La gestion du mot de passe utilisateur et des informations de connexion ont été modifiées, comme suit :
Prise d'un rôle : toute prise de rôle nécessite un mot de passe. Dans cette version, le mot de passe que vous fournissez pour prendre un rôle peut être votre propre mot de passe, si l'administrateur en décide ainsi.
Options de connexion pendant l'arrêt : pendant l'arrêt du système, un fichier /etc/nologin est créé. Ce fichier affiche un message indiquant que le système a été arrêté et qu'il est impossible de s'y connecter. Toutefois, ce type d'arrêt n'empêche pas le superutilisateur de se connecter au système. Dans cette version, les utilisateurs avec le rôle root d'attribué et les utilisateurs disposant des autorisations solaris.system.maintenance ne sont pas bloqués non plus lorsque le fichier nologin se trouve dans le système.
Notification relative au nombre d'échecs de connexion : le système informe les utilisateurs des échecs d'authentification, même si le compte utilisateur n'est pas configuré pour appliquer les tentatives de connexion ayant échoué. Les utilisateurs qui ne parviennent pas à s'authentifier correctement reçoivent un message semblable au suivant lors d'une authentification réussie :
Warning: 2 failed authentication attempts since last successful authentication. The latest at Thu May 24 12:02 2012.
Pour supprimer ces notifications, créez un fichier ~/.hushlogin.
Surveillance et limitation des accès par root : dans une configuration système par défaut, il n'est pas possible de se connecter à distance en tant qu'utilisateur root. Lors d'une connexion à distance, les utilisateurs doivent se connecter avec leur nom d'utilisateur, puis utiliser la commande su pour s'identifier comme utilisateur root. Vous pouvez contrôler qui a utilisé la commande su et restreindre l'accès par root à un système. Voir la section Contrôle et restriction de l’accès root du manuel Sécurisation des systèmes et des périphériques connectés dans Oracle Solaris 11.2
Algorithme de hachage du mot de passe : dans cette version, l'algorithme de hachage du mot de passe par défaut est SHA256. Le résultat du hachage du mot de passe est similaire à ce qui suit :
$5$cgQk2iUy$AhHtVGx5Qd0.W3NCKjikb8.KhOiA4DpxsW55sP0UnYD
Par ailleurs, la longueur d'un mot de passe utilisateur n'est plus limitée à huit caractères. La limitation à huit caractères s'applique uniquement aux mots de passe qui utilisent l'ancien algorithme crypt_unix (5) , lequel a été conservé à des fins de compatibilité avec les éventuelles entrées de fichier passwd et cartes NIS existantes. A partir d'Oracle Solaris 11, l'algorithme crypt_sha256 est celui par défaut
Les mots de passe sont codés au moyen de l'un des autres algorithmes crypt (3c) , notamment SHA256, qui est l'algorithme par défaut dans le fichier policy.conf. Par conséquent, les mots de passe peuvent comporter bien plus de huit caractères. Voir la page de manuel policy.conf(4).
Modifications du mot de passe root : il n'est plus possible d'utiliser un système sans affecter au rôle root un mot de passe répondant aux critères de longueur et de complexité des autres mots de passe.
Améliorations de la définition de propriété pour la commande password : cette modification clarifie les comptes utilisateur qui peuvent ou non être verrouillés. Les modifications principales affectent les définitions de propriétés LK et NL, comme suit :
Le compte est verrouillé pour l'authentification UNIX. La commande passwd –l a été exécutée ou le compte a été automatiquement verrouillé car le nombre d'échecs d'authentification maximal a été atteint. Reportez-vous aux pages de manuel policy.conf(4) et user_attr(4).
Le compte est un compte no login. La commande passwd –N a été exécutée.