成为超级用户 (root) 或承担角色

多数管理任务（如添加用户或管理文件系统）要求您首先以 root (UID=0) 身份登录或者承担角色（如果使用 RBAC）。root 帐户又称作超级用户帐户，可用来对系统进行更改，还可以在紧急情况下覆盖用户的文件保护。

为防止随意更改系统，超级用户帐户和角色只应当用来执行管理任务。与超级用户帐户相关的安全问题就是，即使用户执行很少的任务，也能够完全访问系统。

在非 RBAC 环境中，可以超级用户的身份登录系统，也可以使用 su 命令切换到超级用户帐户。如果实现了 RBAC，则可以通过控制台承担角色，或者使用 su 指定角色。

在使用控制台执行管理任务时，可以执行以下操作之一：

• 以自己的身份登录控制台，然后提供 root 用户名和口令

• 以自己的身份登录控制台，然后承担角色

RBAC 的一个主要优点就是，可以创建对特定功能进行有限访问的角色。如果使用 RBAC，则可以通过承担角色（而不是成为超级用户）来运行受限制的应用程序。

有关创建主管理员角色的分步说明，请参见如何创建第一个角色（主管理员）。有关 RBAC 的概述，请参见《System Administration Guide: Security Services》中的第 9  章 "Using Role-Based Access Control (Tasks)"。

如何成为超级用户 (root) 或承担角色

可通过使用以下方法之一成为超级用户或承担角色。每种方法都要求您知道超级用户口令或角色口令。

1. 通过选择以下方法的其中之一，成为超级用户：
   • 以用户身份登录，然后执行以下操作：
     1. 启动 Solaris Management Console。
     2. 选择 Solaris 管理工具。
     3. 以 root 身份登录。

     通过此方法可以从控制台执行任何管理任务。

     有关启动 Solaris Management Console 的信息，请参见如何在名称服务环境中启动 Solaris Management Console。

   • 以超级用户身份登录系统控制台。

     hostname console: root
     Password: root-password
     #

     井号 (#) 是超级用户帐户的 shell 提示符。

     此方法提供对所有系统命令和工具的完全访问权限。

   • 以用户身份登录，然后通过在命令行上使用 su 命令切换到超级用户帐户。

     % su
     Password: root-password
     #

     此方法提供对所有系统命令和工具的完全访问权限。

   • 以超级用户身份远程登录。

     此方法在缺省情况下处于禁用状态。必须修改 /etc/default/login 文件，允许以超级用户身份远程登录系统控制台。有关修改此文件的信息，请参见《System Administration Guide: Security Services》中的第 3  章 "Controlling Access to Systems (Tasks)"。

     此方法提供对所有系统命令和工具的完全访问权限。

2. 承担角色。

   选择以下引导方法之一：

   • 以用户身份登录，然后通过在命令行上使用 su 命令切换到角色。

     % su role
     Password: role-password
     $

     此方法提供对角色能够访问的所有命令和工具的访问权限。

   • 以用户身份登录，然后执行以下操作：
     1. 启动 Solaris Management Console。
     2. 选择 Solaris 管理工具。
     3. 承担角色。

     有关启动 Solaris Management Console 的信息，请参见如何以超级用户或角色身份启动控制台。

     此方法提供对角色能够访问的所有 Solaris 管理工具的访问权限。