Gestion des comptes utilisateur et des environnements utilisateur dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Composants d'un compte utilisateur

Les sections suivantes décrivent les différents composants d'un compte utilisateur.

Noms d'utilisateur (de connexion)

Les noms d'utilisateur, également appelés login names, permettent à l'utilisateur d'accéder à leur propre système et aux systèmes distants pour lesques ils possèdent les privilèges d'accès appropriés. Vous devez choisir un nom d'utilisateur pour chaque compte utilisateur que vous créez.

Essayez de mettre en place une méthode standard d'affectation des noms d'utilisateur afin d'en faciliter le suivi. En outre, les utilisateurs doivent pouvoir les mémoriser facilement. Une méthode simple consiste à prendre l'initiale du prénom et les sept premières lettres du nom de famille. Par exemple, John Smith devient jsmith. En cas de doublons, vous pouvez utiliser l'initiale du prénom, l'initiale du deuxième prénom et les six premières lettres du nom de famille de l'utilisateur. Par exemple, John Jay Smith devient jjsmith.

    Si des doublons persistent, essayez de créer un nom d'utilisateur selon le modèle suivant :

  • Initiale du prénom, initiale du deuxième prénom et cinq premières lettres du nom de famille de l'utilisateur

  • Numéro 1, 2 ou 3, et ainsi de suite, jusqu'à obtention d'un nom unique


Remarque -  Les noms d'utilisateur doivent être distinct des alias de courriel connus du système ou d'un domaine NIS. Dans le cas contraire, les messages risquent d'être remis à l'alias plutôt qu'à l'utilisateur réel.

Pour des instructions détaillées sur la configuration des noms (de connexion) utilisateur, reportez-vous à la section Recommandations relatives à l'affectation des noms d'utilisateur, ID utilisateur et ID de groupe.

Numéros d'identification de l'utilisateur

Un numéro d'identification d'utilisateur (UID) est associé avec chaqze nom d'utilisateur. L'ID utilisateur identifie le nom d'utilisateur par rapport à n'importe quel système sur lequel l'utilisateur tente de se connecter. L'ID utilisateur est utilisé par les systèmes pour identifier les propriétaires des fichiers et répertoires. Si vous créez des comptes utilisateur pour un seul individu sur un certain nombre de systèmes différents, utilisez toujours le même nom et ID utilisateur. De cette façon, l'utilisateur peut déplacer facilement des fichiers entre les systèmes sans rencontrer de problèmes de propriété.

Les numéros UID doivent être des nombres entiers égaux ou inférieurs à 2147483647. Les ID utilisateur sont requis pour les comptes utilisateur standard et les comptes système spéciaux. Le tableau suivant répertorie les ID utilisateurs qui sont réservés aux comptes utilisateur et comptes système.

Table 1-1  ID utilisateur réservés
ID utilisateur
Comptes utilisateur ou de connexion
Description
0 – 99
root, daemon, bin, sys, etc.
Réservés au système d'exploitation
100 – 2147483647
Utilisateurs standard
Comptes destinés à un usage général
60001 et 65534
nobody et nobody4
Utilisateurs anonymes NFS
60002
noaccess
Utilisateurs qui ne sont pas de confiance

Ne pas affecter les UID de 0 à 99. Ces ID utilisateur sont réservés à l'usage d'Oracle Solaris. Par définition, root a toujours l'ID utilisateur 0, daemon l'ID utilisateur 1, le pseudo-utilisateur bin l'ID utilisateur 2. En outre, vous devez attribuer aux connexions uucp et connexions pseudo-utilisateur, telles que who, tty et ttytype, des ID utilisateur faibles pour qu'elles figurent au début du fichier passwd.

Pour des instructions supplémentaires sur la configuration des ID utilisateur, reportez-vous à la section Recommandations relatives à l'affectation des noms d'utilisateur, ID utilisateur et ID de groupe.

Comme pour les noms (de connexion) utilisateur, vous devez adopter un modèle pour l'assignation d'ID utilisateur uniques. Certaines entreprises attribuent des numéros d'employé uniques. Les administrateurs ajoutent ensuite un chiffre au numéro d'employé pour créer un ID utilisateur unique pour chaque employé.

