Définition des comptes utilisateur et des groupes

Une tâche d'administration système de base consiste à configurer un compte utilisateur pour chaque utilisateur sur un site. En général, un compte utilisateur inclut les informations dont un utilisateur a besoin pour se connecter et utiliser un système, sans disposer du mot de passe root du système. Les composants des informations du compte utilisateur sont décrits à la section Composants d'un compte utilisateur.

Lorsque vous configurez un compte utilisateur, vous pouvez ajouter l'utilisateur à des groupes d'utilisateurs prédéfinis. Une utilisation type des groupes vise à configurer des autorisations de groupe sur un fichier et un répertoire et permettre l'accès uniquement aux utilisateurs appartenant à ce groupe.

Par exemple, vous pouvez disposer d'un répertoire contenant des fichiers confidentiels dont l'accès doit être limité à un nombre réduit d'utilisateurs. Vous pouvez configurer un groupe appelé topsecret qui inclut les utilisateurs travaillant sur le projet topsecret. Ainsi, vous pouvez configurer les fichiers topsecret avec une autorisation de lecture réservée au groupe topsecret. De cette manière, seuls les utilisateurs du groupe topsecret sera en mesure de lire les fichiers.

Un type spécial de compte utilisateur, appelé un rôle, est utilisé pour accorder des privilèges spéciaux à des utilisateurs sélectionnés. Pour plus d'informations, reportez-vous à la section Role-Based Access Control (Overview) du manuel System Administration Guide: Security Services.

Composants d'un compte utilisateur

Les sections suivantes décrivent les composants spécifiques d'un compte utilisateur.

Noms d'utilisateur (de connexion)

Les noms d'utilisateurs, aussi appelés login names permettent aux utilisateurs d'accéder à leurs propres systèmes et à des systèmes distants disposant de privilèges d'accès appropriés. Vous devez choisir un nom d'utilisateur pour chaque compte utilisateur que vous créez.

Essayez de mettre en place une méthode standard d'affectation des noms d'utilisateur afin d'en faciliter le suivi. En outre, les utilisateurs doivent pouvoir les mémoriser facilement. Une méthode simple consiste à prendre l'initiale du prénom et les sept premières lettres du nom de famille. Par exemple, Ziggy Ignatz devient zignatz. En cas de doublons, vous pouvez utiliser l'initiale du prénom, l'initiale du deuxième prénom et les six premières lettres du nom de famille de l'utilisateur. Par exemple, Ziggy Top Ignatz devient ztignatz.

Si des doublons persistent, essayez de créer un nom d'utilisateur selon le modèle suivant :

Initiale du prénom, initiale du deuxième prénom et cinq premières lettres du nom de famille de l'utilisateur
Numéro 1, 2 ou 3, et ainsi de suite, jusqu'à obtention d'un nom unique

Remarque - Tout nouveau nom d'utilisateur doit être différent des alias de messagerie déjà connu du système ou d'un domaine NIS. Dans le cas contraire, les messages risquent d'être remis à l'alias plutôt qu'à l'utilisateur réel.

Pour des instructions détaillées sur la configuration des noms (de connexion) utilisateur, reportez-vous à la section Directives pour l'utilisation des noms d'utilisateur, ID utilisateur et ID de groupe.

Numéros d'identification de l'utilisateur

Un numéro d'identification de l'utilisateur (UID) est associé à chaque nom d'utilisateur. L'ID utilisateur identifie le nom d'utilisateur par rapport à n'importe quel système sur lequel l'utilisateur tente de se connecter. L'ID utilisateur est utilisé par les systèmes pour identifier les propriétaires des fichiers et répertoires. Si vous créez des comptes utilisateur pour un seul individu sur un certain nombre de systèmes différents, utilisez toujours le même nom et ID utilisateur. De cette façon, l'utilisateur peut déplacer facilement des fichiers entre les systèmes sans rencontrer de problèmes de propriété.

Un ID utilisateur doit être un nombre entier inférieur ou égal à 2147483647. Les ID utilisateur sont requis pour les comptes utilisateur standard et les comptes système spéciaux. Le tableau suivant répertorie les ID utilisateurs qui sont réservés aux comptes utilisateur et comptes système.

