Vous pouvez créer ou modifier un profil de droits lorsque les profils de droits fournis ne contiennent pas l'ensemble des droits dont vous avez besoin. Vous pouvez créer un profil de droits pour les utilisateurs ayant des droits limités dans le cadre d'une nouvelle application, ou différentes à d'autres motifs.
Les profils de droits fournis par Oracle Solaris sont en lecture seule. Vous pouvez cloner un profil de droits fourni à des fins de modification si son ensemble de droits est insuffisant. Par exemple, vous pouvez ajouter l'autorisation solaris.admin.edit/ path-to-system-file à un profil de droits fourni. Pour plus d'informations, reportez-vous à la section En savoir plus sur les profils de droits.
Vous pouvez créer une autorisation lorsque les autorisations fournies ne sont pas pris en compte dans plus d'informations sur les autorisations sont codées sur votre des applications privilégiées. Vous ne pouvez pas modifier une autorisation. Pour plus d'informations, reportez-vous à la section En savoir plus sur les autorisations utilisateur.
Avant de commencer
Pour créer un profil de droits, vous devez vous connecter en tant qu'administrateur disposant du profil de droits File Security (sécurité des fichiers). Pour plus d'informations, voir A l'aide de vos droits administratifs attribués.
# profiles -p [-S repository] profile-name
Vous êtes invité à saisir une description.
Utilisez la sous-commande set pour les propriétés de profil qui possèdent une valeur unique, comme set desc. Utilisez la sous-commande add pour les propriétés qui peuvent posséder plusieurs valeurs, comme add cmd.
La commande suivante crée le profil de droits PAM personnalisé dans la section Assignation d’une stratégie PAM modifiée du manuel Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.2 . Le nom est raccourci à des fins d'affichage.
# profiles -p -S LDAP "Site PAM LDAP" profiles:Site PAM LDAP> set desc="Profile which sets pam_policy=ldap" ...LDAP> set pam_policy=ldap ...LDAP> commit ...LDAP> end ...LDAP> exit
Dans cet exemple, l'administrateur crée un profil de droits pour les utilisateurs Sun Ray dans le référentiel LDAP. L'administrateur a déjà créé une version Sun Ray du profil de droits Basic Solaris User (utilisateur Solaris de base), et a supprimé tous les profils de droits du fichier policy.conf sur le serveur Sun Ray.
# profiles -p -S LDAP "Sun Ray Users" profiles:Sun Ray Users> set desc="For all users of Sun Rays" ... Ray Users> add profiles="Sun Ray Basic User" ... Ray Users> set defaultpriv="basic,!proc_info" ... Ray Users> set limitpriv="basic,!proc_info" ... Ray Users> end ... Ray Users> exit
L'administrateur vérifie le contenu.
# profiles -p "Sun Ray Users" info Found profile in LDAP repository. name=Sun Ray Users desc=For all users of Sun Rays defaultpriv=basic,!proc_info, limitpriv=basic,!proc_info, profiles=Sun Ray Basic UserExemple 5-7 Création d'un profil de droits qui inclut des commandes privilégiées
Dans cet exemple, l'administrateur de la sécurité ajoute des privilèges à une application dans un profil de droits créé par l'administrateur. L'application est consciente des privilèges.
# profiles -p SiteApp profiles:SiteApp> set desc="Site application" profiles:SiteApp> add cmd="/opt/site-app/bin/site-cmd" profiles:SiteApp:site-cmd> add privs="proc_fork,proc_taskid" profiles:SiteApp:site-cmd> end profiles:SiteApp> exit
Pour vérifier, l'administrateur sélectionne la commande site-cmd.
# profiles -p SiteApp "select cmd=/opt/site-app/bin/site-cmd; info;end" Found profile in files repository. id=/opt/site-app/bin/site-cmd privs=proc_fork,proc_taskid
Etapes suivantes
Attribuez le profil de droits à un utilisateur ou à un rôle de confiance. Pour consulter des exemples, reportez-vous à l'Example 3–10 et à l'Example 3–19.
Voir aussi
Pour dépanner les attributions de droits, reportez-vous à la section, Dépannage d'attributions de droits. Pour plus d'informations, reportez-vous à la section Ordre de recherche pour Assigned Rights.
Avant de commencer
Pour créer ou modifier un profil de droits, vous devez vous connecter en tant qu'administrateur disposant du profil de droits File Security (sécurité des fichiers). Pour plus d'informations, voir A l'aide de vos droits administratifs attribués.
# profiles -p [-S repository] existing-profile-name
Ajoutez dans celui-ci le profil de droits existant en tant que profil de droits supplémentaire, puis ajoutez les améliorations. Reportez-vous à la section Example 5–8.
Reportez-vous à la section Example 5–9.