Afin de minimaliser les risques de sécurité, vous devez éviter la réutilisation des UID de comptes supprimés. Si vous devez réutiliser un, supprimez les informations relatives au compte UID sorte que le nouvel utilisateur complètement ne soit pas affecté par des attributs définis pour un ancien utilisateur. Par exemple, un ancien utilisateur s'est peut - être été inclus dans une liste des accès refusé à l'imprimante. Toutefois, lorsque vous interdisez l'accès à cette imprimante peut être inapproprié pour le nouvel utilisateur.

Utilisation d'ID utilisateur et ID de groupe de grande valeur

Les ID utilisateur et ID de groupe (GID) peuvent se voir affecter jusqu'à la valeur maximale d'un entier signé ou 2147483647.

Le tableau suivant décrit les restrictions liées aux ID utilisateur et ID de groupe.

Table 1-2  Récapitulatif des restrictions liées aux ID utilisateur et ID de groupe de grande valeur
ID utilisateur ou ID de groupe
Limites
262144 ou plus
Les utilisateurs exécutant la commande cpio avec le format d'archives par défaut pour copier un fichier voient s'afficher un message d'erreur pour chaque fichier. Ainsi, les ID utilisateur et ID de groupe sont définis sur nobody dans l'archive.
2097152 ou plus
Les utilisateurs exécutant la commande cpio au format -H odc ou la commande pax -x cpio pour copier des fichiers reçoivent un message d'erreur pour chaque fichier. Ainsi, les ID utilisateur et ID de groupe sont définis sur nobody dans l'archive.
1000000 ou plus
Les utilisateurs exécutant la commande ar ont des ID utilisateur et ID de groupe définis sur nobody dans l'archive.
2097152 ou plus
Les utilisateurs exécutant la commande tar, la commande cpio -H ustar ou la commande pax -x tar ont des ID utilisateur et ID de groupe définis sur nobody.

Groupes UNIX

A groupe est un ensemble d'utilisateurs qui peuvent partager des fichiers et autres ressources système Par exemple, des utilisateurs travaillant sur le même projet peuvent former un groupe. Un groupe est traditionnellement connu comme groupe UNIX.

Chaque groupe doit avoir un nom, un numéro d'identification de groupe (GID) et une liste de noms d'utilisateur appartenant à ce groupe. Un ID de groupe identifie le groupe en interne sur le système.

    Les deux types de groupes auxquels un utilisateur peut appartenir sont les suivants :

  • Groupe principal : groupe assigné par le système d'exploitation aux fichiers créés par l'utilisateur. Chaque utilisateur doit appartenir à un groupe principal.

  • Groupes supplémentaires : autres groupes auxquels un utilisateur appartient. Les utilisateurs peuvent appartenir à 1024 groupes supplémentaires au maximum.

Pour consulter des instructions détaillées sur la configuration des noms de groupe, reportez-vous à la section Recommandations relatives à l'affectation des noms d'utilisateur, ID utilisateur et ID de groupe.

Il peut arriver qu'un groupe secondaire d'utilisateur ne soit pas important. Par exemple, la propriété des fichiers reflète le groupe principal, et pas les groupes secondaires. Toutefois, d'autres applications peuvent se baser sur l'appartenance d'un utilisateur à un groupe secondaire. Par exemple, un utilisateur doit être un membre du groupe sysadmin (groupe 14) pour utiliser le logiciel Admintool dans les versions précédentes d'Oracle Solaris. Cependant, peu importe si le groupe 14 est le groupe principal actif de l'utilisateur.

La commandegroupes affiche la liste des groupes auxquels appartient un utilisateur. Un utilisateur ne peut avoir qu'un groupe principal à la fois. Toutefois, les utilisateurs peuvent modifier temporairement le groupe principal par n'importe quel autre groupe auquel l'utilisateur est membre à l'aide de la commande newgrp.

Quand vous ajoutez un compte utilisateur, vous devez affecter un groupe principal pour un utilisateur ou accepter le groupe par défaut, staff (personnel, groupe 10). Le groupe principal doit déjà exister. Si le groupe principal n'existe pas, indiquez le groupe par un ID de groupe (GID) Si des noms d'utilisateur étaient ajoutés aux groupes principaux, la liste deviendrait trop longue. Avant de pouvoir assigner des utilisateurs à un nouveau groupe secondaire, vous devez créer le groupe et lui assigner un ID de groupe.