Tableau 4-3 ID utilisateur réservés

ID utilisateur	Comptes utilisateur ou de connexion	Description
0 - 99	root, `daemon`, `bin`, `sys`, etc.	Réservé à l'usage d'Oracle Solaris
100 - 2147483647	Utilisateurs standard	Comptes destinés à un usage général
60001 et 65534	`nobody` et `nobody4`	Utilisateurs anonymes
60002	`noaccess`	Utilisateurs non autorisés

N'attribuez pas d'ID utilisateur compris entre 0 et 99. Ces ID utilisateur sont réservés à l'usage d'Oracle Solaris. Par définition, root a toujours l'ID utilisateur 0, daemon l'ID utilisateur 1, le pseudo-utilisateur bin l'ID utilisateur 2. En outre, vous devez attribuer aux connexions uucp et connexions pseudo-utilisateur, telles que who, tty et ttytype, des ID utilisateur faibles pour qu'elles figurent au début du fichier passwd.

Pour des instructions supplémentaires sur la configuration des ID utilisateur, reportez-vous à la section Directives pour l'utilisation des noms d'utilisateur, ID utilisateur et ID de groupe.

Comme pour les noms (de connexion) utilisateur, vous devez adopter un modèle pour l'assignation d'ID utilisateur uniques. Certaines entreprises attribuent des numéros d'employé uniques. Les administrateurs ajoutent ensuite un chiffre au numéro d'employé pour créer un ID utilisateur unique pour chaque employé.

Pour réduire les risques de sécurité, évitez de réutiliser les ID utilisateur de comptes supprimés. Si vous devez réutiliser un ID utilisateur, veillez à tout effacer de sorte que le nouvel utilisateur ne soit pas affecté par des attributs définis pour un ancien utilisateur. Par exemple, un ancien utilisateur s'est peut-être vu refuser l'accès à une imprimante en étant inclus dans une liste des accès refusé à l'imprimante. Cependant, cet attribut peut être inapproprié pour le nouvel utilisateur.

Utilisation d'ID utilisateur et ID de groupe de grande valeur

Les ID utilisateur et ID de groupe (GID) peuvent se voir affecter jusqu'à la valeur maximale d'un entier signé ou 2147483647.

Le tableau suivant décrit les problèmes d'interopérabilité avec des produits Oracle Solaris et des versions précédentes.

Tableau 4-4 Problèmes d'interopérabilité pour les ID utilisateur et ID de groupe supérieurs à 60000

Catégorie	Produit ou commande	Problème
Interopérabilité NFS	Logiciel NFS SunOS 4.0 et versions compatibles	Le serveur NFS et le code client tronquent les ID utilisateur et ID de groupe de grande valeur à 16 bits. Cette situation peut entraîner des problèmes de sécurité, si des systèmes exécutant SunOS 4.0 et des versions compatibles sont utilisés dans un environnement où de grandes valeurs d'ID utilisateur et d'ID de groupe sont utilisées. Les systèmes exécutant SunOS 4.0 et les versions compatibles nécessitent un patch pour éviter ce problème.
Interopérabilité du service de noms	Service de noms NIS et service de noms basé sur les fichiers	Les utilisateurs disposant d'un ID supérieur à 60000 peuvent se connecter ou utiliser la commande `su` sur des systèmes exécutant Solaris 2.5 (et les versions compatibles). Cependant, leur ID utilisateur et ID de groupe seront définis sur 60001 (`nobody`).
	Service de noms NIS+	Les utilisateurs disposant d'un ID supérieur à 60000 se voient refuser l'accès aux systèmes exécutant Solaris 2.5 (et les versions compatibles) et au service de noms NIS+.

Le tableau suivant décrit les restrictions liées aux ID utilisateur et ID de groupe.

Tableau 4-5 Récapitulatif des restrictions liées aux ID utilisateur et ID de groupe de grande valeur

ID utilisateur ou ID de groupe	Restrictions
262144 ou supérieur	Les utilisateurs exécutant la commande `cpio` avec le format d'archives par défaut pour copier un fichier voient s'afficher un message d'erreur pour chaque fichier. Ainsi, les ID utilisateur et ID de groupe sont définis sur `nobody` dans l'archive.
2097152 ou supérieur	Les utilisateurs exécutant la commande `cpio` au format `-H odc` ou la commande `pax -x cpio` pour copier des fichiers reçoivent un message d'erreur pour chaque fichier. Ainsi, les ID utilisateur et ID de groupe sont définis sur `nobody` dans l'archive.
1000000 ou supérieur	Les utilisateurs exécutant la commande `ar` ont des ID utilisateur et ID de groupe définis sur `nobody` dans l'archive.
2097152 ou supérieur	Les utilisateurs exécutant la commande `tar`, la commande `cpio -H ustar` ou la commande `pax -x tar` ont des ID utilisateur et ID de groupe définis sur `nobody`.

