Ignorer les liens de navigation | |
Quitter l'aperu | |
Gestion des compte et environnements utilisateur dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
1. Gestion des comptes et des environnements utilisateur (présentation)
Nouveautés et modifications concernant la gestion des comptes et des environnements utilisateur
Modifications en matière de sécurité ayant une incidence sur la gestion des comptes utilisateur
Présentation de l'interface graphique du Gestionnaire d'utilisateurs
Editeur d'administration (pfedit)
Sous-répertoire /var/user/$USER
Modifications apportées à la commande groupadd
Notification relative au nombre d'échecs de connexion
Définition des comptes utilisateur et des groupes
Composants d'un compte utilisateur
Noms d'utilisateur (de connexion)
Numéros d'identification de l'utilisateur
Utilisation d'ID utilisateur et ID de groupe de grande valeur
Environnement de travail de l'utilisateur
Recommandations relatives à l'affectation des noms d'utilisateur, ID utilisateur et ID de groupe
Emplacement de stockage des informations de compte utilisateur et de groupe
Commandes permettant d'obtenir des informations sur les comptes utilisateur
Commandes permettant de gérer les utilisateurs, les rôles et les groupes
Personnalisation de l'environnement de travail d'un utilisateur
Utilisation des fichiers d'initialisation du site
Avertissement concernant les références au système local
Historique des shells bash et ksh93
Variables d'environnement des shells bash et ksh93
Personnalisation du shell bash
Variable d'environnement MANPATH
Recommandations relatives à la définition des chemins d'accès
Variables d'environnement linguistique
Autorisations de fichier par défaut (umask)
Personnalisation d'un fichier d'initialisation utilisateur
2. Gestion des comptes utilisateur avec l'interface de ligne de commande (tâches)
Les informations suivantes sont décrites dans cette section :
Une tâche d'administration système de base consiste à configurer un compte utilisateur pour chaque utilisateur sur un site. En général, un compte utilisateur inclut les informations dont un utilisateur a besoin pour se connecter et utiliser un système, sans disposer du mot de passe root du système. Les composants d'un compte d'utilisateur sont décrits dans la section Composants d'un compte utilisateur.
Lorsque vous configurez un compte utilisateur, vous pouvez ajouter l'utilisateur à un groupe d'utilisateurs prédéfini. Une utilisation type des groupes consiste à configurer des autorisations de groupe sur un fichier et un répertoire et permettre l'accès uniquement aux utilisateurs appartenant à ce groupe.
Par exemple, vous pouvez disposer d'un répertoire contenant des fichiers confidentiels dont l'accès doit être limité à un nombre réduit d'utilisateurs. Vous pouvez configurer un groupe appelé topsecret qui inclut les utilisateurs travaillant sur le projet topsecret. En outre, vous pouvez configurer les fichiers topsecret avec une autorisation de lecture réservée au groupe topsecret. De cette manière, seuls les utilisateurs du groupe topsecret seront en mesure de lire les fichiers.
Un type spécial de compte utilisateur, appelé un rôle, accorde des privilèges spéciaux à des utilisateurs sélectionnés. Pour plus d'informations, reportez-vous à la section Contrôle d’accès basé sur les rôles (présentation) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Les sections suivantes décrivent les différents composants d'un compte utilisateur.
Les noms d'utilisateurs, aussi appelés login names permettent aux utilisateurs d'accéder à leurs propres systèmes et à des systèmes distants disposant de privilèges d'accès appropriés. Vous devez choisir un nom d'utilisateur pour chaque compte utilisateur que vous créez.
Essayez de mettre en place une méthode standard d'affectation des noms d'utilisateur afin d'en faciliter le suivi. En outre, les utilisateurs doivent pouvoir les mémoriser facilement. Une méthode simple consiste à prendre l'initiale du prénom et les sept premières lettres du nom de famille. Par exemple, Ziggy Ignatz devient zignatz. En cas de doublons, vous pouvez utiliser l'initiale du prénom, l'initiale du deuxième prénom et les six premières lettres du nom de famille de l'utilisateur. Par exemple, Ziggy Top Ignatz devient ztignatz.
Si des doublons persistent, essayez de créer un nom d'utilisateur selon le modèle suivant :
initiale du prénom, initiale du deuxième prénom et cinq premières lettres du nom de famille de l'utilisateur ;
numéro 1, 2 ou 3, et ainsi de suite, jusqu'à ce qu'à l'obtention d'un nom unique.
