Ignorer les liens de navigation | |
Quitter l'aperu | |
Gestion des compte et environnements utilisateur dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
1. Gestion des comptes et des environnements utilisateur (présentation)
Nouveautés et modifications concernant la gestion des comptes et des environnements utilisateur
Modifications en matière de sécurité ayant une incidence sur la gestion des comptes utilisateur
Présentation de l'interface graphique du Gestionnaire d'utilisateurs
Editeur d'administration (pfedit)
Sous-répertoire /var/user/$USER
Définition des comptes utilisateur et des groupes
Composants d'un compte utilisateur
Noms d'utilisateur (de connexion)
Numéros d'identification de l'utilisateur
Utilisation d'ID utilisateur et ID de groupe de grande valeur
Environnement de travail de l'utilisateur
Recommandations relatives à l'affectation des noms d'utilisateur, ID utilisateur et ID de groupe
Emplacement de stockage des informations de compte utilisateur et de groupe
Commandes permettant d'obtenir des informations sur les comptes utilisateur
Commandes permettant de gérer les utilisateurs, les rôles et les groupes
Personnalisation de l'environnement de travail d'un utilisateur
Utilisation des fichiers d'initialisation du site
Avertissement concernant les références au système local
Historique des shells bash et ksh93
Variables d'environnement des shells bash et ksh93
Personnalisation du shell bash
Variable d'environnement MANPATH
Recommandations relatives à la définition des chemins d'accès
Variables d'environnement linguistique
Autorisations de fichier par défaut (umask)
Personnalisation d'un fichier d'initialisation utilisateur
2. Gestion des comptes utilisateur avec l'interface de ligne de commande (tâches)
La liste suivante répertorie les fonctionnalités introduites ou modifiées dans cette version.
Modifications en matière de sécurité ayant une incidence sur la gestion des comptes utilisateur
Présentation de l'interface graphique du Gestionnaire d'utilisateurs
Dans cette version, les fonctions suivantes ont changé :
Amélioration des transitions d'état pour la commande password. Cette modification clarifie les comptes utilisateur pouvant et ne pouvant pas être verrouillés. Les principales modifications affectent les définitions de propriétés LK et NL, comme suit :
Le compte est verrouillé. La commande passwd - l a été exécutée ou le compte a été automatiquement verrouillé car le nombre d'échecs d'authentification maximal a été atteint. Reportez-vous aux pages de manuel policy.conf(4) et user_attr(4).
Le compte est configuré pour une authentification non UNIX. La commande passwd -N a été exécutée. À partir de cette version, les comptes possédant cet état peuvent être verrouillés via l'exécution de la commande passwd - l, et déverrouillés via l'exécution de la commande passwd - u.
Autorisations qualifiées. Il est possible de définir plus précisément les autorisations pour les appliquer à des objets spécifiques tels que des groupes, des zones ou des noms de fichiers. Reportez-vous à la section Editeur d'administration (pfedit).
La commande profiles a été modifiée pour gérer les profils de droits à l'échelle d'une étendue locale et LDAP. La modification directe des fichiers RBAC (contrôle d'accès basé sur les rôles) n'est plus prise en charge.
Dans cette version, vous avez la possibilité de définir une stratégie PAM (module d'authentification enfichable) par utilisateur (pam_policy) dans un profil de droits. Le paramètre pam_policy doit être soit un chemin d'accès absolu à un fichier au format pam_conf(4), soit le nom d'un fichier au format pam.conf(4) figurant dans le fichier /etc/security/pam_policy. Reportez-vous à la section pam_user_policy(5).
Au lieu de définir la stratégie PAM dans un profil de droits, vous pouvez définir directement le paramètre pam_policy dans l'entrée utilisateur user_attr en exécutant la commande useradd ou usermod. Reportez-vous à l'Exemple 2-1.
Les utilisateurs et les rôles auxquels est attribué le profil de droits User Security peuvent créer des comptes utilisateur, mais également déléguer une partie de leurs droits à d'autres comptes, sans prendre le rôle root.
