Droits à l'aide de ces caractères, des utilisateurs "

Les tâches et les exemples de cette section les droits d'ajout aux droits que les utilisateurs reçoivent par défaut. Pour plus d'informations à propos des droit, reportez-vous au Chapter 1, A propos de l'utilisation de droits pour contrôle Users and Processes.

• Affecter un rôle à un utilisateur de confiance Exemple-Exemple 3 -4 -1, Exemple, -5 3 3 Example 3–1Example 3–4Example 3–5

• Affecter un profil de droits à un utilisateur de confiance, Exemple-Exemple 3 -19 -10 4 3 -1, Exemple Example 3–10Example 3–19Example 4–1

• Affecter un profil de droits authentifiés à un utilisateur de confiance, - Exemple 3 -2 -11 l'Example 4 Example 3–11Example 4–2

• Affecter une ou de rôle à un utilisateur de confiance, Exemple-Exemple 3 -13 -12 3 Example 3–12Example 3–13

• Affecter des privilèges directement à un utilisateur ou à un rôle, Exemple-Exemple 3 -14 -8 3 3 -15, Exemple Example 3–8Example 3–14Example 3–15

  ---

  Mise en garde  -  L'utilisation inappropriée de privilèges et autorisations attribués directement peut entraîner des violations involontaires de sécurité. Pour plus de détails, reportez-vous à la section Security Considerations When la section Attribution de droits. Considérations relatives à la sécurité lors de la section Attribution de droits

  ---

• Autoriser un utilisateur à utiliser propre mot de passe lorsqu'ils endossent un rôle, Exemple-Exemple 3 -17 -16 3 Example 3–16Example 3–17

• Modification d'un profil de droits -22 - Exemple 3 Example 3–22

• Ajouter l'attribut de sécurité à une commande dans un profil de droits-Exemple 3 -27 -26, Exemple, Exemple -7 3 5 Example 3–26Example 3–27Example 5–7

• Activer l'utilisateur doit lire unepossédé par un utilisateur root, fichier Exemple-Exemple 3 -20 -19 3 Example 3–19Example 3–20

• Permettre à des utilisateurs ou rôles possédé par un utilisateur root pour modifier un fichier -9 : Example 5 Example 5–9

• Attribution d'un profil de droits est dotée d'une nouvelle -11 Authozation (Autorisation) : l'Example 5 Example 5–11

Exemple 3-10  Création d'un utilisateur pouvant Administrer DHCP

L'administrateur de sécurité crée un utilisateur qui peut administrer DHCP.

# useradd -P "DHCP Management" -s /usr/bin/pfbash -S ldap  jdoe

La mesure où pfbash est affecté, car l'utilisateur comme shell de connexion, les droits d'accès dans la profil de droits de gestion de DHCP sont toujours évaluées comme devant DHCP d'administration, de sorte que les commandes aboutissent.

Exemple 3-11  Le mot de passe, qui requiert un avant l'utilisateur à entrer Administering DHCP

Dans cet exemple jdoe, l'administrateur de sécurité requiert avant de gérer des utilisateurs à saisir un mot de passe DHCP.

# usermod -K auth_profiles="DHCP Management" profiles="Edit Administrative Files" jdoe

Lorsque l'utilisateur jdoe saisit une commande DHCP, une invite de mot de passe s'affiche. Le DHCP après l'authentification d'exécution de la commande de jdoe,. En ordre de recherche, les profils de droits sont traitées avant authentifié profils standard.

jdoe% dhcpconfig -R 120.30.33.7,120.30.42.132
Password: xxxxxxxx  
/** Command completes **/

Exemple 3-12  Affectation d'autorisations directement à un utilisateur

Dans cet exemple, l'administrateur de sécurité créer un utilisateur local qui peut contrôler la luminosité de l'écran.

# useradd -c "Screened KDoe, local" -s /usr/bin/pfbash \
-A solaris.system.power.brightness  kdoe

Cette autorisation est ajoutée aux affectations d'autorisation existantes de l'utilisateur.