Remarque - Tout nouveau nom d'utilisateur doit être différent des alias de messagerie déjà connu du système ou d'un domaine NIS. Dans le cas contraire, les messages risquent d'être remis à l'alias plutôt qu'à l'utilisateur réel.
Pour des instructions détaillées sur la configuration des noms (de connexion) utilisateur, reportez-vous à la section Recommandations relatives à l'affectation des noms d'utilisateur, ID utilisateur et ID de groupe.
Un numéro d'identification de l'utilisateur (UID) est associé à chaque nom d'utilisateur. L'ID utilisateur identifie le nom d'utilisateur par rapport à n'importe quel système sur lequel l'utilisateur tente de se connecter. L'ID utilisateur est utilisé par les systèmes pour identifier les propriétaires des fichiers et répertoires. Si vous créez des comptes utilisateur pour un seul individu sur un certain nombre de systèmes différents, utilisez toujours le même nom et ID utilisateur. De cette façon, l'utilisateur peut déplacer facilement des fichiers entre les systèmes sans rencontrer de problèmes de propriété.
Un ID utilisateur doit être un nombre entier inférieur ou égal à 2147483647. Les ID utilisateur sont requis pour les comptes utilisateur standard et les comptes système spéciaux. Le tableau suivant répertorie les ID utilisateurs qui sont réservés aux comptes utilisateur et comptes système.
Tableau 1-1 ID utilisateur réservés
|
N'attribuez pas d'ID utilisateur compris entre 0 et 99. Ces ID utilisateur sont réservés à l'usage d'Oracle Solaris. Par définition, root a toujours l'ID utilisateur 0, daemon l'ID utilisateur 1, le pseudo-utilisateur bin l'ID utilisateur 2. En outre, vous devez attribuer aux connexions uucp et connexions pseudo-utilisateur, telles que who, tty et ttytype, des ID utilisateur faibles pour qu'elles figurent au début du fichier passwd.
Pour des instructions supplémentaires sur la configuration des ID utilisateur, reportez-vous à la section Recommandations relatives à l'affectation des noms d'utilisateur, ID utilisateur et ID de groupe.
Comme pour les noms (de connexion) utilisateur, vous devez adopter un modèle pour l'assignation d'ID utilisateur uniques. Certaines entreprises attribuent des numéros d'employé uniques. Les administrateurs ajoutent ensuite un chiffre au numéro d'employé pour créer un ID utilisateur unique pour chaque employé.
Pour réduire les risques de sécurité, évitez de réutiliser les ID utilisateur de comptes supprimés. Si vous devez réutiliser un ID utilisateur, veillez à tout effacer de sorte que le nouvel utilisateur ne soit pas affecté par des attributs définis pour un ancien utilisateur. Par exemple, un ancien utilisateur s'est peut-être vu refuser l'accès à une imprimante en étant inclus dans une liste des accès refusé à l'imprimante. Cependant, cet attribut peut être inapproprié pour le nouvel utilisateur.
Les ID utilisateur et ID de groupe (GID) peuvent se voir affecter jusqu'à la valeur maximale d'un entier signé ou 2147483647.
Le tableau suivant décrit les restrictions liées aux ID utilisateur et ID de groupe.
Tableau 1-2 Récapitulatif des restrictions liées aux ID utilisateur et ID de groupe de grande valeur
|
Un groupe est un ensemble d'utilisateurs pouvant partager des fichiers et des ressources système. Par exemple, des utilisateurs travaillant sur le même projet peuvent former un groupe. Un groupe est traditionnellement connu comme groupe UNIX.
Chaque groupe doit disposer d'un nom, d'un ID et d'une liste des noms d'utilisateur appartenant au groupe. Un ID de groupe identifie le groupe en interne sur le système.
Les deux types de groupes auxquels un utilisateur peut appartenir sont les suivants :
Groupe principal : groupe assigné par le système d'exploitation aux fichiers créés par l'utilisateur. Chaque utilisateur doit appartenir à un groupe principal.
Groupes supplémentaires : autres groupes auxquels un utilisateur appartient. Les utilisateurs peuvent appartenir à 1024 groupes supplémentaires au maximum.
Pour consulter des instructions détaillées sur la configuration des noms de groupe, reportez-vous à la section Recommandations relatives à l'affectation des noms d'utilisateur, ID utilisateur et ID de groupe.
