Configuration et gestion des comptes utilisateur dans l'interface de ligne de commande

Les tâches suivantes décrivent la procédure à suivre pour configurer et gérer des comptes utilisateur par le biais de l'interface de ligne de commande.

Configuration et gestion des comptes utilisateur avec l'interface de ligne de commande (liste des tâches)

Tâche	Description	Voir
Collecte d'informations utilisateur	Utilisez un formulaire standard pour rassembler des informations utilisateur et les classer.	Collecte des informations utilisateur
Personnalisation des fichiers d'initialisation utilisateur	Vous pouvez configurer des fichiers d'initialisation pour offrir des environnements cohérents aux nouveaux utilisateurs.	Personnalisation des fichiers d'initialisation utilisateur
Modification des paramètres de compte par défaut pour tous les rôles	Modifiez le répertoire personnel par défaut et le répertoire squelette pour tous les rôles.	Modification des paramètres de compte par défaut pour tous les rôles
Création d'un compte utilisateur	A l'aide des paramètres par défaut du compte que vous configurez, créez un utilisateur local à l'aide de la commande `useradd`.	Ajout d'un utilisateur
Modification d'un compte utilisateur	Modifiez les informations de connexion d'un utilisateur sur le système.	Modification d'un utilisateur
Suppression d'un compte utilisateur	Supprimez un compte utilisateur à l'aide de la commande `userdel`.	Suppression d'un utilisateur
Création puis affectation d'un rôle pour effectuer une tâche d'administration	A l'aide des paramètres de compte par défaut configurés, créez un rôle local pour permettre à l'utilisateur d'exécuter une commande ou une tâche d'administration spécifique.	Procédure de création d’un rôle du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité Procédure d’attribution de rôle du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité
Création d'un groupe	Créez un nouveau groupe par le biais de la commande `groupadd`.	Ajout d'un groupe
Ajout d'attributs de sécurité à un compte utilisateur	Après avoir configuré un compte utilisateur local, vous pouvez ajouter les attributs de sécurité requis.	Modification des attributs de sécurité d’un utilisateur du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Partage du répertoire personnel d'un utilisateur	Vous devez partager le répertoire personnel de l'utilisateur afin qu'il puisse être monté à distance à partir du système de l'utilisateur.	Partage de répertoires personnels créés en tant que systèmes de fichiers ZFS
Montage manuel du répertoire personnel d'un utilisateur	En général, vous n'avez pas besoin de monter manuellement les répertoires personnels des utilisateurs qui sont créés en tant que système de fichiers ZFS. Le répertoire personnel est automatiquement monté lors de sa création et il l'est à partir du service de système de fichiers local SMF au moment de l'initialisation.	Montage manuel du répertoire personnel d'un utilisateur

Collecte des informations utilisateur

Lors de la configuration des comptes utilisateur, vous pouvez créer un formulaire semblable au suivant pour collecter des informations sur les utilisateurs avant de créer leurs comptes.

Elément	Description
Nom d'utilisateur :
Nom du rôle :
Profils ou autorisations :
ID utilisateur :
Groupe principal :
Groupes secondaires :
Commentaire :
Shell par défaut :
Statut et vieillissement du mot de passe :
Nom du chemin d'accès au répertoire personnel :
Méthode de montage :
Autorisations sur le répertoire personnel :
Serveur de courrier :
Ajouter à ces alias de messagerie :
Nom du système de bureau :

Personnalisation des fichiers d'initialisation utilisateur

Prenez le rôle root ou un rôle disposant du profil de droits User Management.
```
$ su -
Password: 
#
```
Reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Créez un répertoire squelette pour chaque type d'utilisateur.
```
# mkdir /shared-dir/skel/user-type
```
shared-dir

