Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Gestión de las cuentas de usuario y los entornos de usuario en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
1. Gestión de cuentas de usuario y entornos de usuario (descripción general)
2. Gestión de cuentas de usuario mediante la interfaz de línea de comandos (tareas)
Configuración y gestión de cuentas de usuario mediante la interfaz de línea de comandos
Recopilación de información de usuario
Cómo personalizar los archivos de inicialización de usuario
Cómo cambiar valores predeterminados de cuentas de todos los roles
Directrices para la configuración de cuentas de usuario
Cómo compartir directorios principales que se crean como sistemas de archivos ZFS
Las siguientes tareas describen cómo configurar y gestionar cuentas de usuario mediante la interfaz de línea de comandos.
|
Al configurar cuentas de usuario, puede crear un formulario similar al siguiente para recopilar información sobre los usuarios antes de configurar sus cuentas.
|
$ su - Password: #
# mkdir /shared-dir/skel/user-type
El nombre de un directorio para almacenar archivos de inicialización de un tipo de usuario.
Para obtener una descripción detallada de las maneras de personalizar los archivos de inicialización de usuario, consulte Personalización de un entorno de trabajo del usuario.
# chmod 744 /shared-dir/skel/user-type/.*
# ls -la /shared-dir/skel/*
En el procedimiento siguiente, el administrador ha personalizado un directorio roles. El administrador cambia el directorio principal predeterminado y el directorio de estructura básica de todos los roles.
# roleadd -D group=other,1 project=default,3 basedir=/home skel=/etc/skel shell=/bin/pfsh inactive=0 expire= auths= profiles=All limitpriv= defaultpriv= lock_after_retries=
# roleadd -D -b /export/home -k /etc/skel/roles # roleadd -D group=staff,10 project=default,3 basedir=/export/home skel=/etc/skel/roles shell=/bin/sh inactive=0 expire= auths= profiles= roles= limitpriv= defaultpriv= lock_after_retries=
Los usos futuros del comando roleadd crean directorios principales en /export/home y rellenan el entorno de los roles del directorio /etc/skel/roles.
Tenga en cuenta las siguientes directrices para configurar cuentas de usuario mediante la interfaz de línea de comandos:
En esta versión, las cuentas de usuario se crean como sistemas de archivos ZFS de Oracle Solaris. Como administrador, al crear cuentas de usuario, está concediendo a los usuarios su propio sistema de archivos y su propio conjunto de datos de ZFS. Cada directorio raíz creado con los comandos useradd y roleadd coloca el directorio raíz del usuario en el sistema de archivos /export/home como un sistema de archivos ZFS individual. Como resultado, los usuarios tienen la capacidad de crear copias de seguridad de sus directorios principales, crear instantáneas ZFS de sus directorios principales y reemplazar archivos en su directorio principal actual desde las instantáneas ZFS que han creado.
Para configurar cuentas de usuario, debe asumir el rol root o un rol con el perfil de derechos apropiado, por ejemplo, el perfil de derechos de gestión de usuarios. Consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
Al crear una cuenta de usuario con el comando useradd, debe especificar la opción -m en la sintaxis del comando. De lo contrario, no se creará un directorio raíz de datos para el usuario.
Por ejemplo, el siguiente comando creará un directorio raíz para el usuario jdoe:
# useradd -m jdoe
Pero, la siguiente sintaxis no creará un directorio raíz para el usuario:
# useradd jdoe
Nota - La única excepción a esta regla es si desea que el módulo pam_zfs_key cree un directorio raíz cifrado para el usuario. En este caso, no especificaría la opción -m con el comando useradd. Consulte las páginas del comando man pam_zfs_key(5) y zfs_encrypt(1M).
El comando useradd crea entradas en el mapa auto_home sólo si se especifica la opción -d con hostname:/pathname. De lo contrario, el nombre de ruta especificado se actualiza como directorio raíz para el usuario en la base de datos passwd y no se crea ninguna entrada de mapa auto_home. Los directorios raíz que se especifican en el mapa de montador automático auto_home sólo se montan si el servicio autofs está activado.
Por ejemplo, si especifica la opción -d para crear un usuario como se muestra a continuación, el usuario se crea sin ninguna entrada auto_home, y la entrada passwd especifica /export/home/user1 como directorio raíz del usuario:
# useradd -d /export/home/user1 user1
Pero, si utiliza la opción -d para crear el usuario como se muestra a continuación, el usuario tendrá una entrada auto_home y la base de datos passwd contendrá /home/user1, lo que indica una dependencia con el servicio autofs:
# useradd -d localhost:/export/home/user1 user1
Si el nombre de ruta del directorio raíz incluye una especificación de host remoto, por ejemplo, foobar:/export/home/jdoe, el directorio raíz para jdoe se debe crear en el sistema foobar. El nombre de ruta predeterminado es localhost:/export/home/ username.