Groupes UNIX

Un groupe est un ensemble d'utilisateurs pouvant partager des fichiers et des ressources système. Par exemple, des utilisateurs travaillant sur le même projet peuvent former un groupe. Un groupe est traditionnellement connu comme groupe UNIX.

Chaque groupe doit disposer d'un nom, d'un ID et d'une liste des noms d'utilisateur appartenant au groupe. Un ID de groupe identifie le groupe en interne sur le système.

Les deux types de groupes auxquels un utilisateur peut appartenir sont les suivants :

Groupe principal : groupe assigné par le système d'exploitation aux fichiers créés par l'utilisateur. Chaque utilisateur doit appartenir à un groupe principal.
Groupes secondaires : groupes auxquels un utilisateur peut appartenir. Les utilisateurs peuvent appartenir à un nombre maximal de 15 groupes secondaires.

Pour obtenir des instructions détaillées sur la configuration des noms de groupe, reportez-vous à la section Directives pour l'utilisation des noms d'utilisateur, ID utilisateur et ID de groupe.

Il peut arriver qu'un groupe secondaire d'utilisateur ne soit pas important. Par exemple, la propriété des fichiers reflète le groupe principal, et pas les groupes secondaires. Toutefois, d'autres applications peuvent se baser sur l'appartenance d'un utilisateur à un groupe secondaire. Par exemple, un utilisateur doit être un membre du groupe sysadmin (groupe 14) pour utiliser le logiciel Admintool dans les versions précédentes de Solaris. Cependant, peu importe si le groupe 14 est son groupe principal actif.

La commande groups répertorie les groupes auxquels appartient un utilisateur. Un utilisateur ne peut avoir qu'un groupe principal à la fois. Toutefois, un utilisateur peut remplacer son groupe principal à l'aide de la commande newgrp par n'importe quel autre groupe auquel il appartient.

Lorsque vous ajoutez un compte utilisateur, vous devez assigner un groupe principal à l'utilisateur ou accepter le groupe par défaut staff (groupe 10). Le groupe principal doit déjà exister. Si le groupe principal n'existe pas, indiquez le groupe par un ID de groupe (GID) Les noms d'utilisateur ne sont pas ajoutés aux groupes principaux. Si des noms d'utilisateur étaient ajoutés aux groupes principaux, la liste deviendrait trop longue. Avant de pouvoir assigner des utilisateurs à un nouveau groupe secondaire, vous devez créer le groupe et lui assigner un ID de groupe.

Les groupes peuvent être locaux pour le système ou gérés par un service de noms. Afin de simplifier l'administration des groupes, vous devez utiliser un service de noms, tel que NIS ou d'un service d'annuaire, tel que LDAP. Ces services vous permettent de gérer de façon centralisée les appartenances aux groupes.

Mots de passe utilisateur

Vous pouvez spécifier un mot de passe utilisateur lorsque vous ajoutez l'utilisateur. Ou bien, vous pouvez forcer l'utilisateur à spécifier un mot de passe lorsque celui-ci se connecte pour la première fois.

Les mots de passe utilisateur doivent respecter la syntaxe suivante :

La longueur du mot de passe doit au moins correspondre à la valeur identifiée par la variable PASSLENGTH dans le fichier /etc/default/passwd. Par défaut, PASSLENGTH est définie sur 6.
Les 6 premiers caractères du mot de passe doivent contenir au moins deux caractères alphabétiques et disposer d'au moins un chiffre ou un caractère spécial.
Vous pouvez augmenter la longueur maximale du mot de passe à plus de huit caractères en configurant le fichier /etc/policy.conf avec un algorithme qui prend en charge plus de huit caractères.

Alors que les noms d'utilisateur sont connus du public, les mots de passe doivent être tenus secrets et connus uniquement des utilisateurs. Un mot de passe doit être assigné à chaque compte utilisateur. Le mot de passe peut être une combinaison de six à huit caractères incluant des lettres, des chiffres ou des caractères spéciaux.

