A l'aide de vos droits administratifs attribués

Dans le rôle root, l'utilisateur initial dispose de tous les droits d'administration. En tant qu'utilisateur root, cet utilisateur peut affecter les droits d'administration, tels que les rôles, un profil de droits, des privilèges et des autorisations à ou spécifique aux utilisateurs de confiance. Cette section décrit la façon dont ces utilisateurs peuvent se servir de leurs droits affectés.

Pour effectuer vos tâches administratives, ouvrez une fenêtre de terminal et choisissez l'une des options suivantes :

• Si vous utilisez sudo, saisissez la commande sudo.

  Pour les administrateurs qui maîtrisent la commande,sudo exécutez la commande avec le nom d'une commande d'administration, qui vous ont été affectés dans le fichier. sudoers Pour plus d'informations, consultez les pages de manuel sudo (1M) et sudoers (4) .

• Si votre tâche exige des privilèges de superutilisateur, devenez l'utilisateur root.

  % su -
  Password: xxxxxxxx
  #

  ---

  Remarque -  Cette méthode fonctionne aussi bien lorsque root est un utilisateur que lorsqu'il est un rôle. L'invite avec le signe dièse (#) indique que vous êtes maintenant l'utilisateur root.

  ---

• Si votre tâche est affectée à un rôle, prenez le rôle qui ne peuvent pas effectuer cette tâche.

  Dans l'exemple suivant, vous prenez un rôle de configuration d'audit. Ce rôle inclut le profil de droits Audit Configuration (configuration d'audit). Vous avez reçu le mot de passe du rôle à votre administrateur.

  % su - audadmin
  Password: xxxxxxxx
  #

  ---

  Conseil  -  Si vous n'avez pas reçu un mot de passe du rôle, cela signifie que l'administrateur a configuré le rôle de façon à exiger votre mot de passe utilisateur. Saisissez votre mot de passe de l'utilisateur à assumer un rôle. Pour plus d'informations sur cette option, reportez-vous à l'Example 3–16.

  ---

  Le shell dans lequel vous avez tapé cette commande est désormais un shell de profil. Dans ce shell, vous pouvez exécuter la commande auditconfig. Pour en savoir plus sur les shells de profil, reportez-vous à la section Shells de profil et des droits de vérification.

  ---

  Conseil  -  Pour en visualiser les droits de votre rôle, reportez-vous à la section Liste des profils de droits

  ---

• Si votre tâche vous est directement attribuée, créez un shell de profil de l'une des manières suivantes :

  • Utilisez la commande pfbash pour créer un shell qui évalue les droits d'administration.

    Dans l'exemple suivant, le profil de droits Audit Configuration (configuration d'audit) vous a été directement assigné. Par exemple, le jeu de commandes ci-après vous permet de visualiser les valeurs de présélection d'audit et la stratégie d'audit dans le shell de profil pfbash :

    % pfbash
    # auditconfig -getflags
    active user default audit flags = ua,ap,lo(0x45000,0x45000)
    configured user default audit flags = ua,ap,lo(0x45000,0x45000)
    # auditconfig -getpolicy
    configured audit policies = cnt
    active audit policies = cnt

  • Utilisez la commande pfexec pour exécuter une commande d'administration.

    Dans l'exemple suivant, le profil de droits Audit Configuration (configuration d'audit) vous a directement été assigné en tant que profil de droits authentifié. Vous pouvez exécuter une commande privilégiée de ce profil à l'aide de la commande avec le nom de cette commande. pfexec Par exemple, vous pouvez visualiser les indicateurs d'audit présélectionnés de l'utilisateur, procédez comme suit :

    % pfexec auditconfig -getflags
    Enter password: Type your user password
    active user default audit flags = ua,ap,lo(0x45000,0x45000)
    configured user default audit flags = ua,ap,lo(0x45000,0x45000)

    En règle générale, pour exécuter une autre commande privilégiée concernée par les droits, vous devez entrer une nouvelle fois avant de taper la commande privilégiée. pfexec Pour plus d'informations, reportez-vous à la page de manuel pfexec(1). Si vous êtes configurés avec une mise ne cache de mot de passe, vous pouvez exécuter les commandes suivante dans un intervalle configurable sans fournir de mot de passe, comme l'indique l'Example 5–2.