Cuando el sistema de archivos es un conjunto de datos ZFS, como es el caso de todo Oracle Solaris 11, el directorio raíz del usuario se crea como un conjunto de datos ZFS secundario, con el permiso de ZFS para tomar instantáneas delegado al usuario. Si se especifica un nombre de ruta que no se corresponde con un conjunto de datos ZFS, se crea un directorio regular. Si se especifica la opción -S ldap, se actualiza la entrada de asignación auto_home en el servidor LDAP en lugar de la asignación auto_home.
En esta versión, las cuentas de usuario se crean como sistemas de archivos ZFS de Oracle Solaris. Cada directorio principal creado con los comandos useradd y roleadd coloca el directorio principal del usuario en el sistema de archivos /export/home como un sistema de archivos ZFS individual.
El comando useradd crea entradas en el mapa auto_home sólo si se especifica la opción -d con hostname:/pathname. De lo contrario, el nombre de ruta especificado se actualiza como directorio raíz para el usuario en la base de datos passwd y no se crea ninguna entrada de mapa auto_home. Los directorios raíz que se especifican en el mapa de montador automático auto_home sólo se montan si el servicio autofs está activado.
De manera predeterminada, el usuario se crea localmente. Si incluye la opción -S ldap, el usuario se crea en un repositorio LDAP existente.
# useradd -d dir -m username
Crea una cuenta para el usuario especificado.
Especifica la ubicación del directorio raíz del usuario.
Utilice -d localhost:/export/home/ username en lugar de -d /export/home/ username para forzar que la entrada se escriba en auto_home.
Crea un directorio raíz local en el sistema para el usuario.
Si especifica la opción -d dir de la siguiente manera, el usuario se crea sin una entrada auto_home, y la entrada passwd especifica /export/home/user1 como el directorio raíz del usuario:
# useradd -d /export/home/user1 user1
Si especifica la opción -d dir de la siguiente manera, el usuario tendrá una entrada auto_home y la base de datos passwd contendrá /home/user1, lo que indica una dependencia con el servicio autofs:
# useradd -d localhost:/export/home/user1 user1
Nota - Si desea que el módulo pam_zfs_key cree un directorio raíz cifrado para el usuario. En este caso, no especifique la opción -m con el comando useradd. Consulte Directrices para la configuración de cuentas de usuario.
Para obtener una descripción detallada de todas las opciones y los argumentos que puede especificar con el comando useradd, consulte la página del comando man useradd(1M).
Nota - La cuenta está bloqueada hasta que le asigna al usuario una contraseña.
# passwd username New password: Type user password Re-enter new password: Retype password
Para obtener más información, consulte las páginas del comando man useradd(1M) y passwd(1).
Véase también
Después de crear un usuario, es posible que sea necesario realizar algunas tareas adicionales, incluida la agregación y la asignación de roles a un usuario, la enumeración y el cambio de perfiles de derechos de un usuario y el cambio de las propiedades RBAC de un usuario. Para obtener más información, consulte las siguientes referencias:
Cómo crear un rol de Administración de Oracle Solaris 11.1: servicios de seguridad y Cómo asignar un rol de Administración de Oracle Solaris 11.1: servicios de seguridad
Cómo crear un perfil de derechos de Administración de Oracle Solaris 11.1: servicios de seguridad
El comando usermod se usa para cambiar la definición de inicio de sesión de un usuario y para realizar los cambios de sistema de archivos relacionados con el inicio de sesión que sean apropiados para el usuario.
Consulte la página del comando man usermod(1M) para obtener detalles sobre los argumentos y las opciones que puede especificar con el comando usermod.
Por ejemplo, para agregar un rol a un usuario, escriba:
# usermod -R role username
Ejemplo 2-1 Configuración de la política de PAM por usuario mediante la modificación de la cuenta del usuario
En el siguiente ejemplo, se muestra cómo modificar un usuario para definir una política de PAM. Esta modificación particular especifica que el usuario jdoe sólo debe estar autenticado con el protocolo Kerberos V5 para todos los servicios PAM. Consulte pam_user_policy(5) para obtener más información.
