Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Gestión de las cuentas de usuario y los entornos de usuario en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
1. Gestión de cuentas de usuario y entornos de usuario (descripción general)
Novedades y cambios en la gestión de cuentas de usuario y entornos de usuario
Cambios de seguridad que afectan la gestión de cuentas de usuario
Introducción a la interfaz gráfica de usuario de User Manager
Editor administrativo (pfedit)
¿Qué son las cuentas de usuario y los grupos?
Componentes de cuentas de usuario
Nombres de usuario (inicio de sesión)
Uso de ID de usuario e ID de grupo de gran tamaño
Entorno de trabajo del usuario
Directrices para asignar nombres de usuario, ID de usuario e ID de grupo
Dónde se almacena la información de cuentas de usuario y grupos
Comandos para obtener información de cuenta de usuario
Comandos que se utilizan para la gestión de usuarios, roles y grupos
Personalización de un entorno de trabajo del usuario
Uso de archivos de inicialización de sitio
Cómo evitar referencias de sistema local
Historial de shells bash y ksh93
Variables de entorno de shell bash y shell ksh93
Personalización del shell Bash
Configuración de directrices de ruta
Variables de configuración regional
Permisos de archivo predeterminados (umask)
Personalización de un archivo de inicialización de usuario
2. Gestión de cuentas de usuario mediante la interfaz de línea de comandos (tareas)
Las siguientes funciones son nuevas o se han cambiado en esta versión:
Cambios de seguridad que afectan la gestión de cuentas de usuario
Introducción a la interfaz gráfica de usuario de User Manager
Las siguientes funciones han cambiado en esta versión:
Refinamientos de transición de estado para el comando password. Este cambio indica qué cuentas de usuario se pueden o no se pueden bloquear. Los cambios principales impactan en las definiciones de las propiedades LK y NL. Estos cambios son los siguientes:
La cuenta está bloqueada. El comando passwd -l se ejecutó o la cuenta se bloqueó automáticamente debido a que el número de errores de autenticación alcanzó el número máximo configurado permitido. Consulte las páginas del comando man policy.conf(4) y user_attr(4).
La cuenta está configurada para la autenticación que no es de UNIX. El comando passwd -N se ejecutó. A partir de esta versión, las cuentas en este estado se pueden bloquear mediante la ejecución del comando passwd -l y se pueden desbloquear mediante la ejecución del comando passwd -u.
Autorizaciones calificadas. Las autorizaciones pueden calificarse para aplicarse a objetos específicos, como grupos, zonas o nombres de archivos. Consulte Editor administrativo (pfedit).
Se ha vuelto a escribir el comando profiles para gestionar perfiles de derechos para ámbitos locales y LDAP. Ya no se admite la edición directa de archivos de control de acceso basado en roles (RBAC).
En esta versión está disponible la capacidad de definir una política de módulo de autenticación conectable (PAM) por usuario (pam_policy) en un perfil de derechos. La política pam_policy debe ser un nombre de ruta absoluto a un archivo con formato pam_conf(4) o el nombre de un archivo con formato pam.conf (4) ubicado en el archivo /etc/security/pam_policy. Consulte pam_user_policy(5).
Además de establecer la política de PAM en un perfil de derechos, también puede establecer directamente pam_policy en la entrada user_attr del usuario mediante el comando useradd o el comando usermod. Consulte el Ejemplo 2-1.
Los usuarios y roles que tienen asignado el perfil de derechos de seguridad de usuario pueden crear nuevas cuentas de usuario, así como delegar algunos de sus derechos a otras cuentas, sin asumir el rol root.
Para obtener más información, consulte la Parte III, Roles, perfiles de derechos y privilegios de Administración de Oracle Solaris 11.1: servicios de seguridad.
Puede configurar y gestionar usuarios, roles y grupos con la interfaz gráfica de usuario (GUI) de User Manager de Oracle Solaris. La interfaz gráfica de usuario de User Manager está disponible en el escritorio y forma parte del proyecto Visual Panels. En esta versión, la interfaz gráfica de usuario de User Manager sustituye a la interfaz gráfica de usuario de Solaris Management Console. Las tareas que puede realizar con la interfaz gráfica de usuario de User Manager son, en esencia, las mismas que puede realizar mediante la interfaz de línea de comandos, por ejemplo, los comandos useradd , usermod, userdel, roleadd , rolemod, roledel.
Para obtener instrucciones sobre el uso de la interfaz gráfica de usuario de User Manager, consulte el Capítulo 3, Gestión de cuentas de usuarios mediante el uso de la interfaz gráfica de usuario de User Manager (tareas) y la ayuda en pantalla.
Un editor administrativo (pfedit) se puede utilizar para editar archivos de sistema en esta versión. Si lo define el administrador del sistema, el valor de este editor es $EDITOR. Si el editor no está definido, se utiliza de manera predeterminada el comando vi.
Inicie el editor de la siguiente manera:
$ pfedit system-filename
Para editar archivos de sistema con el comando pfedit, usted o su rol deben contar con la autorización solaris.admin.edit/ system-filename para el archivo específico que está editando. Si asigna auth-sysfilename a un perfil de derechos existente, simplifica los procedimientos que contienen una combinación de comandos de utilidad de gestión de servicios (SMF) y ediciones de archivos normales. Por ejemplo, si tiene asignada la autorización solaris.admin.edit/etc/security/audit_warn, podrá editar el archivo audit_warn.
El comando pfedit se puede utilizar para editar la mayoría de los archivos de configuración en el directorio /etc, sus subdirectorios y, además, los archivos de configuración de aplicaciones, por ejemplo, archivos de GNOME y Firefox. El comando pfedit no se puede utilizar para editar los archivos de sistema que le otorgan poder a un usuario sobre una franja amplia de un sistema, por ejemplo, el archivo /etc/security/policy.conf. Debe tener acceso root para editar los archivos de este tipo. Consulte la página del comando man pfedit(1M) y el Capítulo 3, Control de acceso a sistemas (tareas) de Administración de Oracle Solaris 11.1: servicios de seguridad.
Cada vez que un usuario inicia sesión y se autentica de forma satisfactoria utilizando el módulo pam_unix_cred, se crea explícitamente un directorio /var/user/$USER si el directorio no existe. Este directorio permite a las aplicaciones almacenar datos persistentes asociados con un usuario determinado en el sistema host. El directorio /var/user/$USER se crea en el momento del establecimiento inicial de credenciales y durante una autenticación secundaria cuando se cambian usuarios con los comandos su, ssh , rlogin y telnet. El directorio /var/user/$USER no requiere ninguna administración. Sin embargo, los usuarios deben tener en cuenta el modo en que se crea el directorio, su función y que está visible en el directorio /var.
Un administrador que tenga la autorización solaris.group.manage puede crear un grupo. En el momento de la creación del grupo, el sistema asigna solaris.group.assign /groupname al administrador, que le brinda control completo sobre dicho grupo. El administrador entonces puede modificar o suprimir ese grupo según sea necesario. Para obtener más información, consulte las páginas del comando man groupadd(1M) y groupmod (1M).
Ahora el sistema envía una notificación a los usuarios acerca de los intentos de autenticación fallidos, incluso si la cuenta de usuario no está configurada para forzar inicios de sesión fallidos. Los usuarios que no se pueden autenticar correctamente, verán en pantalla un mensaje similar al siguiente después de la autenticación correcta:
Warning: 2 failed authentication attempts since last successful authentication. The latest at Thu May 24 12:02 2012.
Para suprimir las notificaciones de este tipo, cree un archivo ~/.hushlogin.