Gestion de RBAC (tâches)

Une fois que vous avez configuré RBAC et que vous l'utilisez, suivez les procédures suivantes pour tenir à jour et modifier RBAC sur vos systèmes.

Gestion de RBAC (liste des tâches)

La liste des tâches suivante présente les procédures de gestion du contrôle d'accès basé sur les rôles (RBAC) après son implémentation initiale.

Tâche	Description	Voir
Changement du mot de passe d'un rôle.	Le rôle `root` modifie le mot de passe du rôle.	Modification du mot de passe d'un rôle
Modification des droits affectés à un rôle.	Modifie les attributs de sécurité d'un rôle.	Modification des attributs de sécurité d'un rôle Exemple 9-26
Modification d'un profil de droits.	Modifie les valeurs d'attribut de sécurité dans un profil de droits, comme les privilèges limites et les privilèges par défaut.	Exemple 9-17 Exemple 9-8
Réorganisation des affectations de profils de droits.	Permet de s'assurer que les attributs de sécurité affectés sont disponibles pour un utilisateur ou rôle.	Réorganisation des attributs de sécurité affectés
Création d'un shell de profil limité.	Empêche les utilisateurs ou les rôles d'avoir un accès total à toutes les commandes dans le logiciel.	Limitation d'un administrateur aux droits affectés de manière explicite
Limitation des privilèges d'un utilisateur.	Limite le jeu de privilèges de base ou limite d'un utilisateur.	Exemple 9-8
Suppression de droits par défaut d'un système.	Crée un système pour des utilisations spéciales.	Exemple 9-28
Octroi de l'autorisation à un utilisateur de fournir le mot de passe utilisateur pour prendre un rôle.	Modifie les attributs de sécurité d'un utilisateur pour que le mot de passe utilisateur authentifie l'utilisateur à un rôle. Ce comportement est similaire au comportement des rôles de Linux.	Octroi à un utilisateur de l'autorisation d'utiliser son propre mot de passe pour prendre un rôle
Modification du rôle `root` en utilisateur.	Avant la désactivation d'un système, transforme le rôle `root` en un utilisateur.	Modification du rôle `root` en utilisateur
Limitation des actions des utilisateurs sur le bureau.	Ces actions ne requièrent pas RBAC et optimisent la sécurité de votre système.	Chapitre 11, Désactivation de fonctionnalités dans le système de bureau Oracle Solaris du manuel Guide de l’administrateur du bureau Oracle Solaris 11.1

Ces procédures gèrent les attributs de sécurité relatifs aux utilisateurs, aux rôles et aux profils de droits. Pour les procédures de gestion des utilisateurs de base, reportez-vous au Chapitre 1, Gestion des comptes et des environnements utilisateur (présentation) du manuel Gestion des compte et environnements utilisateur dans Oracle Solaris 11.1.

Modification du mot de passe d'un rôle

Dans la mesure où un rôle peut être assigné à de nombreux utilisateurs, les utilisateurs concernés ne peuvent pas modifier le mot de passe du rôle.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Exécutez la commande passwd.
```
# passwd  [-r naming-service] rolename
```
-r naming-service

Applique la modification de mot de passe au référentiel files ou ldap. Le référentiel par défaut est files. Si vous ne spécifiez pas de référentiel, le mot de passe est modifié dans tous les référentiels.

rolename

Nom d'un rôle existant que vous souhaitez modifier.

Pour obtenir d'autres options de commande, reportez-vous à la page de manuel passwd(1).

Exemple 9-24 Modification du mot de passe d'un rôle

Dans cet exemple, le rôle root modifie le mot de passe du rôle devmgt local.

# passwd -r files  devmgt
New password: Type new password
Confirm password: Retype new password

Dans cet exemple, le rôle root modifie le mot de passe du rôle devmgt dans le service d'annuaire LDAP.

# passwd -r ldap devmgt
New password: Type new password
Confirm password: Retype new password

Dans cet exemple, le rôle root modifie le mot de passe du rôle devmgt dans le fichier et LDAP.