Nom d'un répertoire disponible aux autres systèmes sur le réseau

user-type

Nom d'un répertoire dans lequel stocker les fichiers d'initialisation pour un type d'utilisateur.
Copiez les fichiers d'initialisation utilisateur par défaut dans les répertoires que vous avez créés pour les différents types d'utilisateur.
Modifiez les fichiers d'initialisation utilisateur pour chaque type d'utilisateur et personnalisez-les en fonction des besoins de votre site.
La section Personnalisation de l'environnement de travail d'un utilisateur décrit en détail les méthodes de personnalisation des fichiers d'initialisation utilisateur.
Définissez les autorisations pour les fichiers d'initialisation utilisateur.
```
# chmod 744 /shared-dir/skel/user-type/.*
```
Vérifiez que les droits d'accès aux fichiers d'initialisation utilisateur sont corrects.
```
# ls -la /shared-dir/skel/*
```

Modification des paramètres de compte par défaut pour tous les rôles

Dans la procédure suivante, l'administrateur a personnalisé un répertoire roles. L'administrateur modifie le répertoire personnel par défaut et le répertoire squelette pour tous les rôles.

Prenez le rôle root ou un rôle disposant du profil de droits User Management.
Reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.

Créez un répertoire de rôles personnalisés. Par exemple :

# roleadd -D
group=other,1  project=default,3  basedir=/home  
skel=/etc/skel  shell=/bin/pfsh  inactive=0  
expire=  auths=  profiles=All  limitpriv=  
defaultpriv=  lock_after_retries=

Modifiez le répertoire personnel par défaut et le répertoire squelette pour tous les rôles. Par exemple :
```
# roleadd -D -b /export/home -k /etc/skel/roles
# roleadd -D
group=staff,10  project=default,3  basedir=/export/home  
skel=/etc/skel/roles  shell=/bin/sh  inactive=0  
expire=  auths=  profiles=  roles=  limitpriv=  
defaultpriv=  lock_after_retries=
```
Les utilisations futures de la commande roleadd créent des répertoires personnels dans /export/home et remplissent l'environnement des rôles à partir du répertoire /etc/skel/roles.

Instructions relatives à la configuration des comptes utilisateur

Suivez les consignes ci-dessous pour configurer des comptes utilisateur à l'aide de la CLI :

Dans cette version, les comptes utilisateur sont créés en tant que systèmes de fichiers ZFS Oracle Solaris. En tant qu'administrateur, lorsque vous créez des comptes, vous attribuez également aux utilisateurs leur propre système de fichiers et leur propre jeu de données ZFS. L'exécution des commandes useradd et roleadd place le répertoire personnel de l'utilisateur sur le système de fichiers /export/home en tant que système de fichiers ZFS individuel. Par conséquent, les utilisateurs ont la possibilité de sauvegarder leur répertoire personnel, de créer des instantanés ZFS de leur répertoire personnel et de remplacer des fichiers dans leur répertoire personnel actuel à partir des instantanés ZFS qu'ils ont créé.
Pour configurer des comptes utilisateur, il faut prendre le rôle root ou un rôle disposant du profil de droits approprié, comme User Management. Reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Lorsque vous créez un compte utilisateur à l'aide de la commande useradd, vous devez spécifier l'option -m dans la syntaxe. Autrement, un répertoire personnel n'est pas créé pour l'utilisateur.

Par exemple, la commande suivante crée un répertoire personnel pour l'utilisateur jdoe :
```
# useradd -m jdoe
```
En revanche, la syntaxe suivante ne crée pas de répertoire personnel pour l'utilisateur :
```
# useradd jdoe
```
Remarque - La seule exception à cette règle se présente si vous souhaitez que le module pam_zfs_key crée un répertoire personnel chiffré pour l'utilisateur. Dans ce cas, n'ajoutez pas l'option -m à la commande useradd. Reportez-vous aux pages de manuel pam_zfs_key(5) et zfs_encrypt(1M).
La commande useradd crée des entrées dans la mappe auto_home uniquement si l'option -d est spécifiée avec hostname:/pathname. Dans le cas contraire, le chemin d'accès spécifié est mis à jour en tant que répertoire personnel de l'utilisateur dans la base de données passwd et aucune entrée n'est créée dans la mappe auto_home. Les répertoires personnels spécifiés dans la mappe de montage automatique auto_home sont montés uniquement si le service autofs est activé.