# usermod -K pam_policy=krb5_only jdoe
Véase también
Consulte las siguientes referencias para obtener ejemplos adicionales de modificación de usuarios:
$ su - Password: #
Nota - Este método funciona si root es una cuenta de usuario o un rol.
# userdel -r username
Suprime la cuenta del usuario especificado.
Elimina la cuenta del sistema.
Debido a que los directorios principales del usuario ahora son conjuntos de datos ZFS, el método preferido para eliminar un directorio principal local de un usuario suprimido es especificar la opción -r con el comando userdel.
# userdel username
Debe suprimir de forma manual el directorio principal del usuario en el servidor remoto.
Para obtener una lista completa de opciones de comandos, consulte la página del comando man userdel(1M).
Pasos siguientes
Es posible que se requiera una limpieza adicional si el usuario que ha suprimido tenía responsabilidades administrativas, por ejemplo, la creación de trabajos cron, o si el usuario tenía cuentas adicionales en zonas no globales.
Cuando un administrador crea un grupo, el sistema asigna solaris.group.assign /groupname para ese administrador, lo que le proporciona control completo sobre ese grupo. Si otro administrador con la misma autorización crea un grupo, éste tiene el control sobre ese grupo. Un administrador que tiene el control de un grupo no puede administrar el grupo del otro administrador. Para obtener más información, consulte las páginas del comando man groupadd(1M) y groupmod (1M).
# cat /etc/group
$ groupadd -g 18 exadata
Crea una nueva definición de grupo en el sistema agregando la entrada adecuada al archivo /etc/group.
Asigna el ID de grupo para el nuevo grupo.
Para obtener más información, consulte la página del comando man groupadd(1M).
Ejemplo 2-2 Configuración de un grupo y un usuario con los comandos groupadd y useradd
En el ejemplo siguiente se muestra cómo utilizar los comandos groupadd y useradd para agregar el grupo scutters y el usuario scutter1 a los archivos en el sistema local.
# groupadd -g 102 scutters # useradd -u 1003 -g 102 -d /export/home/scutter1 -s /bin/csh \ -c "Scutter 1" -m -k /etc/skel scutter1 64 blocks
Para obtener más información, consulte las páginas del comando man groupadd(1M) y useradd(1M).
En esta versión de Oracle Solaris, puede compartir un sistema de archivos ZFS mediante la configuración de la propiedad share.nfs o la propiedad share.smb. También puede crear un recurso compartido de sistema de archivos mediante el comando zfs share. De manera predeterminada, todos los sistemas de archivos están sin compartir.
De manera predeterminada, el conjunto de datos pool/export/home ya está montado en /export/home. El comando useradd crea automáticamente juegos de datos por usuario como juegos secundarios de este conjunto de datos. Como administrador, puede crear un grupo nuevo para los directorios raíz de usuario. El siguiente procedimiento describe estos pasos.
Para obtener más información sobre cómo compartir y dejar de compartir sistemas de archivos, consulte Cómo compartir y anular la compartición de sistemas de archivos ZFS de Administración de Oracle Solaris 11.1: sistemas de archivos ZFS.
# zpool create users mirror c1t1d0 c1t2d0 mirror c2t1d0 c2t2d0
# zfs create users/home
# zfs set share.nfs=on users/home
Al utilizar esta nueva sintaxis, cada sistema de archivos contiene un "recurso compartido automático" que se crea apenas la propiedad share.nfs (o la propiedad share.smb) se define en on para ese sistema de archivos. El comando anterior comparte un sistema de archivos denominado users/home y todos sus subordinados.
# zfs get -r share.nfs users/home
La opción -r muestra todos los sistemas de archivos descendientes.
Las cuentas de usuario que se crean como sistemas de archivos ZFS no necesitan, normalmente, ser montadas de manera manual. Con ZFS, los sistemas de archivos se montan de manera automática cuando se crean y luego se montan en el momento del inicio desde el servicio del sistema de archivos local SMF.
Al crear cuentas de usuario, asegúrese de que los directorios principales estén establecidos como lo están en el servicio de nombres, en /home/username. A continuación, asegúrese de que el mapa auto_home indique la ruta NFS al directorio principal del usuario. Para obtener información relacionada con la tarea, consulte Descripción general de tareas para administración autofs de Gestión de sistemas de archivos de red en Oracle Solaris 11.1.
Si necesita montar manualmente el directorio principal de un usuario, utilice el comando zfs mount. Por ejemplo:
# zfs mount users/home/alice
Nota - Asegúrese de que el directorio principal del usuario esté compartido. Para obtener más información, consulte Cómo compartir directorios principales que se crean como sistemas de archivos ZFS.