# passwd devmgt
New password: Type new password
Confirm password: Retype new password

Modification des attributs de sécurité d'un rôle

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits User Security (sécurité des utilisateurs) pour modifier la plupart des attributs de sécurité d'un rôle. Pour affecter des indicateurs d'audit ou modifier le mot de passe d'un rôle, vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Utilisez la commande rolemod.
Cette commande modifie les attributs d'un rôle défini dans le service de noms local ou dans LDAP. Les valeurs des options - A, -P et -R peuvent être modifiées par - ou +. Le signe - indique que la valeur doit être soustraite des valeurs actuellement affectées. Le signe + indique que la valeur doit être ajoutée aux valeurs actuellement affectées.

Pour plus d'informations sur la commande rolemod, reportez-vous aux sections suivantes :
- Pour une brève description, reportez-vous à la description de la commande roleadd dans la section Création d'un rôle.
- La page de manuel rolemod(1M) contient tous les arguments associés à cette commande.
- Pour obtenir la liste des valeurs clé pour l'option -K, reportez-vous à la page de manuel user_attr(4).
La commande suivante ajoute deux profils de droits au rôle devmgt dans le référentiel LDAP :
```
$ rolemod  -P +"Device Management,File Management" -S ldap devadmin
```
Pour modifier le mot de passe d'un rôle, reportez-vous à la section Modification du mot de passe d'un rôle.

Exemple 9-25 Modification des attributs de sécurité d'un rôle local

Dans cet exemple, l'administrateur de sécurité modifie le rôle prtmgt afin d'inclure le profil de droits VSCAN Management (gestion VSCAN).

$ rolemod -c "Handles printers and virus scanning" \
-P "Printer Management,VSCAN Management,All" prtmgt

Exemple 9-26 Affectation de privilèges directement à un rôle

Dans cet exemple, l'administrateur de sécurité confie au rôle systime un privilège très spécifique qui affecte le temps système.

$ rolemod -K defaultpriv='proc_clock_highres' systime

Les valeurs pour le mot-clé defaultpriv se trouvent dans la liste des privilèges dans les processus du rôle à tout moment.

Réorganisation des attributs de sécurité affectés

Oracle Solaris lit les profils de droits dans l'ordre d'affectation, comme décrit dans la section Ordre de recherche pour les attributs de sécurité affectés. Au cours de cette procédure, vous réorganisez les profils de droits.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits User Security (sécurité des utilisateurs). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Affichez la liste des profils de droits qui sont actuellement affectés à l'utilisateur ou au rôle.
La liste s'affiche dans l'ordre.
```
$ profiles username|rolename
```
Affectez les profils de droits dans l'ordre approprié.
```
$ usermod | rolemod -P "list-of-profiles"
```

Exemple 9-27 Affectation de profils de droits dans un ordre spécifique

Dans cet exemple, l'administrateur détermine si un profil de droits avec des commandes privilégiées est répertorié après le profil de droits All (tous) pour le rôle devadmin.

$ profiles devadmin
    Basic Solaris User
    All
    Device Management

Par conséquent, le rôle devadmin ne peut pas exécuter les commandes de gestion des périphériques avec les privilèges qui leur sont affectés.

L'administrateur réaffecte les profils de droits à devadmin. Dans le nouvel ordre d'affectation, devadmin peut exécuter les commandes de gestion des périphériques avec les privilèges qui leur sont affectés.

$ rolemod -P "Device Management,Basic Solaris User,All"
$ profiles devadmin
    Device Management
    Basic Solaris User
    All

Limitation d'un administrateur aux droits affectés de manière explicite

Vous pouvez limiter un rôle ou un utilisateur à un nombre restreint d'actions d'administration de deux manières.

Vous pouvez utiliser le profil de droits Stop (arrêt).