Si vous n'êtes pas connecté en tant qu'utilisateur root avec l'ID utilisateur 0, par défaut, vous ne pouvez pas modifier les fichiers système. Toutefois, si l'autorisation solaris.admin.edit/ path-to-system-file vous est affectée, vous pouvez modifier system-file . Par exemple, si l'autorisation solaris.admin.edit/etc/security/audit_warn vous a été attribuée, vous pouvez modifier le fichier audit_warn à l'aide de la commande pfedit.

# pfedit /etc/security/audit_warn

Pour plus d'informations, reportez-vous à la page de manuel pfedit (4) . Cette commande est destiné à être utilisé par tous les administrateurs.

Dans cet exemple, l'administrateur configure un rôle pour gérer la configuration d'audit et facilite son utilisation mettant en cache l'authentification de l'utilisateur. Tout d'abord, l'administrateur crée et affecte le rôle.

# roleadd -K roleauth=user -P "Audit Configuration" audadmin
# usermod -R +audadmin jdoe

Quand jdoe utilise l'option –c lors du changement de rôle, un mot de passe est requis avant que la sortie auditconfig ne s'affiche :

% su - audadmin -c auditconfig option
Password: xxxxxxxx 
auditconfig output

Si l'authentification n'est pas mise en cache, lorsque jdoe réexécute la commande, une invite de mot de passe s'affiche.

L'administrateur crée un fichier dans le répertoire pam.d pour contenir une de pile d'authentification qui permet la mise en cache. su Lorsque celle-ci est mis en mémoire cache, le mot de passe est requis initialement mais pas par la suite jusqu'à ce qu'une certaine quantité de temps s'est écoulé.

# pfedit /etc/pam.d/su
## Cache authentication for switched user
#
auth required           pam_unix_cred.so.1
auth sufficient         pam_tty_tickets.so.1
auth requisite          pam_authtok_get.so.1
auth required           pam_dhkeys.so.1
auth required           pam_unix_auth.so.1

Après avoir créé le fichier, l'administrateur vérifie les fautes de frappe, omissions ou répétitions dans les entrées.

L'administrateur doit fournir la pile su précédente entière. La module pam_tty_tickets.so.1 met en oeuvre le cache. Pour plus d'informations sur PAM, consultez les pages de manuel pam_tty_tickets(5) et pam.conf(4), ainsi que le Chapitre 1, Utilisation de modules d’authentification enfichables du manuel Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.2 .

Une fois que l'administrateur a ajouté le fichier PAM su et réinitialisé le système, tous les rôles, y compris le rôle audadmin, sont invités une seule fois à saisir un mot de passe lors de l'exécution d'une série de commandes.

% su - audadmin -c auditconfig option
Password: xxxxxxxx 
auditconfig output
% su - audadmin -c auditconfig option 
auditconfig output
...

Dans l'exemple suivant, l'utilisateur initial prend le rôle root et répertorie les privilèges dans le shell du rôle.

% roles
root
% su - root
Password: xxxxxxxx
# Prompt changes to root prompt
# ppriv $$
1200:   pfksh
flags = <none>
        E: all
        I: basic
        P: all
        L: all

Pour plus d'informations sur les privilèges, reportez-vous à la page de manuel Processus Rights Management and the ppriv(1).

Dans cet exemple, l'utilisateur endosse un rôle que l'administrateur a attribué ARMOR.

Dans une fenêtre de terminal, l'utilisateur détermine les rôles attribués.

% roles
fsadm
sysop

L'utilisateur endosse le rôle fsadm et fournit le mot de passe de l'utilisateur.

% su - fsadm
Password: xxxxxxxx
#

La commande su - rolename remplace le shell du terminal par un shell de profil. L'utilisateur est désormais le rôle fsadm dans cette fenêtre de terminal.

Pour déterminer quelles commandes ne peut être exécutée dans ce rôle, l'utilisateur suit les instructions à la section Listing Rights Profiles. Liste des profils de droits