Il peut arriver qu'un groupe secondaire d'utilisateur ne soit pas important. Par exemple, la propriété des fichiers reflète le groupe principal, et pas les groupes secondaires. Toutefois, d'autres applications peuvent se baser sur l'appartenance d'un utilisateur à un groupe secondaire. Par exemple, un utilisateur doit être un membre du groupe sysadmin (groupe 14) pour utiliser le logiciel Admintool dans les versions précédentes de Solaris. Cependant, peu importe si le groupe 14 est le groupe principal actif de l'utilisateur.
La commande groups répertorie les groupes auxquels appartient un utilisateur. Un utilisateur ne peut avoir qu'un groupe principal à la fois. Toutefois, un utilisateur peut remplacer son groupe principal à l'aide de la commande newgrp par n'importe quel autre groupe auquel il appartient.
Lorsque vous ajoutez un compte utilisateur, vous devez assigner un groupe principal à l'utilisateur ou accepter le groupe par défaut staff (groupe 10). Le groupe principal doit déjà exister. Si le groupe principal n'existe pas, indiquez le groupe par un ID de groupe (GID) Les noms d'utilisateur ne sont pas ajoutés aux groupes principaux. Si des noms d'utilisateur étaient ajoutés aux groupes principaux, la liste deviendrait trop longue. Avant de pouvoir assigner des utilisateurs à un nouveau groupe secondaire, vous devez créer le groupe et lui assigner un ID de groupe.
Les groupes peuvent être locaux pour un système ou gérés par un service de noms. Afin de simplifier l'administration des groupes, vous devez utiliser un service de noms, tel que NIS ou d'un service d'annuaire, tel que LDAP. Ces services vous permettent de gérer de façon centralisée les appartenances aux groupes.
Vous pouvez spécifier un mot de passe utilisateur lorsque vous ajoutez l'utilisateur. Vous pouvez également imposer à l'utilisateur de spécifier un mot de passe lorsque celui-ci se connecte pour la première fois au système. Bien que les noms d'utilisateur soient connus publiquement, les mots de passe doivent être tenus secrets et transmis uniquement aux utilisateurs. Un mot de passe doit être assigné à chaque compte utilisateur.
Les mots de passe utilisateur doivent respecter la syntaxe suivante :
La longueur du mot de passe doit au moins correspondre à la valeur identifiée par la variable PASSLENGTH dans le fichier /etc/passwd. Par défaut, cette valeur est fixée à 6.
Dans cette version, SHA256 est l'algorithme de hachage du mot de passe par défaut. Par conséquent, la limitation de huit caractères pour les mots de passe utilisateur ne s'applique plus, contrairement aux versions précédentes d'Oracle Solaris. La limite de huit caractères s'applique uniquement aux mots de passe qui utilisent l'ancien algorithme crypt_unix(5), lequel a été conservé à des fins de compatibilité ascendante avec les éventuelles entrées de fichier passwd et cartes NIS existantes.
Le nombre maximal de caractères pour un mot de passe dépend de l'algorithme utilisé : soit crypt_unix pour les mots de passe anciens, soit SHA256 pour tous les autres. En cas de changement d'un mot de passe du type crypt_unix, la longueur maximale est fixée à 8 caractères, à moins que le fichier policy.conf n'impose le remplacement de l'algorithme.
Le nouveau mot de passe doit suivre les règles de complexité dans la limite du nombre de caractères autorisé pour l'algorithme mis en oeuvre. Ainsi, lorsque l'algorithme crypt_unix est utilisé, si vous tapez un mot de passe de 20 caractères, celui-ci doit respecter les règles de complexité dans la plage des 8 premiers caractères. S'il s'agit d'un autre algorithme, il faut respecter les règles de complexité au niveau du mot de passe entier, c'est-à-dire dans la plage des 20 caractères saisis dans cet exemple.
Chaque mot de passe doit se plier aux contraintes configurées dans le fichier /etc/default/passwd.
Il ne faut pas inclure les mots de passe dans le dictionnaire configuré, comme indiqué dans le fichier /etc/default/passwd.
En ce qui concerne les comptes utilisateur dans des services de noms qui prennent en charge la vérification de l'historique des mots de passe, si cet historique est déjà défini, les nouveaux mots de passe ne doivent pas figurer dans l'historique précédent.
