跳过导航链接 | |
退出打印视图 | |
从 Oracle Solaris 10 转换到 Oracle Solaris 11 Oracle Solaris 11 Information Library (简体中文) |
在 Oracle Solaris 11 中,只能使用命令行工具创建和管理用户、组和角色。当前没有可用于执行这些任务的 GUI 工具。此外,Solaris 管理控制台使用的命令行工具不再可用。请参见已删除的传统系统管理命令、工具、服务和文件。
有关使用帐户和组进行管理的信息,请参见《Oracle Solaris 管理:常见任务》中的第 2 章 "管理用户帐户和组(概述)"和《Oracle Solaris 管理:常见任务》中的第 3 章 "管理用户帐户和组(任务)"。
目前的缺省口令散列算法是 SHA256。此口令散列类似于以下内容:
$5$cgQk2iUy$AhHtVGx5Qd0.W3NCKjikb8.KhOiA4DpxsW55sP0UnYD
此外,不再有对用户口令的八字符限制。八字符限制只适用于使用旧 crypt_unix(5) 算法的口令,保留该算法的目的是保持与所有现有 passwd 文件条目和 NIS 映射的向后兼容性。
使用其他 crypt(3c) 算法(包括 SHA256 算法,该算法是 policy.conf 文件中的缺省算法)中的一种算法来对口令进行编码。因此,口令现在的长度远远超过八个字符。请参见 policy.conf(4)。
Oracle Solaris 11 中的用户帐户创建和管理已按照如下方式进行了改变:
将用户帐户创建为单个 ZFS 文件系统,这样, 用户可以拥有自己的文件系统和自己的 ZFS 数据集。使用 useradd 和 roleadd 命令创建的每一个起始目录都将用户起始目录放在 /export/home 上,作为个人 ZFS 文件系统。
useradd 命令依赖自动挂载服务 svc:/system/filesystem/autofs 来挂载起始目录。此服务永远不应禁用。passwd 数据库中针对每个用户的每个起始目录条目采用 /home/username 格式,这是一个 autofs 触发器,由自动挂载程序通过 auto_home 映射进行解析。
useradd 命令会自动在 auto_home 映射中创建条目,这些条目与使用该命令的 -d 选项指定的路径名对应。如果路径名中指定了远程主机,例如 foobar:/export/home/jdoe,则 jdoe 的起始目录必须创建在系统 foobar 上。缺省路径名为 localhost:/export/home/user。由于 /export/home 是 ZFS 数据集的挂载点,因此将用户起始目录创建为 ZFS 子数据集,并授予用户创建快照的 ZFS 权限。如果指定一个不对应 ZFS 数据集的路径名,则创建常规目录。如果指定 -S ldap 选项,则 auto_home 映射条目在 LDAP 服务器上更新,而非在本地 auto_home 映射上更新。
在 Oracle Solaris 10 中,无法使用 usermod 命令指定审计属性。在 Oracle Solaris 11 中,usermod 命令可用于 LDAP 和文件。可以使用该机制将所有安全属性指定给某个用户。
例如,管理员可以使用 usermod 命令向用户帐户添加角色。
# roleadd -K roleauth=user -P "Network Management" netmgt # usermod -R +netmgt jdoe
有关其他示例,请参见 usermod(1M)。
可以在本地以及 LDAP 系统信息库中创建角色。要创建角色并指定初始口令,必须为您指定 User Management(用户管理)权限配置文件。若要将安全属性指定给角色,必须为您指定 User Security 权限配置文件。Oracle Solaris 11 中角色验证的主要不同在于增加了 roleauth=user 关键字和 pam_tty_tickets 模块(用于缓存验证)。请注意,缺省情况下未启用 pam_tty_tickets 模块。要添加该模块,请按如下方式编辑 /etc/pam.conf 文件:
# vi /etc/pam.conf su auth required pam_unix_cred.so.1 su auth sufficient pam_tty_tickets.so.1 su auth requisite pam_authtok_get.so.1 su auth required pam_dhkeys.so.1 su auth required pam_unix_auth.so.1
需要整个 su 堆栈。pam_tty_tickets.so.1 模块提供高速缓存。请参见 pam.conf(4)。有关创建角色的说明,请参见《Oracle Solaris 管理:安全服务》中的"如何创建角色"。
创建 ZFS 文件系统的 NFS 或 SMB 共享,然后发布此共享,其中涉及以下操作:
使用 zfs set share 命令创建文件系统共享。此时,可定义特定共享属性。如果未定义共享属性,则使用缺省属性值。
通过设置 sharenfs 或 sharesmb 属性来发布 NFS 或 SMB 共享。此共享永久发布,直到将属性设置为 off。
请参见《Oracle Solaris 管理:常见任务》中的"如何共享作为 ZFS 文件系统创建的起始目录"。
由于在 Oracle Solaris 11 中创建的起始目录作为 ZFS 文件系统,所以通常无需手动挂载起始目录。起始目录在创建时以及引导时通过 SMF 本地文件系统服务自动挂载。有关手动挂载用户起始目录的说明,请参见《Oracle Solaris 管理:常见任务》中的"手动挂载用户的起始目录。"。