmd=/usr/lib/gvfsd;end
   profiles:Desktop Applets> add cmd=/usr/lib/gvfsd-metadata;end
   profiles:Desktop Applets> add cmd=/usr/lib/gvfsd-trash;end
   profiles:Desktop Applets> add cmd=/usr/lib/gvfs-hal-volume-monitor;end
   profiles:Desktop Applets> add cmd=/usr/lib/gnome-pty-helper;end
   profiles:Desktop Applets> add cmd=/usr/lib/utmp_update;end
   profiles:Desktop Applets> add cmd=/usr/bin/sh;end
   profiles:Desktop Applets> add cmd=/usr/bin/bash;end
   profiles:Desktop Applets> add cmd=/usr/bin/csh;end
   profiles:Desktop Applets> add cmd=/usr/bin/ksh;end
   profiles:Desktop Applets> commit
   profiles:Desktop Applets> exit

3. Verifique que el perfil de derechos contenga las entradas correctas.

   Revise si las entradas tienen errores, como errores ortográficos, omisiones o repeticiones.

   # profiles -p "Desktop Applets" info
   Found profile in files repository.
   name=Desktop Applets
   desc=Can use basic desktop applications
   cmd=/usr/bin/nautilus
   cmd=/usr/bin/dbus-launch
   cmd=/usr/lib/dbus-daemon
   cmd=/usr/lib/clock-applet
   cmd=/usr/lib/gconfd-2
   cmd=/usr/lib/gvfsd
   cmd=/usr/lib/gvfsd-metadata
   cmd=/usr/lib/gvfsd-trash
   cmd=/usr/lib/gvfs-hal-volume-monitor
   cmd=/usr/lib/gnome-pty-helper
   cmd=/usr/lib/utmp_update
   cmd=/usr/bin/sh
   cmd=/usr/bin/bash
   cmd=/usr/bin/csh
   cmd=/usr/bin/ksh

   ---

   Consejo - Puede crear un perfil de derechos para una aplicación o una clase de aplicaciones que tienen iconos de escritorio. A continuación, agregue applets de escritorio como un perfil de derechos complementario a este nuevo perfil de derechos. Juntos, estos perfiles de derechos permiten que el usuario pueda utilizar las aplicaciones de escritorio adecuadas.

   ---

4. Asigne el perfil de derechos de applets de escritorio y el perfil de derechos de detención al usuario.

   # usermod -P "Desktop Applets,Stop" username

   Este usuario no tiene el perfil de derechos de usuario básico de Solaris o el perfil de derechos de usuario de consola. Por lo tanto, ningún otro comando que no sean los comandos en el perfil de derechos de applets de escritorio puede ser ejecutado por este usuario. Por ejemplo, el usuario no tiene acceso a una ventana de terminal.

   Para obtener más información, consulte Perfiles de derechos, Orden de búsqueda para atributos de seguridad asignados y Cómo limitar el acceso de un usuario a las aplicaciones de escritorio de Configuración y administración de Trusted Extensions.

   El comando usermod modifica los atributos de usuario que están definidos en el servicio de nombres local o en LDAP. Para conocer los argumentos de este comando, consulte la página del comando man usermod(1M).

Cómo restringir a un administrador a derechos asignados explícitamente

Puede restringir un rol o un usuario a un número limitado de acciones administrativas de dos formas.

• Puede utilizar el perfil de derechos de detención.

  El perfil de derechos de detención es la forma más sencilla de crear un shell restringido. Las autorizaciones y los perfiles de derechos que están asignados en el archivo policy.conf no se consultan. En la configuración predeterminada, al rol o al usuario no se le asigna el perfil de derechos de usuario básico de Solaris, el perfil de derechos de usuario de consola ni la autorización solaris.device.cdrw.

• Puede modificar el archivo policy.conf en un sistema y requerir que el rol o el usuario utilice ese sistema para tareas administrativas.

Antes de empezar

Debe tener el rol root.

• Agregue el perfil de derechos de detención como el último perfil en la lista de perfiles que asigna.

  Por ejemplo, puede limitar al rol auditrev a realizar sólo revisiones de auditoría.

  # rolemod -P "Audit Review,Stop" auditrev

  Debido a que el rol auditrev no tiene el perfil de derechos de usuario de consola, el auditor no puede cerrar el sistema. Debido a que este rol no tiene la autorización solaris.device.cdrw, el auditor no puede leer o escribir en la unidad de CD-ROM. Debido a que este rol no tiene el perfil de derechos de usuario básico de Solaris, ningún comando que no sean los comandos en el perfil de derechos de revisión de auditoría se puede ejecutar en este rol. Por ejemplo, el comando ls no se ejecutará. El rol utiliza el explorador de archivos para ver los archivos de auditoría.

  Para obtener más información, consulte Perfiles de derechos y Orden de búsqueda para atributos de seguridad asignados.

  El comando rolemod modifica los atributos de un rol definido en el servicio de nombres local o en LDAP. Para conocer los argumentos de este comando, consulte la página del comando man rolemod(1M). La lista de argumentos de RBAC es similar a la lista para el comando roleadd, como se describe en Cómo crear un rol.

Ejemplo 9-25 Modificación de un sistema para limitar los derechos disponibles a sus usuarios

En este ejemplo, el administrador crea un sistema que sólo es útil para administrar la red. El administrador elimina el perfil de derechos de usuario básico de Solaris y la autorización solaris.device.cdrw del archivo policy.conf. El perfil de derechos de usuario de consola no se elimina. Las líneas afectadas en el archivo policy.conf resultante son las siguientes:

...
#AUTHS_GRANTED=solaris.device.cdrw
#PROFS_GRANTED=Basic Solaris User
CONSOLE_USER=Console User
...

