Par défaut, root correspond un rôle dans Oracle Solaris. Vous avez la possibilité pour la remplacer par une, modifiez-le (check in) l'utilisateur à un rôle, ou annuler son utilisation.
Vous devez changer root en utilisateur si vous utilisez Oracle Enterprise Managerou si vous suivez le modèle d'administration du superutilisateur traditionnel plutôt que le modèle de droits. Pour plus d'informations, reportez-vous à la sectionModèle par rapport à décider Utiliser pour quel (s) de gestion des droits d'administration.
Si vous suivez une, il peut être utile de modifier le modèle de droits root en utilisateur lors de la mise hors service d'un système a été supprimé du réseau. Dans ce cas, la connexion au système en tant que root simplifie le nettoyage.
De certains sites légitime , compte root n'est pas sur les systèmes de production. Pour enlever l'utilisateur root, reportez-vous à l'Example 5–13
Vous devez exécuter cette procédure sur les systèmes sur lesquels root doit être en mesure de se connecter directement au système.
Avant de commencer
Vous devez prendre le rôle root.
Par exemple, supprimez l'affectation du rôle de deux utilisateurs.
% su - Password: xxxxxxxx # roles jdoe root # roles kdoe root # roles ldoe secadmin # usermod -R "" jdoe # usermod -R "" kdoe #
# rolemod -K type=normal root
Les utilisateurs qui sont actuellement dans le rôle root restent dans le rôle. Les autres utilisateurs disposant d'un accès root peuvent utiliser la commande su pour accéder à root ou se connecter au système en tant qu'utilisateur root.
Vous pouvez utiliser l'une des commandes suivantes.
# getent user_attr root root::::auths=solaris.*;profiles=All;audit_flags=lo\:no;lock_after_retries=no; min_label=admin_low;clearance=admin_high
Si le mot-clé type n'est pas présent dans la sortie ou s'il est égal à normal, le compte n'est pas un rôle.
# userattr type root
Si la sortie est vide ou si elle répertorie normal, le compte n'est pas un rôle.
Dans cet exemple, l'utilisateurroot transforme à nouveau l'utilisateur root en un rôle.
Tout d'abord, l'utilisateur root transforme le compte root en un rôle et vérifie la modification.
# usermod -K type=role root # getent user_attr root root::::type=role...
Ensuite, root affecte le rôle root à un utilisateur local.
# usermod -R root jdoeExemple 5-13 Interdiction de l'utilisation du rôle root pour gérer un système
Dans cet exemple, la stratégie de sécurité du site requiert que le compte root ne puisse pas effectuer la maintenance du système. L'administrateur a créé et testé les rôles qui mettent à jour le système. Ces rôles incluent tous les profils de sécurité et le profil de droits System Administrator (administrateur système). Un rôle pouvant restaurer une sauvegarde a été affecté à un utilisateur de confiance. Ni aucun autre rôle ne peut modifier les indicateurs d'audit pour un utilisateur, rôle ou un profil de droits ou de modifier le mot de passe d'un rôle.
Pour empêcher que le compte root soit utilisé pour effectuer la maintenance du système, l'administrateur de sécurité supprime l'affectation du rôle root. Dans la mesure où le compte root doit être en mesure de se connecter au système en mode monoutilisateur, le compte conserve un mot de passe.
# usermod -K roles= jdoe # userattr roles jdoe
Dépannage
Dans un environnement bureautique, vous ne pouvez pas vous connecter directement en tant que root si root est un rôle. Un message de diagnostic indique que root est un rôle sur votre système.
Si vous ne disposez pas d'un compte local pouvant endosser le rôle root en procédant comme suit :
En tant qu'utilisateurroot, connectez-vous au système en mode monoutilisateur, créez un compte utilisateur local et un mot de passe.
Affectez le rôle root au nouveau compte.
Connectez-vous en tant que ce nouvel utilisateur et endossez le rôle root.