Les règles de mot de passe sont décrites de manière détaillée dans la page de manuel passwd(1).
Pour accroître la sécurité de votre système informatique, les utilisateurs doivent changer leur mot de passe régulièrement. Pour maintenir un niveau de sécurité élevé, vous devez demander aux utilisateurs de modifier leur mot de passe toutes les six semaines. Pour un niveau de sécurité moins élevé, un changement tous les trois mois est suffisant. Il est recommandé de modifier les connexions d'administration système (telles que root et sys) une fois par mois, ou chaque fois qu'une personne connaissant le mot de passe root quitte l'entreprise ou change d'affectation.
Dans de nombreux cas, les failles de sécurité informatique sont liées à la possibilité de deviner le mot de passe d'un utilisateur légitime. Vous devez vous assurer que les utilisateurs ne définissent par leur mot de passe à partir de noms propres, noms, noms de connexion, ou éléments pouvant être devinés par quiconque les connaissant un peu.
Choix appropriés pour des mots de passe :
Phrases (beammeup).
Série de mots dénués de sens et composée des premières lettres de chaque mot d'une phrase. Par exemple, swotrb pour SomeWhere Over The RainBow.
Mots dont des lettres sont remplacés par des nombres ou des symboles. Par exemple, sn00py pour snoopy.
N'utilisez pas les types de mots de passe suivants :
votre nom (écrit à l'endroit, à l'envers ou de manière désordonnée) ;
noms de membres de votre famille ou d'animaux de compagnie ;
numéros d'immatriculation de voiture ;
numéros de téléphone ;
numéros de sécurité sociale ;
numéros d'employé ;
mots liés à un passe-temps ou un centre d'intérêts ;
thèmes saisonniers, comme Noël en décembre ;
n'importe quel mot figurant dans le dictionnaire.
Le répertoire personnel est la portion d'un système de fichiers allouée à un utilisateur pour le stockage de fichiers privés. La quantité d'espace alloué à un répertoire personnel dépend du type de fichiers créés par l'utilisateur, ainsi que de leur taille et leur nombre.
Un répertoire personnel peut se situé sur le système local de l'utilisateur ou sur un serveur de fichiers distant. Dans les deux cas, par convention, le répertoire personnel doit être créé en tant que /export/home/username. Pour un site de grande taille, vous devez stocker les répertoires personnels sur un serveur. Utilisez un système de fichiers distinct pour chaque utilisateur. Par exemple, /export/home/alice ou /export/home/bob. En créant des systèmes de fichiers distincts pour chaque utilisateur, vous pouvez définir les propriétés ou les attributs en fonction des besoins de chaque utilisateur.
Quel que soit l'emplacement de leur répertoire personnel, les utilisateurs y ont généralement accès par le biais d'un point de montage nommé /home/username. Lorsqu'AutoFS est utilisé pour monter des répertoires personnels, vous n'êtes pas autorisé à créer des répertoires sous le point de montage /home sur un système. Le système reconnaît le statut spécial de /home lorsqu'AutoFS est actif. Pour plus d'informations sur le montage automatique des répertoires personnels, reportez-vous à la section Présentation des tâches d’administration Autofs du manuel Gestion de systèmes de fichiers réseau dans Oracle Solaris 11.1.
Pour utiliser un répertoire personnel en tout point du réseau, vous devez toujours faire référence au répertoire personnel en tant que $HOME, et pas en tant que /export/home/username. Ce dernier est propre à la machine. En outre, les liens symboliques créés dans le répertoire personnel d'un utilisateur doivent utiliser des chemins d'accès relatifs (par exemple, ../../../x/y/x) pour que les liens restent valides quel que soit l'endroit où le répertoire personnel est monté.
Pour plus d'informations sur l'ajout des répertoires personnels lorsque vous créez des comptes utilisateur avec l'interface de ligne de commande, reportez-vous à la section Instructions relatives à la configuration des comptes utilisateur.
Si vous gérez des comptes utilisateur pour un site de grande taille, vous pouvez être amené à utiliser un service de noms ou d'annuaire tel que LDAP ou NIS. Un service de noms ou d'annuaire vous permet de stocker des informations de compte utilisateur de manière centralisée au lieu de les stocker dans tous les fichiers /etc du système. Lorsque vous utilisez un service de noms ou d'annuaire pour leurs comptes, les utilisateurs peuvent passer d'un système à l'autre avec le même compte sans que leurs informations ne soient dupliquées sur chaque système. L'utilisation d'un service de noms ou d'annuaire garantit également la cohérence des informations des comptes utilisateur.