Exemple 3-13  Affectation d'autorisations à un rôle

Dans cet exemple, l'administrateur de sécurité crée un rôle pouvant modifiez les données de configuration du service du serveur DNS.

# roleadd -c "DNS administrator role" -m -A solaris.smf.manage.bind" dnsadmin

Exemple 3-14  Affectation de privilèges directement à un utilisateur

Dans cet exemple, l'administrateur de sécurité confie à l'utilisateur jdoe un privilège très spécifique qui affecte le temps système. Pour savoir comment attribuer le privilège à un rôle, consultez l'Example 3–8.

# usermod -K defaultpriv='basic,proc_clock_highres' kdoe

Les valeurs pour le mot-clé defaultpriv remplacent les valeurs existantes. Par conséquent, pour que l'utilisateur conserve les privilèges basic, la valeur basic est spécifiée. Dans la configuration par défaut, tous les utilisateurs disposent de privilèges de base. Pour obtenir la liste des privilèges, reportez-vous à la section Liste des privilèges.

L'utilisateur peut visualiser que les nouvelles privilège et sa définition.

kdoe% ppriv -v $$
1800:   pfksh
flags = <none>
        E: file_link_any,…,proc_clock_highres,sys_ib_info
        I: file_link_any,…,proc_clock_highres,sys_ib_info
        P: file_link_any,…,proc_clock_highres,sys_ib_info
        L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,...,win_upgrade_sl
% ppriv -vl proc_clock_highres
        Allows a process to use high resolution timers.

Exemple 3-15  De l'ajout de privilèges de base à un rôle

Dans l'exemple suivant, des privilèges ont été directement attribués au rôle realtime pour gérer les programmes de date et d'heure. Vous avez affecté proc_clock_highres à realtime dans l'Example 3–8.

# rolemod -K defaultpriv='basic,sys_time' realtime

% su - realtime
Password: xxxxxxxx
# ppriv -v $$
1600:   pfksh
flags = <none>
        E: file_link_any,...,proc_clock_highres,sys_ib_info,sys_time
        I: file_link_any,...,proc_clock_highres,sys_ib_info,sys_time
        P: file_link_any,...,proc_clock_highres,sys_ib_info,sys_time
        L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,...,sys_time

Exemple 3-16  Autorisation d'un utilisateur le mot de passe pour l'autorisation d'utiliser son propre mot de passe du rôle

Par défaut, les utilisateurs doivent entrer le mot de passe du rôle pour prendre un rôle. En exigeant un mot de passe de l'utilisateur, l'administrateur rend la prise d'un rôle dans Oracle Solaris similaire à la prise d'un rôle dans un environnement Linux.

# rolemod -K roleauth=user auditrev

Pour endosser ce rôle, les utilisateurs affectés peuvent désormais utiliser leur propre mot de passe, et non pas le mot de passe qui a été spécifiquement créé pour le rôle.

Si d'autres rôles ont été affectés à l'utilisateur, celui-ci utilise son propre mot de passe pour ces rôles également.

Exemple 3-17  Modification d'un profil de droits to Enable a User to Use Own Password pour mot de passe du rôle

# profiles -p "Local System Administrator"
profiles:Local System Administrator> set roleauth="user"
profiles:Local System Administrator> end
profiles:Local System Administrator> exit

Lorsqu'un utilisateur bénéficiant du profil de droits Local System Administrator (administrateur système local) veut endosser le rôle, cet utilisateur est invité à saisir un mot de passe. Dans la séquence suivante, le nom du rôle est admin :

% su - admin
Password: xxxxxxxx
# /** You are now in a profile shell with administrative rights**/

Exemple 3-18  Modification de la valeur roleauth pour un rôle dans le référentiel LDAP

Dans cet exemple, le rôle root permet à tous les utilisateurs pouvant prendre le rôle secadmin d'utiliser leur propre mot de passe lorsqu'ils prennent un rôle. Cette capacité est accordée à ces utilisateurs pour tous les systèmes qui sont gérés par le serveur LDAP.