Par exemple, si vous spécifiez l'option -d pour créer un utilisateur comme suit, il est créé sans entrée auto_home. D'autre part, l'entrée passwd spécifie /export/home/user1 en tant que répertoire personnel de l'utilisateur :
```
# useradd -d /export/home/user1 user1
```
En revanche, si vous ajoutez l'option -d pour créer l'utilisateur comme suit, il est créé avec une entrée auto_home. D'autre part, la base de données passwd contient /home/user1, ce qui indique une dépendance au service autofs :
```
# useradd -d localhost:/export/home/user1 user1
```
Si le chemin d'accès au répertoire personnel comporte une spécification d'hôte distant (foobar:/export/home/jdoe, par exemple), le répertoire personnel de jdoe doit être créé sur le système foobar. Le chemin par défaut est localhost:/export/home/username.
Lorsque ce système de fichiers est un jeu de données ZFS (ce qui est le cas dans Oracle Solaris 11), le répertoire personnel de l'utilisateur est créé sous la forme d'un jeu de données ZFS enfant, où l'autorisation ZFS de prendre des instantanés est déléguée à l'utilisateur. Lorsqu'un nom de chemin d'accès ne correspondant pas à un jeu de données ZFS est précisé, un répertoire standard est créé. Si l'option -S ldap est spécifiée, l'entrée de carte auto_home est mise à jour sur le serveur LDAP et non sur la carte auto_home locale.

Ajout d'un utilisateur

Dans cette version, les comptes utilisateur sont créés en tant que systèmes de fichiers ZFS Oracle Solaris. Chaque répertoire personnel créé à l'aide des commandes useradd et roleadd place le répertoire personnel de l'utilisateur sur le système de fichiers /export/home en tant que système de fichiers ZFS individuel.

La commande useradd crée des entrées dans la mappe auto_home uniquement si l'option -d est spécifiée avec hostname:/pathname. Dans le cas contraire, le chemin d'accès spécifié est mis à jour en tant que répertoire personnel de l'utilisateur dans la base de données passwd et aucune entrée n'est créée dans la mappe auto_home. Les répertoires personnels spécifiés dans la mappe de montage automatique auto_home sont montés uniquement si le service autofs est activé.

Prenez le rôle root ou un rôle disposant du profil de droits User Management.
Reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Créez un utilisateur local.
Par défaut, l'utilisateur est créé localement. Si vous incluez l'option -S ldap, l'utilisateur est créé dans un référentiel LDAP existant.
```
# useradd -d dir -m username
```
useradd

Crée un compte pour l'utilisateur spécifié.

-d

Indique l'emplacement du répertoire personnel de l'utilisateur.
Tapez -d localhost:/export/home/ username au lieu de -d /export/home/ username pour forcer l'écriture de l'entrée dans auto_home.

-m

Crée un répertoire personnel local sur le système pour l'utilisateur.

Par exemple, si vous spécifiez l'option -d dir comme suit, l'utilisateur est créé sans entrée auto_home. D'autre part, l'entrée passwd spécifie /export/home/user1 en tant que répertoire personnel de l'utilisateur :
```
# useradd -d /export/home/user1 user1
```
Si vous spécifiez l'option -d dir comme suit, l'utilisateur est associé à une entrée auto_home. D'autre part, la base de données passwd contient /home/user1, ce qui indique une dépendance au service autofs :
```
# useradd -d localhost:/export/home/user1 user1
```
Remarque - La seule exception à cette règle se présente si vous souhaitez que le module pam_zfs_key crée un répertoire personnel chiffré pour l'utilisateur. Dans ce cas, n'ajoutez pas l'option -m à la commande useradd. Reportez-vous à la section Instructions relatives à la configuration des comptes utilisateur.

Pour une description détaillée des tous les arguments et options que vous pouvez spécifier à l'aide de la commande useradd, reportez-vous à la page de manuel useradd(1M).