Outre le répertoire personnel destiné à créer et stocker des fichiers, les utilisateurs doivent bénéficier d'un environnement leur permettant d'accéder aux outils et ressources dont ils ont besoin pour effectuer leur travail. Lorsqu'un utilisateur se connecte à un système, son environnement de travail est déterminé par les fichiers d'initialisation. Ces fichiers sont définis par le shell de démarrage de l'utilisateur, et peut varier en fonction de la version.
Une bonne stratégie de gestion de l'environnement de travail des utilisateurs consiste à fournir des fichiers d'initialisation personnalisés (comme .bash_profile, .bash_login, .kshrc ou .profile) dans le répertoire personnel des utilisateurs.
Remarque - N'utilisez pas de fichiers d'initialisation système, tels que /etc/profil ou /etc/.login pour gérer un environnement de travail d'utilisateur. Ces fichiers sont stockés localement sur les systèmes et ne sont pas administrés de façon centralisée. Si, par exemple, AutoFS est utilisé pour monter le répertoire personnel d'utilisateur à partir de n'importe quel système sur le réseau, vous devez modifier les fichiers d'initialisation système sur chaque système afin de garantir un environnement cohérent chaque fois qu'un utilisateur se déplace d'un système à l'autre.
Pour plus d'informations sur la personnalisation des fichiers d'initialisation utilisateur pour les utilisateurs, reportez-vous à la section Personnalisation de l'environnement de travail d'un utilisateur .
Pour plus d'informations sur la procédure de personnalisation des comptes utilisateur via la fonction RBAC (contrôle d'accès basé sur les rôles), reportez-vous à la section Contrôle d’accès basé sur les rôles (présentation) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Les noms d'utilisateur, ID utilisateur et ID de groupe doivent être uniques au sein de votre organisation, qui peut s'étendre sur plusieurs domaines.
Gardez à l'esprit les recommandations suivantes lorsque vous créez des noms d'utilisateur ou de rôle, des ID utilisateurs et des ID de groupe :
Noms d'utilisateur : les noms d'utilisateur doivent être composés de deux à huit lettres et chiffres. Le premier caractère doit être une lettre. Au moins un des caractères doit être une lettre minuscule.
Remarque - Même si les noms d'utilisateur peuvent inclure un point (.), un trait de soulignement (_), ou un trait d'union (-), l'utilisation de ces caractères n'est pas recommandée car ils peuvent provoquer des problèmes avec certains logiciels.
Comptes système : n'utilisez pas les noms d'utilisateur, les ID utilisateur ou les ID de groupe contenus dans les fichiers par défaut /etc/passwd et /etc/group. N'utilisez pas d'ID utilisateur et de groupe compris entre 0 et 99. Ces numéros sont réservés à l'usage d'Oracle Solaris et ne doivent pas être utilisés. Notez que cette restriction s'applique également aux chiffres qui ne sont actuellement pas en cours d'utilisation.
Par exemple, gdm est le nom d'utilisateur et de groupe réservé au démon du gestionnaire d'affichage GNOME et ne doit pas être utilisé pour un autre utilisateur. Pour obtenir la liste complète des entrées /etc/passwd et /etc/group par défaut, reportez-vous au Tableau 1-3 et au Tableau 1-4.
Les comptes nobody et nobody4 ne doivent jamais être utilisés pour l'exécution de processus. Ces deux comptes sont réservés à l'utilisation par NFS. L'utilisation de ces comptes pour l'exécution de processus peut entraîner des risques inattendus pour la sécurité. Les processus devant s'exécuter avec un autre compte que root doivent utiliser les comptes daemon ou noaccess.
Configuration des comptes système : la configuration des comptes système par défaut ne doit jamais être modifiée. Ceci inclut la modification du shell de connexion d'un compte système qui est actuellement verrouillé. La seule exception à cette règle est la définition d'un mot de passe et de paramètres de vieillissement du mot de passe pour le compte root.
Remarque - La modification du mot de passe d'un compte utilisateur verrouillé modifie le mot de passe, mais ne déverrouille plus par la même occasion le compte concerné. Une deuxième étape est désormais nécessaire pour déverrouiller le compte et requiert l'utilisation de la commande passwd -u.