Les groupes peuvent appartenir à un système local ou être gérés moyennant un service de dénomination. Afin de simplifier l'administration des groupes, vous devez utiliser un service de noms, tel que NIS ou d'un service d'annuaire, tel que LDAP. Ces services vous permettent de gérer de façon centralisée les appartenances aux groupes.

Mots de passe utilisateur

Vous pouvez spécifier un mot de passe utilisateur lorsque vous ajoutez l'utilisateur. Vous pouvez également imposer à l'utilisateur de spécifier un mot de passe lorsque celui-ci se connecte pour la première fois au système. Bien que les noms d'utilisateur soient connus publiquement, les mots de passe doivent être tenus secrets et transmis uniquement aux utilisateurs. Un mot de passe doit être assigné à chaque compte utilisateur.

    Les mots de passe utilisateur doivent respecter la syntaxe suivante :

  • La longueur du mot de passe est défini par la valeur PASSLENGTHdans le fichier /etc/default/password.

    L'algorithme de hachage du mot de passe par défaut est SHA256. Par conséquent, les mots de passe des utilisateurs ne sont plus limités à huit caractères comme dans les précédentes versions d'Oracle Solaris. La limitation de huit caractères pour les mots de passe s'applique uniquement aux mots de passe qui utilisent l'ancien algorithme crypts_unix(5), lequel a été conservé à des fins de compatibilité avec les éventuelles entrées de fichier passwd et cartes NIS existantes.

    Le nouveau mot de passe doit suivre les règles de complexité dans la limite du nombre de caractères autorisé pour l'algorithme mis en oeuvre. Ainsi, lorsque l'algorithme crypt_unix est utilisé, si vous tapez un mot de passe de 20 caractères, celui-ci doit respecter les règles de complexité dans la plage des 8 premiers caractères. S'il s'agit d'un autre algorithme, il faut respecter les règles de complexité au niveau du mot de passe entier, c'est-à-dire dans la plage des 20 caractères saisis dans cet exemple.

  • Chaque mot de passe doit se plier aux contraintes configurées dans le fichier /etc/default/passwd.

  • Il ne faut pas inclure les mots de passe dans le dictionnaire configuré, comme indiqué dans le fichier /etc/default/passwd.

  • Les nouveaux mots de passe ne doivent pas figurer dans un historique des mots de passe du service de noms.

Les règles de mot de passe sont décrites de manière détaillée dans la page de manuel passwd(1).

Pour que vos systèmes informatique soient mieux sécurisés, les utilisateurs doivent modifier leur mot de passe périodiquement. Pour maintenir un niveau de sécurité élevé, vous devez demander aux utilisateurs de modifier leur mot de passe toutes les six semaines. Pour un niveau de sécurité moins élevé, un changement tous les trois mois est suffisant. Il est recommandé de modifier les connexions d'administration système (telles que root et sys) une fois par mois, ou chaque fois qu'une personne connaissant le mot de passe root quitte l'entreprise ou change d'affectation.

Dans de nombreux cas, les failles de sécurité informatique sont liées à la possibilité de deviner le mot de passe d'un utilisateur légitime. Vous devez vous assurer que les utilisateurs ne définissent par leur mot de passe à partir de noms propres, noms, noms de connexion, ou éléments pouvant être devinés par quiconque les connaissant un peu.

    Choix appropriés pour des mots de passe :

  • Phrases (beammeup).

  • Série de mots dénués de sens et composée des premières lettres de chaque mot d'une phrase. Par exemple, swotrb pour SomeWhere Over The RainBow.

  • Mots dont des lettres sont remplacés par des nombres ou des symboles. Par exemple, sn00py pour snoopy.

    N'utilisez pas les types de mots de passe suivants :

  • votre nom (écrit à l'endroit, à l'envers ou de manière désordonnée) ;

  • noms de membres de votre famille ou d'animaux de compagnie ;

  • numéros d'immatriculation de voiture ;

  • numéros de téléphone ;

  • numéros de sécurité sociale ;

  • numéros d'employé ;

  • mots liés à un passe-temps ou un centre d'intérêts ;

  • thèmes saisonniers, comme Noël en décembre ;

  • N'importe quel mot figurant dans le dictionnaire

Répertoires personnels

Le répertoire personnel est la portion d'un système de fichiers allouée à un utilisateur pour le stockage de fichiers privés. La quantité d'espace alloué à un répertoire personnel dépend de la taille du système sur lequel héberge le répertoire, du type de fichiers créés par l'utilisateur, la taille du fichier, et que le nombre de fichiers qui sont créés.