Pour plus d'informations, reportez-vous à la Partie III, Rôles, profils de droits et privilèges du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Vous pouvez désormais configurer et gérer des utilisateurs, des rôles et des groupes dans l'interface graphique du Gestionnaire d'utilisateurs Oracle Solaris. Cette interface graphique, disponible sur le bureau, fait partie du projet Visual Panels. Dans cette version, l'interface graphique du Gestionnaire d'utilisateurs remplace celle de la console de gestion Solaris. Vous pouvez effectuer quasiment les mêmes tâches dans l'interface graphique du Gestionnaire d'utilisateurs et dans l'interface de ligne de commande, et notamment exécuter les fonctions correspondant aux commandes useradd, usermod, userdel, roleadd, rolemod et roledel.
Pour obtenir des instructions sur le fonctionnement de l'interface graphique du Gestionnaire d'utilisateurs, reportez-vous au Chapitre 3, Gestion des comptes utilisateur dans l'interface graphique du Gestionnaire d'utilisateurs (tâches) et à l'aide en ligne.
Dans cette version, un éditeur d'administration (pfedit) permet de modifier les fichiers système. Si elle est définie par l'administrateur système, la valeur de cet éditeur est $EDITOR. Si l'éditeur n'est pas défini, sa valeur par défaut est la commande vi.
Démarrez l'éditeur comme suit :
$ pfedit system-filename
Pour modifier des fichiers système en exécutant la commande pfedit, vous (ou votre rôle) devez disposer de l'autorisation solaris.admin.edit/system-filename sur chaque fichier concerné. L'intégration de l'autorisation auth-sysfilename dans un profil de droits existant simplifie les procédures regroupant des modifications apportées à des fichiers standard et des commandes SMF (utilitaire de gestion des services). Par exemple, si l'autorisation solaris.admin.edit/etc/security/audit_warn vous a été attribuée, vous pouvez modifier le fichier audit_warn.
La commande pfedit permet de modifier la plupart des fichiers de configuration stockés dans le répertoire /etc et ses sous-répertoires, mais également des fichiers de configuration d'application comme GNOME et Firefox. En revanche, la commande pfedit ne permet pas de modifier les fichiers système qui accordent à l'utilisateur des droits sur une large portion d'un système, comme le fichier /etc/security/policy.conf. Vous devez disposer d'un accès root pour modifier ces fichiers. Reportez-vous à la page de manuel pfedit(1M) et au Chapitre 3, Contrôle de l’accès aux systèmes (tâches) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Chaque fois qu'un utilisateur se connecte et réussit à s'authentifier par le biais du module pam_unix_cred, un répertoire /var/user/$USER est créé de manière explicite s'il n'existe pas déjà. Ce répertoire permet aux applications de stocker les données persistantes associées à un utilisateur spécifique sur le système hôte. Le répertoire /var/user/$USER est créé lors de l'établissement initial des informations d'identification, mais également au cours de l'authentification secondaire lorsque les utilisateurs changent en exécutant les commandes su, ssh, rlogin et telnet. Le répertoire /var/user/$USER ne nécessite aucune administration. Toutefois, les utilisateurs doivent savoir pourquoi et comment ce répertoire est créé sous le répertoire /var.
Un administrateur disposant de l'autorisation solaris.group.manage peut créer un groupe. Au moment de la création d'un groupe, le système attribue l'autorisation solaris.group.assign/groupname à l'administrateur, ce qui lui permet d'exercer un contrôle total sur ce groupe. L'administrateur peut ensuite modifier ou supprimer ce groupe, selon les besoins. Pour plus d'informations, reportez-vous aux pages de manuel groupadd(1M) et groupmod (1M).
Le système informe désormais les utilisateurs des échecs d'authentification, même si le compte utilisateur n'est pas configuré pour appliquer les tentatives de connexion ayant échoué. Les utilisateurs qui ne parviennent pas à s'authentifier correctement reçoivent un message semblable au suivant lors d'une authentification réussie :
Warning: 2 failed authentication attempts since last successful authentication. The latest at Thu May 24 12:02 2012.
Pour supprimer ces notifications, créez un fichier ~/.hushlogin.