Dans le rôle root, l'utilisateur initial dispose de tous les droits d'administration. En tant qu'utilisateur root, cet utilisateur peut affecter les droits d'administration, tels que les rôles, un profil de droits, des privilèges et des autorisations à ou spécifique aux utilisateurs de confiance. Cette section décrit la façon dont ces utilisateurs peuvent se servir de leurs droits affectés.
Pour effectuer vos tâches administratives, ouvrez une fenêtre de terminal et choisissez l'une des options suivantes :
Si vous utilisez sudo, saisissez la commande sudo.
Pour les administrateurs qui maîtrisent la commande,sudo exécutez la commande avec le nom d'une commande d'administration, qui vous ont été affectés dans le fichier. sudoers Pour plus d'informations, consultez les pages de manuel sudo (1M) et sudoers (4) .
Si votre tâche exige des privilèges de superutilisateur, devenez l'utilisateur root.
% su - Password: xxxxxxxx #
Si votre tâche est affectée à un rôle, prenez le rôle qui ne peuvent pas effectuer cette tâche.
Dans l'exemple suivant, vous prenez un rôle de configuration d'audit. Ce rôle inclut le profil de droits Audit Configuration (configuration d'audit). Vous avez reçu le mot de passe du rôle à votre administrateur.
% su - audadmin Password: xxxxxxxx #
Le shell dans lequel vous avez tapé cette commande est désormais un shell de profil. Dans ce shell, vous pouvez exécuter la commande auditconfig. Pour en savoir plus sur les shells de profil, reportez-vous à la section Shells de profil et des droits de vérification.
Si votre tâche vous est directement attribuée, créez un shell de profil de l'une des manières suivantes :
Utilisez la commande pfbash pour créer un shell qui évalue les droits d'administration.
Dans l'exemple suivant, le profil de droits Audit Configuration (configuration d'audit) vous a été directement assigné. Par exemple, le jeu de commandes ci-après vous permet de visualiser les valeurs de présélection d'audit et la stratégie d'audit dans le shell de profil pfbash :
% pfbash # auditconfig -getflags active user default audit flags = ua,ap,lo(0x45000,0x45000) configured user default audit flags = ua,ap,lo(0x45000,0x45000) # auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt
Utilisez la commande pfexec pour exécuter une commande d'administration.
Dans l'exemple suivant, le profil de droits Audit Configuration (configuration d'audit) vous a directement été assigné en tant que profil de droits authentifié. Vous pouvez exécuter une commande privilégiée de ce profil à l'aide de la commande avec le nom de cette commande. pfexec Par exemple, vous pouvez visualiser les indicateurs d'audit présélectionnés de l'utilisateur, procédez comme suit :
% pfexec auditconfig -getflags Enter password:Type your user password active user default audit flags = ua,ap,lo(0x45000,0x45000) configured user default audit flags = ua,ap,lo(0x45000,0x45000)
En règle générale, pour exécuter une autre commande privilégiée concernée par les droits, vous devez entrer une nouvelle fois avant de taper la commande privilégiée. pfexec Pour plus d'informations, reportez-vous à la page de manuel pfexec(1). Si vous êtes configurés avec une mise ne cache de mot de passe, vous pouvez exécuter les commandes suivante dans un intervalle configurable sans fournir de mot de passe, comme l'indique l'Example 5–2.
Si vous n'êtes pas connecté en tant qu'utilisateur root avec l'ID utilisateur 0, par défaut, vous ne pouvez pas modifier les fichiers système. Toutefois, si l'autorisation solaris.admin.edit/ path-to-system-file vous est affectée, vous pouvez modifier system-file . Par exemple, si l'autorisation solaris.admin.edit/etc/security/audit_warn vous a été attribuée, vous pouvez modifier le fichier audit_warn à l'aide de la commande pfedit.
# pfedit /etc/security/audit_warn
Pour plus d'informations, reportez-vous à la page de manuel pfedit (4) . Cette commande est destiné à être utilisé par tous les administrateurs.
Exemple 5-2 Mise en cache de l'authentification pour faciliter l'utilisation des rôlesDans cet exemple, l'administrateur configure un rôle pour gérer la configuration d'audit et facilite son utilisation mettant en cache l'authentification de l'utilisateur. Tout d'abord, l'administrateur crée et affecte le rôle.
# roleadd -K roleauth=user -P "Audit Configuration" audadmin # usermod -R +audadmin jdoe
Quand jdoe utilise l'option –c lors du changement de rôle, un mot de passe est requis avant que la sortie auditconfig ne s'affiche :
% su - audadmin -c auditconfig option Password: xxxxxxxxauditconfig output
Si l'authentification n'est pas mise en cache, lorsque jdoe réexécute la commande, une invite de mot de passe s'affiche.
L'administrateur crée un fichier dans le répertoire pam.d pour contenir une de pile d'authentification qui permet la mise en cache. su Lorsque celle-ci est mis en mémoire cache, le mot de passe est requis initialement mais pas par la suite jusqu'à ce qu'une certaine quantité de temps s'est écoulé.
# pfedit /etc/pam.d/su ## Cache authentication for switched user # auth required pam_unix_cred.so.1 auth sufficient pam_tty_tickets.so.1 auth requisite pam_authtok_get.so.1 auth required pam_dhkeys.so.1 auth required pam_unix_auth.so.1
Après avoir créé le fichier, l'administrateur vérifie les fautes de frappe, omissions ou répétitions dans les entrées.
L'administrateur doit fournir la pile su précédente entière. La module pam_tty_tickets.so.1 met en oeuvre le cache. Pour plus d'informations sur PAM, consultez les pages de manuel pam_tty_tickets(5) et pam.conf(4), ainsi que le Chapitre 1, Utilisation de modules d’authentification enfichables du manuel Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.2 .
Une fois que l'administrateur a ajouté le fichier PAM su et réinitialisé le système, tous les rôles, y compris le rôle audadmin, sont invités une seule fois à saisir un mot de passe lors de l'exécution d'une série de commandes.
% su - audadmin -c auditconfig option Password: xxxxxxxxExemple 5-3 Prise du rôle rootauditconfig output % su - audadmin -c auditconfig optionauditconfig output ...
Dans l'exemple suivant, l'utilisateur initial prend le rôle root et répertorie les privilèges dans le shell du rôle.
% roles root % su - root Password: xxxxxxxx #Prompt changes to root prompt # ppriv $$ 1200: pfksh flags = <none> E: all I: basic P: all L: all
Pour plus d'informations sur les privilèges, reportez-vous à la page de manuel Processus Rights Management and the ppriv(1).
Exemple 5-4 Prise du rôle ARMORDans cet exemple, l'utilisateur endosse un rôle que l'administrateur a attribué ARMOR.
Dans une fenêtre de terminal, l'utilisateur détermine les rôles attribués.
% roles fsadm sysop
L'utilisateur endosse le rôle fsadm et fournit le mot de passe de l'utilisateur.
% su - fsadm Password: xxxxxxxx #
La commande su - rolename remplace le shell du terminal par un shell de profil. L'utilisateur est désormais le rôle fsadm dans cette fenêtre de terminal.
Pour déterminer quelles commandes ne peut être exécutée dans ce rôle, l'utilisateur suit les instructions à la section Listing Rights Profiles. Liste des profils de droits