Pour accroître la sécurité de votre système informatique, les utilisateurs doivent changer leur mot de passe régulièrement. Pour maintenir un niveau de sécurité élevé, vous devez demander aux utilisateurs de modifier leur mot de passe toutes les six semaines. Pour un niveau de sécurité moins élevé, un changement tous les trois mois est suffisant. Les connexions à l'administration du système (telles que root et sys) doivent être modifiées une fois par mois, ou chaque fois qu'une personne connaissant le mot de passe root quitte l'entreprise ou change d'affectation.

Dans de nombreux cas, les failles de sécurité informatique sont liées à la possibilité de deviner le mot de passe d'un utilisateur légitime. Vous devez vous assurer que les utilisateurs ne définissent par leur mot de passe à partir de noms propres, noms, noms de connexion, ou éléments pouvant être devinés par quiconque les connaissant un peu.

Choix appropriés pour des mots de passe :

Phrases (beammeup).
Série de mots dénués de sens et composée des premières lettres de chaque mot d'une phrase. Par exemple, swotrb pour SomeWhere Over The RainBow.
Mots dont des lettres sont remplacés par des nombres ou des symboles. Par exemple, sn00py pour snoopy.

N'utilisez pas les types de mots de passe suivants :

Votre nom (écrit à l'endroit, à l'envers ou dans le désordre)
Noms de membres de votre famille ou d'animaux de compagnie
Numéros d'immatriculation de voiture
Numéros de téléphone
Numéros de sécurité sociale
Numéros d'employé
Mots liés à un passe-temps ou un centre d'intérêt
Thèmes saisonniers, comme Noël en décembre
N'importe quel mot figurant dans le dictionnaire

Répertoires personnels

Le répertoire personnel est la portion d'un système de fichiers allouée à un utilisateur pour le stockage de fichiers privés. La quantité d'espace alloué à un répertoire personnel dépend du type de fichiers créés par l'utilisateur, ainsi que de leur taille et leur nombre.

Un répertoire personnel peut se situé sur le système local de l'utilisateur ou sur un serveur de fichiers distant. Dans les deux cas, par convention, le répertoire personnel doit être créé en tant que /export/home/username. Pour un site de grande taille, vous devez stocker les répertoires personnels sur un serveur. Utilisez un système de fichiers distinct pour chaque répertoire /export/homen afin de faciliter la sauvegarde et la restauration des répertoires personnels. Par exemple, /export/home1 , /export/home2.

Quel que soit l'emplacement du répertoire personnel, les utilisateurs ont généralement accès à leurs répertoires personnels par le biais d'un point de montage nommé /home/username. Lorsqu'AutoFS est utilisé pour monter des répertoires personnels, vous n'êtes pas autorisé à créer des répertoires sous le point de montage /home sur un système. Le système reconnaît le statut spécial de /home lorsqu'AutoFS est actif. Pour plus d'informations sur le montage automatique des répertoires personnels, reportez-vous à la section Présentation des tâches d’administration Autofs du manuel Guide d’administration système : Services réseau.

Pour utiliser le répertoire personnel en tout point du réseau, vous devez toujours faire référence au répertoire personnel en tant que $HOME, et pas /export/home/username. Ce dernier est propre à la machine. En outre, les liens symboliques créés dans le répertoire personnel d'un utilisateur doit utiliser des chemins d'accès relatifs (par exemple, ../../../x/y/x) pour que les liens restent valides quel que soit l'endroit où le répertoire personnel est monté.

Services de noms

Si vous gérez des comptes utilisateur pour un site de grande taille, vous pouvez être amené à utiliser un service de noms ou d'annuaire tel que LDAP, NIS ou NIS+. Un service de noms ou d'annuaire vous permet de stocker des informations de compte utilisateur de manière centralisée au lieu de les stocker dans tous les fichiers /etc du système. Lorsque vous utilisez un service de noms ou d'annuaire pour les comptes utilisateur, les utilisateurs peuvent passer d'un système à l'autre en utilisant le même compte utilisateur sans que les informations du compte utilisateur à l'échelle du site ne soient dupliquées sur chaque système. L'utilisation d'un service de noms ou d'annuaire permet également de conserver des informations de compte utilisateur de manière centralisée et cohérente.