Un répertoire personnel peut se situé sur le système local de l'utilisateur ou sur un serveur de fichiers distant. Dans les deux cas, par convention, le répertoire personnel doit être créé en tant que /export/home/username. Pour un site de grande taille, vous devez stocker les répertoires personnels sur un serveur. Utilisez un système de fichiers distinct pour chaque utilisateur par exemple, /export/home/alice ou /export/home/bob En créant des systèmes de fichiers distincts pour chaque utilisateur, vous pouvez définir les propriétés ou les attributs en fonction des besoins de chaque utilisateur.

Quel que soit l'emplacement du répertoire personnel, les utilisateurs ont généralement accès à leurs répertoires personnels par le biais d'un point de montage nommé /home/username. Lorsqu'AutoFS est utilisé pour monter des répertoires personnels, vous n'êtes pas autorisé à créer des répertoires sous le point de montage /home sur un système. Le système reconnaît le statut spécial de /home lorsqu'AutoFS est actif. Pour plus d'informations sur le partage et annulation du partage des systèmes de fichiers, reportez-vous à Administration d’Autofs du manuel Gestion des systèmes de fichiers réseau dans Oracle Solaris 11.2

Pour utiliser un répertoire personnel en tout point du réseau, vous devez toujours faire référence au répertoire personnel en tant que $HOME, et pas en tant que /export/home/username. Ce dernier est propre à la machine. En outre, les liens symboliques créés dans le répertoire personnel d'un utilisateur doivent utiliser des chemins d'accès relatifs (par exemple, ../../../x/y/x) pour que les liens restent valides quel que soit l'endroit où le répertoire personnel est monté.

Pour plus d'informations sur l'ajout des répertoires personnels lorsque vous créez des comptes utilisateur avec l'interface de ligne de commande, reportez-vous à Instructions relatives à la configuration des comptes utilisateur.

Services de noms

Quand vous gérez des comptes utilisateirs pour un grand site, vous pouvez envisager l'utilisation d'un service de dénomination ou de répertoires comme LDAP ou NIS. Un service de noms ou d'annuaire vous permet de stocker des informations de compte utilisateur de manière centralisée au lieu de les stocker dans tous les fichiers /etc du système. Lorsque vous utilisez un service de noms ou d'annuaire pour leurs comptes, les utilisateurs peuvent passer d'un système à l'autre avec le même compte sans que leurs informations ne soient dupliquées sur chaque système. L'utilisation d'un service de noms ou d'annuaire garantit également la cohérence des informations des comptes utilisateur.

Environnement de travail de l'utilisateur

Outre le répertoire personnel destiné à créer et stocker des fichiers, les utilisateurs doivent bénéficier d'un environnement leur permettant d'accéder aux outils et ressources dont ils ont besoin pour effectuer leur travail. Lorsqu'un utilisateur se connecte à un système, son environnement de travail est déterminé par les fichiers d'initialisation. Ces fichiers sont définis par le shell de démarrage de l'utilisateur, et peuvent varier en fonction de la version.

Une bonne stratégie de gestion de l'environnement de travail des utilisateurs consiste à fournir des fichiers d'initialisation personnalisés (comme .bash_profile, .bash_login, .kshrc ou .profile) dans le répertoire personnel des utilisateurs.


Remarque -  N'utilisez pas de fichiers d'initialisation système comme /etc/profile ou /etc/.login pour gérer l'environnement d'un utilisateur. Ces fichiers sont stockés localement sur les systèmes et ne sont pas administrés de façon centralisée. Si, par exemple, AutoFS est utilisé pour monter le répertoire personnel d'utilisateur à partir de n'importe quel système sur le réseau, vous devez modifier les fichiers d'initialisation système sur chaque système afin de garantir un environnement cohérent chaque fois qu'un utilisateur se déplace d'un système à l'autre.

Pour plus d'informations sur la personnalisation des fichiers d'initialisation utilisateur pour les utilisateurs, reportez-vous à A propos de l'environnement de travail de l'utilisateur.