# rolemod -S ldap -K roleauth=user secadmin

Exemple 3-19  L'activation d'un utilisateur sécurisé des fichiers à lire la comptabilisation étendue

Vous pouvez activer un utilisateur ou un groupe d'utilisateurs de confiance de lire un fichier dont le propriétaire est le compte root. Ce droit peut être utile pour les utilisateurs qui peuvent exécuter une application administrative possédé par un utilisateur root qui fait l'objet d'un fichier. Cet exemple ajoute un ou plusieurs scripts Perl net au profil de droits de gestion de la comptabilisation étendue.

Après avoir assumé le rôle root, l'administrateur crée un profil de droits qui ajoute la prise en charge la possibilité de lire le fichiers dont le nom commence par comptable. network

Le profil suivant utilise la stratégie de privilège étendue pour accorder le privilège file_dac_read à un script qui pourra ensuite accéder à des fichiers uniquement. /var/adm/exacct/network* Ce profil ajoute le profil de droits existant Extended Accounting Net Management (gestion de réseau de comptabilité étendu) en tant que profil de droits supplémentaire.

# profiles -p "Extended Accounting Perl Scripts"
profiles:Extended Accounting Perl Scripts > 
set desc="Perl Scripts for Extended Accounting"
... Scripts> add profiles="Extended Accounting Net Management"
... Scripts> add cmd=/usr/local/bin/exacctdisp.pl
... Scripts:exacctdisp.pl> set privs={file_dac_read}:/var/adm/exacct/network*
... Scripts:exacctdisp.pl> end
... Scripts> commit
... Scripts> exit

Pour consulter des exemples de scripts, reportez - Utilisation de l’interface Perl pour accéder à libexacct du manuel Administration de la gestion des ressources dans Oracle Solaris 11.2

Après avoir vérifié s'il existe des erreurs dans le profil de droits, tels que les entrées des erreurs typographiques, les omissions ou les répétitions, l'administrateur affecte un profil de droits la comptabilisation étendue scripts Perl à un rôle ou à un utilisateur.

# profiles -p "Extended Accounting Perl Scripts" info
Found profile in files repository.
name=Extended Accounting Perl Scripts
desc=Perl Scripts for Extended Accounting
profiles=Extended Accounting Net Management
cmd=/usr/local/bin/exacctdisp.pl
privs={file_dac_read}:/var/adm/exacct/network*

# rolemod -K profiles+="Extended Accounting Perl Scripts" rolename
# usermod -K profiles+="Extended Accounting Perl Scripts" username

Exemple 3-20  Compte, de façon àdisposer d'un non-racine la route pour lire un fichier racine

Dans cet exemple, l'administrateur crée un profil de droits qui utilise la stratégie de privilège étendue des rôles pour permettre aux utilisateurs autorisés à lire le fichier et appartenant à root. /var/adm/sulog L'administrateur ajoute les commandes que l'utilisateur peut se servir pour lire le fichier. Commandes ne peuvent pas être utilisées non répertorié, telles que la commande. head

# profiles -p "Read sulog File"
profiles:Read sulog File 
set desc="Read sulog File"
... File> add profiles="Read Log Files"
... File> add cmd=/usr/bin/cat
... File:cat> set privs={file_dac_read}:/var/adm/sulog
... File:cat> end
... File> add cmd=/usr/bin/less
... File:less> set privs={file_dac_read}:/var/adm/sulog
... File:less> end
... File> add cmd=/usr/bin/more
... File:more> set privs={file_dac_read}:/var/adm/sulog
... File:more> end
... File> add cmd=/usr/bin/page
... File:page> set privs={file_dac_read}:/var/adm/sulog
... File:page> end
... File> add cmd=/usr/bin/tail
... File:tail> set privs={file_dac_read}:/var/adm/sulog
... File:tail> end
... File> add cmd=/usr/bin/view
... File:head> set privs={file_dac_read}:/var/adm/sulog
... File:head> end
... File> commit
... File> exit

La commande viewpermet à l'utilisateur de lire un fichier mais pas pour la modifier.