Remarque - Le compte est verrouillé jusqu'à ce que vous affectiez un mot de passe à l'utilisateur.
Affectez un mot de passe à l'utilisateur.
```
# passwd username
New password: Type user password
Re-enter new password: Retype password
```
Pour plus d'options de commande, reportez-vous aux pages de manuel useradd(1M) et passwd(1).

Voir aussi

Après avoir créé un utilisateur, vous devrez parfois effectuer d'autres tâches, et notamment ajouter et attribuer des rôles, répertorier et modifier les profils de droits ou encore modifier les propriétés RBAC d'un utilisateur. Pour plus d'informations, reportez-vous aux références suivantes :

Modification d'un utilisateur

La commande usermod permet de changer la définition de l'identifiant de connexion d'un utilisateur et d'apporter des modifications au système de fichiers dans le cadre de la connexion.

Prenez le rôle root ou un rôle disposant du profil de droits User Management.
Reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Apportez les modifications nécessaires au compte utilisateur.
Pour plus d'informations sur les arguments et les options que vous pouvez spécifier avec la commande usermod, reportez-vous à la page de manuel usermod(1M).
Par exemple, pour attribuer un rôle à un utilisateur, il faut taper :
```
# usermod -R role username
```

Exemple 2-1 Définition d'une stratégie PAM par utilisateur en modifiant le compte d'un utilisateur

L'exemple suivant illustre la procédure à suivre pour modifier un utilisateur en vue de définir la stratégie PAM. Cette modification spécifie que l'utilisateur jdoe doit être authentifié via le protocole Kerberos V5 exclusivement pour les services PAM. Pour plus d'informations, reportez-vous à la page de manuel pam_user_policy(5).

# usermod -K pam_policy=krb5_only jdoe

Voir aussi

Reportez-vous aux références suivantes pour d'autres exemples de modification d'un utilisateur :

Suppression d'un utilisateur

Prenez le rôle root
```
$ su -
Password: 
#
```
Remarque - Cette méthode fonctionne aussi bien lorsque root est un compte utilisateur que lorsqu'il est un rôle.
Archivez le répertoire personnel de l'utilisateur.
Exécutez l'une des commandes suivantes :
- Si l'utilisateur dispose d'un répertoire personnel local, supprimez l'utilisateur et le répertoire personnel.
```
# userdel -r username
```
  usesrdel
  
  Supprime le compte de l'utilisateur spécifié.
  
  -r
  
  Supprime le compte du système.
  Etant donné que les répertoires personnels sont maintenant des jeux de données ZFS, la méthode recommandée de suppression d'un répertoire personnel local d'un utilisateur supprimé est d'indiquer l'option - r avec la commande userdel.
- Autrement, supprimez uniquement l'utilisateur.
```
# userdel username
```
  Vous devez supprimer manuellement le répertoire personnel de l'utilisateur sur le serveur distant.
Pour la liste complète des options de commande, reportez-vous à la page de manuel userdel(1M).

Étapes suivantes

Un nettoyage supplémentaire peut être nécessaire si l'utilisateur que vous avez supprimé avait des responsabilités d'administration, par exemple la création de tâches cron, ou si l'utilisateur dispose de comptes supplémentaires dans des zones non globales.

Ajout d'un groupe

Lorsqu'un administrateur crée un groupe, le système attribue l'autorisation solaris.group.assign /groupname à cet administrateur, ce qui lui permet d'exercer un contrôle total sur le groupe. Si un autre administrateur disposant de la même autorisation crée un groupe, il contrôle le groupe. Un administrateur qui contrôle un groupe ne peut en aucun cas gérer le groupe de l'autre administrateur. Pour plus d'informations, reportez-vous aux pages de manuel groupadd(1M) et groupmod (1M).

Prenez le rôle root ou un rôle d'administrateur disposant de l'autorisation solaris.group.manage.
Reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Répertoriez les groupes existants.
```
# cat /etc/group
```
Créez un nouveau groupe.
```
$ groupadd -g 18 exadata
```
groupadd

Crée une nouvelle définition de groupe sur le système en ajoutant l'entrée appropriée au fichier /etc/group.

