Cette section décrit les commandes permettant de créer et modifier les rôles et les utilisateurs. Pour créer ou modifier des profils de droits, reportez-vousCréation d'un profil de droitsClonage et modification d'un profil de droits système
Pour plus d'informations sur les rôles, reportez-vous à Droits d'utilisateur et traitement notions de base relatives à Oracle. Informations de base sur les droits des utilisateurs et les droits des processus
Les actions principales lors de la création de ainsi que la modification des rôles et les utilisateurs sont les suivantes :
Création d'un rôle
Création d'un utilisateur de confiance
Modification des droits d'un rôle
Modification des droits d'un utilisateur
Afin de permettre aux utilisateurs d'utiliser leur propre mot de passe pour endosser un rôle
Modification d'un mot de passe de rôle
Suppression d'un rôle
Si vous avez l'intention d'utiliser les rôles, vous disposez de plusieurs options. Vous pouvez installer le ARMOR les rôles prédéfinis à partir de et de les utiliser en mode exclusif. En outre, vous pouvez créer des rôles et leur attribuer les mots de passe. ARMOR les rôles avec vous pouvez utiliser les rôles que vous créez.
Pour utiliser, reportez-vous à l'Example 3 ARMOR -1 des rôles. Example 3–1
Pour créer vos propres rôles, vous utilisez la commande. roleadd de cette commande, reportez-vous à la page de manuel roleadd(1M).
Par exemple, les commandes suivantes créent un rôle d'administrateur des utilisateurs local avec un répertoire d'accueil et un shell de connexion pfbash, puis créent un mot de passe pour le rôle :
# roleadd -c "User Administrator role, local" \ -m -K profiles="User Security,User Management" useradm 80 blocks # ls /export/home/useradm local.bash_profile local.login local.profile # passwd useradm Password: xxxxxxxx Confirm Password: xxxxxxxx
avec
Décrit le rôle.
Crée un répertoire personnel.
Affecte une ou plusieurs profils de droits au rôle. Pour la liste des profils de droits, reportez-vous à la section Listing Rights Profiles. Liste des profils de droits
Nom du rôle. Pour connaître les restrictions sur les chaînes acceptables, reportez-vous à la page de manuel roleadd(1M).
Dans cet exemple, les rôles l'administrateur de sécurité installe ARMOR standard sont définis par le. L'administrateur vérifie premièrement que des noms de rôle ne sont pas en conflit avec les comptes existants, puis procède à l'installation du module, affiche les définitions de rôle, et affectez-les à aux utilisateurs de confiance.
Tout d'abord, l'administrateur s'assure que les ID utilisateur et les noms suivants n'existent pas dans le service de noms, procédez comme suit :
57 auditadm
55 fsadm
58 pkgadm
53 secadm
56 svcadm
59 sysop
54 useradm
Après vérification que les UID et noms ne sont pas utilisés, l'administrateur installe le package.
# pkg install system/security/armor
Les rôles et le package sept locale (Home) crée les répertoires du répertoire. /export/home
Pour en visualiser les droits de chaque rôle, l'administrateur permet d'établir la liste des profils qui sont affectés à chaque rôle.
# profiles auditadm # profiles fsadm # profiles pkgadm # profiles secadm # profiles svcadm # profiles sysop # profiles useradm
Ces droits les affectations ne peuvent pas être modifié. Pour créer une configuration différente de droits, vous devez créer de nouveaux rôles, puis nouveaux profils de droits en suivant la procédure expliquée dans Comment clonage et modification d'un profil de droits système. Clonage et modification d'un profil de droits système
Enfin, l'administrateur affectez-les à aux utilisateurs de confiance. Mot de passe de l'utilisateur sont utilisées pour l'authentification par rapport au rôle. Certains utilisateurs sont d'affectation de plusieurs rôles. Les rôles dont les tâches sont liés à des échéances sont affectés à plus d'un utilisateur de confiance.
# usermod -R=auditadm adal # usermod -R=fsadm,pkgadm bdewey # usermod -R=secadm,useradm cfoure # usermod -R=svcadm ghamada # usermod -R=svcadm yjones # usermod -R=sysop hmurtha # usermod -R=sysop twongExemple 3-2 Création d'un rôle d'administrateur des utilisateurs dans le référentiel LDAP
L'administrateur crée un rôle d'administrateur des utilisateurs dans LDAP. L'utilisateur fournit un mot de passe lorsqu'ils prennent le rôle, puis n'a pas besoin de fournir un mot de passe pour différentes commandes.