Ce profil constitue le moyen le plus simple de créer un shell limité. Les autorisations et les profils de droits affectés dans le fichier policy.conf ne sont pas consultés. Par conséquent, le profil de droits Basic Solaris User (utilisateur Solaris de base), le profil de droits Console User (utilisateur de la console) ou l'autorisation solaris.device.cdrw ne sont pas affectés au rôle ni à l'utilisateur.
Vous pouvez modifier le fichier policy.conf sur un système et exiger que le rôle ou l'utilisateur utilisent ce système pour les tâches d'administration.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Ajoutez le profil de droits Stop (arrêt) comme dernier profil dans la liste des profils que vous affectez.
Par exemple, vous pouvez limiter le rôle auditrev pour effectuer uniquement des révisions d'audit.
```
# rolemod -P "Audit Review,Stop" auditrev
```
Etant donné que le rôle auditrev ne dispose pas du profil de droits Console User (utilisateur de la console), l'auditeur ne peut pas arrêter le système. Etant donné que ce rôle ne dispose pas de l'autorisation solaris.device.cdrw, l'auditeur ne peut pas lire ou écrire sur l'unité de CD-ROM. Etant donné que ce rôle ne dispose pas du profil de droits Basic Solaris User (utilisateur Solaris de base), aucune autre commande que les commandes dans le profil de droits Audit Review (vérification de l'audit) ne peut être exécutée dans ce rôle. Par exemple, la commande ls ne sera pas exécutée. Le rôle utilise le navigateur de fichiers pour afficher les fichiers d'audit.
Pour plus d'informations, reportez-vous aux sections Profils de droits et Ordre de recherche pour les attributs de sécurité affectés.
La commande rolemod modifie les attributs d'un rôle défini dans le service de noms local ou le LDAP. La page de manuel rolemod(1M) contient les arguments associés à cette commande. La liste des arguments RBAC est similaire à la liste pour la commande roleadd, comme décrit dans la section Création d'un rôle

Exemple 9-28 Modification d'un système pour limiter les droits disponibles pour ses utilisateurs

Dans cet exemple, l'administrateur crée un système qui n'est utile que pour administrer le réseau. L'administrateur supprime le profil de droits Basic Solaris User (utilisateur de base Solaris) et toutes les autorisations du fichier policy.conf. Le profil de droits Console User (utilisateur de la console) n'est pas supprimé. Les lignes concernées dans le fichier policy.conf résultant sont les suivantes :

...
#AUTHS_GRANTED=
#PROFS_GRANTED=Basic Solaris User
CONSOLE_USER=Console User
...

Seul un utilisateur auquel des autorisations, commandes ou profils de droits sont explicitement affectés est capable d'utiliser ce système. Après la connexion, l'utilisateur autorisé peut effectuer des tâches d'administration. Si l'utilisateur autorisé se trouve devant la console système, il dispose des droits de l'utilisateur de la console.

Octroi à un utilisateur de l'autorisation d'utiliser son propre mot de passe pour prendre un rôle

Par défaut, les utilisateurs doivent entrer le mot de passe du rôle pour prendre un rôle. Effectuez cette procédure pour que la prise d'un rôle dans Oracle Solaris soit identique à celui dans un environnement Linux.

Avant de commencer

Vous prenez un rôle qui inclut le profil de droits User Security (sécurité des utilisateurs). Ce rôle ne peut pas être le rôle dont vous souhaitez modifier la valeur roleauth.

Activez un mot de passe utilisateur pour authentifier un rôle.
```
$ rolemod -K roleauth=user rolename
```
Pour prendre ce rôle, les utilisateurs affectés peuvent désormais utiliser leur propre mot de passe et pas le mot de passe qui a été spécifiquement créé pour le rôle.

Exemple 9-29 Activation d'un rôle pour utiliser le mot de passe utilisateur affecté lors de l'utilisation d'un profil de droits

Dans cet exemple, le rôle root modifie la valeur de roleauth pour le rôle secadmin sur le système local.

$ profiles -p "Local System Administrator"
profiles:Local System Administrator> set roleauth="user"
profiles:Local System Administrator> end
profiles:Local System Administrator> exit

Lorsqu'un utilisateur bénéficiant du profil de droits Security Administrator (administrateur de sécurité) veut prendre le rôle, l'utilisateur est invité à saisir un mot de passe. Dans la séquence suivante, le nom de rôle est secadmin :

% su - secadmin
Password: Type user password
$ /** You are now in a profile shell with administrative rights**/

Si d'autres rôles ont été affectés à l'utilisateur, celui-ci utilise son propre mot de passe pour ces rôles également.