Sólo un usuario que ha sido asignado de forma explícita autorizaciones, comandos o perfiles de derechos puede usar este sistema. Después de iniciar sesión, el usuario autorizado puede realizar tareas administrativas. Si el usuario autorizado se encuentra en el sistema, el usuario tiene los derechos del usuario de consola.

Cómo permitir que un usuario use su propia contraseña para asumir un rol

De manera predeterminada, los usuarios deben escribir la contraseña del rol para asumir un rol. Realice este procedimiento para que asumir un rol en Oracle Solaris sea similar a asumir un rol en un entorno Linux.

Antes de empezar

Debe haber asumido un rol que incluya el perfil de derechos de seguridad de usuarios. Este rol no puede ser el rol cuyo valor roleauth desea cambiar.

• Permita que una contraseña de usuario autentique un rol.

  $ rolemod -K roleauth=user rolename

  Para asumir este rol, los usuarios asignados pueden usar ahora su propia contraseña, no la contraseña que se ha creado específicamente para el rol.

Ejemplo 9-26 Habilitación de un rol para utilizar la contraseña del usuario asignado al utilizar un perfil de derechos

En este ejemplo, el rol root cambia el valor de roleauth por el rol secadmin en el sistema local.

# profiles -K roleauth=user "System Administrator"

Cuando un usuario al que se le asigna el perfil de derechos de administrador de seguridad desea asumir el rol, se le solicita una contraseña. En la secuencia siguiente, el nombre de rol es secadmin:

% su - secadmin
Password: Type user password
$ /** You are now in a profile shell with administrative rights**/

Si se le han asignado otros roles, el usuario tiene su propia contraseña para autenticarse ante esos roles también.

Ejemplo 9-27 Cambio del valor de roleauth por un rol en el depósito LDAP

En este ejemplo, el rol root permite a todos los usuarios que pueden asumir el rol secadmin utilizar su propia contraseña al asumir un rol. Esta capacidad se concede a estos usuarios para todos los sistemas que están gestionados por el servidor LDAP.

# rolemod -S ldap -K roleauth=user secadmin
# profiles -S ldap -K roleauth=user "Security Administrator"

Errores más frecuentes

Si se establece roleauth=user para el rol, la contraseña de usuario permite que el rol autenticado acceda a todos los derechos que están asignados a ese rol. La palabra clave depende de la búsqueda. Para obtener más información, consulte Orden de búsqueda para atributos de seguridad asignados.

Cómo cambiar el rol root a un usuario

Un administrador puede cambiar root a un usuario al retirar un sistema que se ha eliminado de la red. En esta instancia, iniciar sesión en el sistema como root simplifica la limpieza.

Antes de empezar

Debe convertirse en un administrador que tenga asignado los perfiles de derechos de gestión de usuarios y de seguridad de usuarios.

1. Elimine la asignación del rol root de los usuarios locales.

   Por ejemplo, elimine la asignación de rol de dos usuarios.

   % su - root
   Password: a!2@3#4$5%6^7
   # roles jdoe
   root
   # roles kdoe
   root
   # roles ldoe
   secadmin
   # usermod -R "" jdoe
   # usermod -R "" kdoe
   #

2. Cambie el rol root a un usuario.

   # rolemod -K type=normal root

   Los usuarios que están actualmente en el rol root lo siguen estando. Otros usuarios que tienen acceso de usuario root pueden cambiar su a root o pueden iniciar sesión en el sistema como el usuario root.

3. Verifique el cambio.

   Puede utilizar uno de los siguientes comandos.

   # getent user_attr root
   root::::auths=solaris.*;profiles=All;audit_flags=lo\:no;lock_after_retries=no;
   min_label=admin_low;clearance=admin_high

   Si falta la palabra clave type en la salida o es igual a normal, la cuenta no es un rol.

   # userattr type root

   Si la salida está vacía o muestra normal, la cuenta no es un rol.

Ejemplo 9-28 Prevención de que el rol root se utilice para configurar un sistema

En este ejemplo, la política de seguridad del sitio requiere que se evite que la cuenta root mantenga el sistema. El administrador ha creado y probado los roles que mantienen el sistema. Estos roles incluyen cada perfil de seguridad y el perfil de derechos de administrador del sistema. Se ha asignado a un usuario de confianza un rol que puede restaurar una copia de seguridad. Ningún rol puede cambiar los indicadores de auditoría para el sistema, un usuario o un perfil de derechos.

Para evitar que la cuenta root se utilice para mantener el sistema, el administrador de seguridad elimina la asignación role raíz. Debido a que la cuenta root debe poder iniciar sesión en el sistema en modo de un solo usuario, la cuenta retiene una contraseña.

# rolemod -K roles= jdoe
# userattr roles jdoe

Ejemplo 9-29 Cambio de usuario root a rol root

En este ejemplo, el usuario root devuelve el usuario root a un rol.

Primero, root cambia la cuenta root a un rol y verifica el cambio.

# rolemod -K type=role root
# getent user_attr root
root::::type=role;auths=solaris.*;profiles=All;audit_flags=lo\:no;
lock_after_retries=no;min_label=admin_low;clearance=admin_high

A continuación, root asigna el rol root a un usuario local.

# usermod -R root jdoe

Errores más frecuentes

En un entorno de escritorio, no puede iniciar sesión directamente como root cuando root es un rol. Un mensaje de diagnóstico indica que root es un rol en el sistema.

Si no tiene una cuenta local que pueda asumir el rol root, cree una. Como root, inicie sesión en el sistema en el modo de un solo usuario, cree una cuenta de usuario local y una contraseña, y asigne el rol root a la nueva cuenta. A continuación, inicie sesión como el nuevo usuario y asuma el rol root.