# roleadd -c "User Administrator role, LDAP" -m -S ldap \ -K profiles="User Security,User Management" useradmExemple 3-3 Création de rôles pour la séparation des tâches
L'administrateur crée deux rôles. Le rôle usermgt peut créer des utilisateurs, leur attribuer des répertoires d'accueil et effectuer d'autres tâches non liées à la sécurité. Le rôle usersec ne peut pas créer d'utilisateurs, mais peut affecter les affectations des mots de passe et modifier d'autres droits. Ni le rôle peut définir des indicateurs d'audit pour des utilisateurs ou des rôles, ou modifier un mot de passe du rôle. Le rôleroot doivent effectuer ces actions.
# roleadd -c "User Management role, LDAP" -s /usr/bin/pfksh \ -m -S ldap -K profiles="User Management" usermgt # roleadd -c "User Security role, LDAP" -s /usr/bin/pfksh \ -m -S ldap -K profiles="User Security" usersec
L'administrateur s'assure que deux personnes sont nécessaires à la création dans l'exemple 3 chaque -5 utilisateur standard. Example 3–5
Exemple 3-4 Création et attribution d'un rôle pour administrer Cryptographic ServicesDans cet exemple, l'administrateur sur un réseau LDAP crée un rôle pour administrer la structure cryptographique et affecte le rôle à l'UID 1111.
# roleadd -c "Cryptographic Services manager" \ -g 14 -m -u 104 -S ldap -K profiles="Crypto Management" cryptmgt # passwd cryptmgt New Password: xxxxxxxx Confirm password: xxxxxxxx # usermod -u 1111 -R +cryptmgt
L'utilisateur avec l'UID 1111 se connecte, puis endosse le rôle et affiche les attributs de sécurité affectés.
% su - cryptmgt
Password: xxxxxxxx
# profiles -l
Crypto Management
/usr/bin/kmfcfg euid=0
/usr/sbin/cryptoadm euid=0
/usr/sfw/bin/CA.pl euid=0
/usr/sfw/bin/openssl euid=0
#
Pour plus d'informations sur la structure cryptographique Structure cryptographique d ',Chapitre 1, Structure cryptographique du manuel Gestion du chiffrement et des certificats dans Oracle Solaris 11.2 Pour l'administration de la structure, reportez-vous Administration de la structure cryptographique du manuel Gestion du chiffrement et des certificats dans Oracle Solaris 11.2
Vous utilisez la commande permettant de créer des informations de connexion. useradd Pour consulter la liste complète des arguments de la commande useradd, reportez-vous à la page de manuel useradd(1M). Les arguments liés aux droits de la commande sont similaires à la commande roleadd, avec l'ajout de l'option –R rolename.
Si vous affectez un rôle à un utilisateur, il pourra l'utiliser après avoir assumé le rôle de droits d'accès du rôle. Par exemple, la commande suivante crée un utilisateur de confiance useradm qui peut prendre le rôle que vous avez créé pour un dans la section Création d'un utilisateur sécurisé de connexion. Pour une création d'un utilisateur sécurisé de connexion
# useradd -c "Trusted Assistant User Manager user" -m -R useradm jdoe 80 blocks # ls /export/home/jdoe local.bash_profile local.login local.profile
Détermine le shell de connexion pour le nom d'utilisateur. Ce shell peut être un shell de profil, tel que pfbash. Pour savoir dans quels affecter un shell de profil à un utilisateur de confiance, reportez-vous à Considérations lors de la section Attribution de droits, qui ont été entièrement. Considérations relatives à l'utilisation lors de la section Attribution de droits Pour obtenir une liste des shells de profil, reportez-vous à la page de manuel pfexec(1).
Affecte le nom d'un rôle existant.
Pour voir d'autres exemples, consultez la section Configuration et gestion des comptes utilisateur avec l’interface de ligne de commande du manuel Gestion des comptes utilisateur et des environnements utilisateur dans Oracle Solaris 11.2 .