Environnement de travail de l'utilisateur

Outre le répertoire personnel destiné à créer et stocker des fichiers, les utilisateurs doivent bénéficier d'un environnement leur permettant d'accéder aux outils et ressources dont ils ont besoin pour effectuer leur travail. Lorsqu'un utilisateur se connecte à un système, son environnement de travail est déterminé par les fichiers d'initialisation. Ces fichiers sont définis par le shell de démarrage de l'utilisateur, et peut varier en fonction de la version.

Une stratégie appropriée de gestion des environnements de travail des utilisateurs consiste à placer des fichiers d'initialisation utilisateur personnalisés, tels que, .login, .cshrc, ou .profile, dans le répertoire personnel des utilisateurs.

Remarque - N'utilisez pas de fichiers d'initialisation système, tels que /etc/profil ou /etc/.login pour gérer un environnement de travail d'utilisateur. Ces fichiers sont stockés localement sur les systèmes et ne sont pas administrés de façon centralisée. Si, par exemple, AutoFS est utilisé pour monter le répertoire personnel d'utilisateur à partir de n'importe quel système sur le réseau, vous devez modifier les fichiers d'initialisation système sur chaque système afin de garantir un environnement cohérent chaque fois qu'un utilisateur se déplace d'un système à l'autre.

Pour plus d'informations sur la personnalisation des fichiers d'initialisation utilisateur pour les utilisateurs, reportez-vous à la section Personnalisation de l'environnement de travail d'un utilisateur .

Une autre façon de personnaliser les comptes utilisateur est via le contrôle d'accès basé sur les rôles (RBAC). Pour plus d'informations, reportez-vous à la section Role-Based Access Control (Overview) du manuel System Administration Guide: Security Services.

Directives pour l'utilisation des noms d'utilisateur, ID utilisateur et ID de groupe

Les noms d'utilisateur, ID utilisateur et ID de groupe doivent être uniques au sein de l'organisation, qui peut s'étendre sur plusieurs domaines.

Gardez à l'esprit les recommandations suivantes lorsque vous créez des noms d'utilisateur ou de rôle, des ID utilisateurs et des ID de groupe :

Noms d'utilisateur : les noms d'utilisateur doivent être composés de deux à huit lettres et chiffres. Le premier caractère doit être une lettre. Au moins un des caractères doit être une lettre minuscule.

Remarque - Même si les noms d'utilisateur peuvent inclure un point (.), un trait de soulignement (_), ou un trait d'union (-), l'utilisation de ces caractères n'est pas recommandée car ils peuvent provoquer des problèmes avec certains logiciels.
Comptes système : n'utilisez pas les noms d'utilisateur, les ID utilisateur ou les ID de groupe contenus dans les fichiers par défaut /etc/passwd et /etc/group. N'utilisez pas d'ID utilisateur et de groupe compris entre 0 et 99. Ces numéros sont réservés à l'usage du SE Oracle SE Solaris et ne doivent pas être utilisés. Notez que cette restriction s'applique également aux chiffres qui ne sont actuellement pas en cours d'utilisation.

Par exemple, gdm est le nom d'utilisateur et nom de groupe réservé pour le démon du gestionnaire d'affichage GNOME et ne doit pas être utilisé pour un autre utilisateur. Pour obtenir la liste complète des entrées par défaut /etc/passwd et /etc/groupe, reportez-vous aux Tableau 4-6 et Tableau 4-7.

Les comptes nobody et nobody4 ne doivent jamais être utilisés pour l'exécution de processus. Ces deux comptes sont réservés à l'utilisation par NFS. L'utilisation de ces comptes pour l'exécution de processus peut entraîner des risques inattendus pour la sécurité. Les processus devant s'exécuter en tant qu'utilisateur non-root doivent utiliser les comptes daemon ou noaccess.
Configuration des comptes système : la configuration des comptes système par défaut ne doit jamais être modifiée. Ceci inclut la modification du shell de connexion d'un compte système qui est actuellement verrouillé. La seule exception à cette règle est la définition d'un mot de passe et des paramètres de vieillissement du mot de passe pour le compte root.

Ignorer les liens de navigation
Quitter l'aperu
	Administration d'Oracle Solaris : Administration de base Oracle Solaris 10 1/13 Information Library (Français)