Exemple 9-30 Modification de la valeur roleauth pour un rôle dans le référentiel LDAP

Dans cet exemple, le rôle root permet à tous les utilisateurs pouvant prendre le rôle secadmin d'utiliser leur propre mot de passe lorsqu'ils prennent un rôle. Cette capacité est accordée à ces utilisateurs pour tous les systèmes qui sont gérés par le serveur LDAP.

# rolemod -S ldap -K roleauth=user secadmin

Erreurs fréquentes

Si roleauth=user est défini pour le rôle, le mot de passe utilisateur permet au rôle authentifié d'accéder à tous les droits affectés à ce rôle. Ce mot-clé dépend de la recherche. Pour plus d'informations, reportez-vous à la section Ordre de recherche pour les attributs de sécurité affectés.

Modification du rôle `root` en utilisateur

Un administrateur peut être amené à changer root en utilisateur lors de la mise hors service d'un système supprimé du réseau. Dans ce cas, la connexion au système en tant que root simplifie le nettoyage.

Avant de commencer

Vous devez vous connecter avec le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Supprimez l'affectation du rôle root des utilisateurs locaux.

Par exemple, supprimez l'affectation du rôle de deux utilisateurs.

% su - root
Password: a!2@3#4$5%6^7
# roles jdoe
root
# roles kdoe
root
# roles ldoe
secadmin
# usermod -R "" jdoe
# usermod -R "" kdoe
#

Modifiez le rôle root en utilisateur.
```
# rolemod -K type=normal root
```
Les utilisateurs qui sont actuellement dans le rôle root restent dans le rôle. Les autres utilisateurs disposant d'un accès root peuvent utiliser la commande su pour accéder à root ou se connecter au système en tant qu'utilisateur root.
Vérifiez la modification.
Vous pouvez utiliser l'une des commandes suivantes.
```
# getent user_attr root
root::::auths=solaris.*;profiles=All;audit_flags=lo\:no;lock_after_retries=no;
min_label=admin_low;clearance=admin_high
```
Si le mot-clé type n'est pas présent dans la sortie ou s'il est égal à normal, le compte n'est pas un rôle.
```
# userattr type root
```
Si la sortie est vide ou si elle répertorie normal, le compte n'est pas un rôle.

Exemple 9-31 Interdiction de l'utilisation du rôle root pour configurer un système

Dans cet exemple, la stratégie de sécurité du site requiert que le compte root ne puisse pas effectuer la maintenance du système. L'administrateur a créé et testé les rôles qui mettent à jour le système. Ces rôles incluent tous les profils de sécurité et le profil de droits System Administrator (administrateur système). Un rôle pouvant restaurer une sauvegarde a été affecté à un utilisateur de confiance. Aucun rôle ne peut modifier les indicateurs d'audit pour le système, un utilisateur ou un profil de droits.

Pour empêcher que le compte root soit utilisé pour effectuer la maintenance du système, l'administrateur de sécurité supprime l'affectation du rôle root. Dans la mesure où le compte root doit être en mesure de se connecter au système en mode monoutilisateur, le compte conserve un mot de passe.

# usermod -K roles= jdoe
# userattr roles jdoe

Exemple 9-32 Transformation de l'utilisateur root en rôle root

Dans cet exemple, l'utilisateur root transforme à nouveau l'utilisateur root en un rôle.

Tout d'abord, l'utilisateur root transforme le compte root en un rôle et vérifie la modification.

# usermod -K type=role root
# getent user_attr root
root::::type=role;auths=solaris.*;profiles=All;audit_flags=lo\:no;
lock_after_retries=no;min_label=admin_low;clearance=admin_high

Ensuite, root affecte le rôle root à un utilisateur local.

# usermod -R root jdoe

Erreurs fréquentes

Dans un environnement de bureau, vous ne pouvez pas directement vous connecter en tant que root lorsque root est un rôle. Un message de diagnostic indique que root est un rôle sur votre système.

Si vous ne disposez pas d'un compte local pouvant prendre le rôle root, créez-en un. En tant que root, connectez-vous au système en mode monoutilisateur, créez un compte utilisateur local et un mot de passe et attribuez le rôle root au nouveau compte. Ensuite, connectez-vous en tant que nouvel utilisateur et prenez le rôle root.

Ignorer les liens de navigation
Quitter l'aperu
	Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français)