Vous utilisez la commandeusermod pour modifier un compte utilisateur. Pour consulter la liste complète des arguments de la commande usermod, reportez-vous à la page de manuel usermod(1M). Arguments la liés aux droits de la commande sont similaires à la commande. useradd
Si vous affectez un profil de droits à un utilisateur, l'utilisateur peut utiliser les droits d'accès nécessaires une fois que l'utilisateur ouvre un shell de profil. Par exemple, pour affecter un profil de droits à un utilisateur :
# usermod -K profiles="User Management" kdoe
Les modifications sont prises en compte à la prochaine connexion de l'utilisateur. Pour les utilisateurs pour plus d'informations sur l'utilisation, reportez-vous les droits leur étant affectés à la section Using Your Assigned Administrative Rights. A l'aide de vos droits administratifs attribués
Exemple 3-5 L'ajout d'un rôle à un utilisateurDans cet exemple, l'administrateur s'assure que deux requises pour créer des utilisateurs de confiance de l'autorisation des utilisateurs standard. La création des rôles dans l'exemple 3 -3. Example 3–3
# usermod -R +useradm jdoe # usermod -R +usersec mdoe
Vous utilisez la commande permettantrolemod de modifier un compte de rôle. Pour consulter la liste complète des arguments de la commande rolemod, reportez-vous à la page de manuel rolemod(1M). Arguments la liés aux droits de la commande sont similaires à la commande. roleadd
Les valeurs de paireskey = value,ainsi que les options A, P et R peuvent être modifiées par le signe moins () ou plus (). ––––– Le signe – indique que la valeur doit être soustraite des valeurs actuellement affectées. Le signe – indique que la valeur doit être ajoutée aux valeurs actuellement affectées. Pour les profils de droits, la valeur est ajouté au début de la liste actuelle des profils. Pour connaître les effets de profil de droits en cours, reportez-vous à une version antérieure à la section Order of Search for Assigned Rights. Ordre de recherche pour Assigned Rights
Exemple 3-6 Comme l'ajout d'un profil de droits de premier profil de droits de rôlePar exemple, ajoutez le préfixe useradm un profil de droits à ce rôle, procédez comme suit :
# rolemod -K profiles+="Device Management" useradm # profiles useradm useradm: Device Management User Management User SecurityExemple 3-7 Affecté (e) en remplaçant les profils d'un rôle local
Dans cet exemple, l'administrateur de sécurité modifie le rôle prtmgt afin d'inclure le profil de droits VSCAN Management (gestion VSCAN) après le profil de droits Printer Management (Gestion d'imprimantes).
# rolemod -c "Handles printers and virus scanning" \ -P "Printer Management,VSCAN Management,All" prtmgtExemple 3-8 Affectation de privilèges directement à un rôle
Dans cet exemple, l'administrateur de sécurité confie au rôle realtime un privilège très spécifique qui affecte le temps système. Pour affecter le privilège à un utilisateur, reportez-vous à l'Example 3–14
# rolemod -K defaultpriv+='proc_clock_highres' realtime
Les valeurs pour le mot-clé defaultpriv se trouvent dans la liste des privilèges dans les processus du rôle à tout moment.
Pour permettre aux utilisateurs d'utiliser leur propre mot de passe au lieu d'un mot de passe du rôle lorsqu'un utilisateur endosse un rôle, modifier le rôle.
La commande suivante vous permet d'activer tous les utilisateurs auxquels le rôle àutiliser leur propre useradm propre mot de passe lorsqu'ils endossent affectés à un rôle, y compris les useradm rôle.
# rolemod -K roleauth=user useradm
Dans la mesure où un rôle peut être assigné à de nombreux utilisateurs, les utilisateurs concernés ne peuvent pas modifier le mot de passe du rôle. Vous devez être dans le rôle root pour modifier un mot de passe du rôle.
# passwd useradm Enter useradm's password: xxxxxxxx New: xxxxxxxx Confirm: xxxxxxxx
Si vous ne spécifiez pas de référentiel, le mot de passe est modifié dans tous les référentiels.
Pour obtenir d'autres options de commande, reportez-vous à la page de manuel passwd(1).
Exemple 3-9 Modification du mot de passe d'un rôle dans un référentiel propres àDans l'exemple suivant, le rôleroot modifie le mot de passe du rôle devadmin local.
# passwd -r files devadmin New password: xxxxxxxx Confirm password: xxxxxxxx
Dans l'exemple suivant, le rôleroot modifie le mot de passe du rôle devadmin dans le service de noms LDAP.
# passwd -r ldap devadmin New password: xxxxxxxx Confirm password: xxxxxxxx
Lorsque vous supprimez un rôle, le rôle immédiatement devient inutilisable.
# roledel useradm
Les utilisateurs qui sont actuellement la réalisation de tâches d'administration dans le rôle n'ont pas la possibilité de se poursuivre. La commande profilesprésente la sortie suivante :
useradm # profiles Unable to get user name