-g

Affecte l'ID de groupe du nouveau groupe.

Pour plus d'informations, reportez-vous à la page de manuel groupadd(1M).

Exemple 2-2 Configuration d'un groupe et d'un utilisateur à l'aide des commandes groupadd et useradd

L'exemple suivant illustre comment utiliser les commandes groupadd et useradd pour ajouter le groupe scutters et l'utilisateur scutter1 dans les fichiers du système local.

# groupadd -g 102 scutters
# useradd -u 1003 -g 102 -d /export/home/scutter1 -s /bin/csh \
-c "Scutter 1" -m -k /etc/skel scutter1
64 blocks

Pour plus d'informations, reportez-vous aux pages de manuel groupadd(1M) et useradd(1M).

Partage de répertoires personnels créés en tant que systèmes de fichiers ZFS

Dans cette version d'Oracle Solaris, il est possible de partager un système de fichiers ZFS en définissant la propriété share.nfs ou share.smb. Vous pouvez également créer un partage de système de fichiers à l'aide de la commande zfs share. Par défaut, aucun système de fichiers n'est partagé.

Par défaut, le jeu de données pool/export/home est déjà monté sur /export/home. La commande useradd crée automatiquement les jeux de données par utilisateur en tant qu'enfants de ce jeu de données. En tant qu'administrateur, vous pouvez choisir de créer un nouveau pool pour les répertoires personnels des utilisateurs. La procédure ci-dessous indique les étapes à suivre.

Pour plus d'informations sur le partage et l'annulation du partage des systèmes de fichiers, reportez-vous à la section Activation et annulation du partage des systèmes de fichiers ZFS du manuel Administration d’Oracle Solaris 11.1 : Systèmes de fichiers ZFS.

Prenez le rôle root.
Reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Créez un pool distinct pour les répertoires personnels des utilisateurs. Par exemple :
```
# zpool create users mirror c1t1d0 c1t2d0 mirror c2t1d0 c2t2d0
```
Créez un conteneur pour les répertoires personnels. Par exemple :
```
# zfs create users/home
```
Définissez les propriétés de partage du répertoire personnel. Par exemple, pour créer un partage NFS et définir la propriété share.nfs pour users/home, tapez :
```
# zfs set share.nfs=on users/home
```
Dans cette nouvelle syntaxe, chaque système de fichiers contient un paramètre "auto share" créé dès que la propriété share.nfs (ou share.smb) est définie sur on pour ce système de fichiers. La commande précédente partage un système de fichiers nommé users/home et tous ses enfants.
Confirmez que les partages de systèmes de fichiers descendants sont également publiés. Par exemple :
```
# zfs get -r share.nfs users/home
```
L'option -r affiche tous les systèmes de fichiers descendants.

Montage manuel du répertoire personnel d'un utilisateur

Les comptes utilisateur créés en tant que systèmes de fichiers ZFS n'ont généralement pas besoin d'être montés manuellement. Avec ZFS, les systèmes de fichiers sont montés automatiquement au moment de leur création, puis montés lors de l'initialisation à partir du service de système de fichiers local SMF.

Lors de la création de comptes utilisateur, assurez-vous que les répertoires personnels sont configurés de la même manière que dans le service de noms, sous /home/nom-utilisateur. Assurez-vous ensuite que la mappe auto_home indique le chemin NFS du répertoire personnel de l'utilisateur. Pour plus d'informations sur les tâches, reportez-vous à la section Présentation des tâches d’administration Autofs du manuel Gestion de systèmes de fichiers réseau dans Oracle Solaris 11.1.

Si vous avez besoin de monter manuellement le répertoire personnel d'un utilisateur, vous pouvez utiliser la commande zfs mount. Par exemple :

# zfs mount users/home/alice

Remarque - Assurez-vous que le répertoire personnel de l'utilisateur est partagé. Pour plus d'informations, reportez-vous à la section Partage de répertoires personnels créés en tant que systèmes de fichiers ZFS.

Ignorer les liens de navigation
Quitter l'aperu
	Gestion des compte et environnements utilisateur dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français)