跳过导航链接 | |
退出打印视图 | |
在 Oracle Solaris 11.1 中管理用户帐户和用户环境 Oracle Solaris 11.1 Information Library (简体中文) |
以下是本发行版中新增或更改的功能:
本发行版中更改了以下功能:
password 命令的状态转换提炼。此更改阐明了哪些用户帐户可以锁定,哪些用户帐户不能锁定。主要更改将影响 LK 和 NL 属性定义;主要更改如下:
该帐户已锁定。已运行 passwd -l 命令,或者由于身份验证失败次数达到了配置的最大允许次数而自动锁定了帐户。请参见 policy.conf(4) 和 user_attr(4) 手册页。
已为非 UNIX 身份验证配置配置了该帐户。运行了 passwd -N 命令。从此发行版开始,处于此状态的帐户无法通过运行 passwd -l 锁定,也无法通过运行 passwd -u 命令解除锁定。
限定授权。可以将授权限定为应用于特定对象,如组、区域或文件名。请参见管理编辑器 (pfedit)。
profiles 命令已重写,现在可用来管理本地和 LDAP 范围的权限配置文件。不再支持直接编辑基于角色的访问控制 (Role-based Access Control, RBAC) 文件。
本发行版提供了在权限配置文件中设置每用户可插拔验证模块 (Pluggable Authentication Module, PAM) 策略 (pam_policy) 的功能。pam_policy 必须是 pam_conf(4) 格式的文件的绝对路径名,或位于 /etc/security/pam_policy 文件中的 pam.conf (4) 格式的文件的名称。请参见 pam_user_policy(5)。
除了在权限配置文件中设置 PAM 策略,您也可以使用 useradd 或 usermod 命令,在用户的 user_attr 条目中直接设置 pam_policy。请参见示例 2-1。
指定有 "User Security"(用户安全)权限配置文件的用户和角色可以创建新的用户帐户,也可以将自己的部分权限委托给其他帐户,而无需成为 root 角色。
有关详细信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的第 III 部分, "角色、权限配置文件和特权"。
您现在可以使用 Oracle Solaris 用户管理器图形用户界面 (graphical user interface, GUI) 设置和管理用户、角色以及组。用户管理器 GUI 可在桌面上使用,是 Visual Panels 项目的一部分。在本发行版中,用户管理器 GUI 替代了 Solaris 管理控制台 GUI。可以使用用户管理器 GUI 执行的任务和可以使用 CLI(例如 useradd、usermod、userdel、roleadd、rolemod、roledel 命令)执行的任务本质上是相同的。
有关使用用户管理器 GUI 的说明,请参见第 3 章以及联机帮助。
在本发行版中,可以使用管理编辑器 (pfedit) 编辑系统文件。如果系统管理员做了定义,则该编辑器的值为 $EDITOR。如果未定义编辑器,则该编辑器缺省为 vi 命令。
启动编辑器的操作如下所示:
$ pfedit system-filename
要使用 pfedit 命令编辑系统文件,您或您的角色必须对您要编辑的特定文件具有 solaris.admin.edit/system-filename 授权。将此 auth-sysfilename 指定给现有权限配置文件可简化那些需要组合使用各种服务管理工具 (Service Management Facility, SMF) 命令和常规文件编辑的过程。例如,如果您具有 solaris.admin.edit/etc/security/audit_warn 授权,则您可以编辑 audit_warn 文件。
可以使用 pfedit 命令编辑位于 /etc 目录及其子目录中的大部分配置文件,同时也可以编辑应用程序配置文件,例如 GNOME 和 Firefox 文件。不能使用 pfedit 命令编辑可赋予用户大范围控制系统的权力的系统文件,例如 /etc/security/policy.conf 文件。您必须具有 root 访问权限才能编辑此类文件。请参见 pfedit(1M) 手册页和《Oracle Solaris 11.1 管理:安全服务》中的第 3 章 "控制对系统的访问(任务)"。
每当用户登录并使用 pam_unix_cred 模块成功验证后,都会显式创建 /var/user/$USER 目录(如果该目录尚不存在)。该目录使应用程序能够在主机系统上存储与特定用户相关的持久性数据。/var/user/$USER 目录在建立初始凭证后创建,在使用 su、ssh、rlogin 和 telnet 命令更改用户时的辅助验证期间也会创建。/var/user/$USER 目录无需任何管理。但是,用户应了解该目录的创建方式,目录功能以及在 /var 目录中可见。
具有 solaris.group.manage 授权的管理员可以创建组。在创建组时,系统会将 solaris.group.assign/groupname 指定给管理员,这使管理员可以完全控制该组。随后管理员可以根据需要修改或删除该组。有关更多信息,请参见 groupadd(1M) 和 groupmod (1M) 手册页。
现在,即使用户帐户未配置为强制实施登录失败,系统也会针对失败的验证通知用户。无法正确验证的用户将看到类似以下有关成功验证的消息:
Warning: 2 failed authentication attempts since last successful authentication. The latest at Thu May 24 12:02 2012.
要隐藏此类通知,请创建一个 ~/.hushlogin 文件。