Dans cet exemple, l'administrateur ajoute une autorisation solaris.admin.edit à un profil de droits IPsec Management de site, si bien que le rôle root n'est pas requis. Ce profil de droits sera affecté uniquement aux utilisateurs autorisés à modifier le fichier /etc/hosts.
L'administrateur vérifie que le profil de droits Network IPsec Management ne peut pas être modifié.
# profiles -p "Network IPsec Management" profiles:Network IPsec Management> add auths="solaris.admin.edit/etc/hosts" Cannot add. Profile cannot be modified
Il crée ensuite un profil de droits incluant le profil Network IPsec Management.
# profiles -p "Total IPsec Mgt" ... IPsec Mgt> set desc="Network IPsec Mgt plus /etc/hosts" ... IPsec Mgt> add profiles="Network IPsec Management" ... IPsec Mgt> add auths="solaris.admin.edit/etc/hosts" ... IPsec Mgt> end ... IPsec Mgt> exit
L'administrateur vérifie le contenu.
# profiles -p "Total IPsec Mgt" info name=Total IPsec Mgt desc=Network IPsec Mgt plus /etc/hosts auths=solaris.admin.edit/etc/hosts profiles=Network IPsec Management
Dans cet exemple, l'administrateur sépare la gestion des propriétés du service VSCAN de la capacité à activer et désactiver le service.
Tout d'abord, l'administrateur répertorie le contenu du profil de droits fourni par Oracle Solaris.
# profiles -p "VSCAN Management" info name=VSCAN Management desc=Manage the VSCAN service auths=solaris.smf.manage.vscan,solaris.smf.value.vscan, solaris.smf.modify.application help=RtVscanMngmnt.html
L'administrateur crée ensuite un profil de droits pour activer et désactiver le service.
# profiles -p "VSCAN Management" profiles:VSCAN Management> set name="VSCAN Control" profiles:VSCAN Control> set desc="Start and stop the VSCAN service" ... VSCAN Control> remove auths="solaris.smf.value.vscan" ... VSCAN Control> remove auths="solaris.smf.modify.application" ... VSCAN Control> end ... VSCAN Control> exit
Ensuite, l'administrateur crée un profil de droits pouvant modifier les propriétés du service.
# profiles -p "VSCAN Management" profiles:VSCAN Management> set name="VSCAN Properties" profiles:VSCAN Properties> set desc="Modify VSCAN service properties" ... VSCAN Properties> remove auths="solaris.smf.manage.vscan" ... VSCAN Properties> end ... VSCAN Properties> exit
L'administrateur vérifie le contenu des nouveaux profils de droits.
# profiles -p "VSCAN Control" info name=VSCAN Control desc=Start and stop the VSCAN service auths=solaris.smf.manage.vscan # profiles -p "VSCAN Properties" info name=VSCAN Properties desc=Modify VSCAN service properties auths=solaris.smf.value.vscan,solaris.smf.modify.application
Etapes suivantes
Attribuez le profil de droits à un utilisateur ou à un rôle de confiance. Pour consulter des exemples, reportez-vous à l'Example 3–10 et à l'Example 3–19.
Voir aussi
Pour dépanner les attributions de droits, reportez-vous à la section, Dépannage d'attributions de droits. Pour plus d'informations, reportez-vous à la section Ordre de recherche pour Assigned Rights.
Avant de commencer
Les développeurs avez défini et utilisé l'autorisation dans les applications que vous êtes en train d'installer. Pour obtenir des instructions, reportez-vous au manuel Developer’s Guide to Oracle Solaris 11 Security et à la section About Authorizations du manuel Developer’s Guide to Oracle Solaris 11 Security .
Par exemple, créez le fichier d'aide d'une autorisation pour permettre à l'utilisateur de modifier les données dans une application.
# pfedit /docs/helps/NewcoSiteAppModData.html <HTML> -- Copyright 2013 Newco. All rights reserved. -- NewcoSiteAppModData.html --> <HEAD> <TITLE>NewCo Modify SiteApp Data Authorization</TITLE> </HEAD> <BODY> The com.newco.siteapp.data.modify authorization authorizes you to modify existing data in the application. <p> Only authorized accounts are permitted to modify data. Use this authorization with care. <p> </BODY> </HTML>
Par exemple, la commande suivante permet de créer l'autorisation com.newco.siteapp.data.modify sur le système local.
# auths add -t "SiteApp Data Modify Authorized" \ -h /docs/helps/NewcoSiteAppModData.html com.newco.siteapp.data.modify
Vous pouvez ensuite tester l'autorisation, puis l'ajouter à un profil de droits et attribuer ce dernier à un rôle ou un utilisateur.
Dans cet exemple, l'administrateur teste l'autorisation com.newco.siteapp.data.modify avec le profil de droits SiteApp de l'Example 5–7.
# usermod -A com.newco.siteapp.data.modify -P SiteApp tester1
Lorsque le test réussit, l'administrateur supprime l'autorisation.
# rolemod -A-=com.newco.siteapp.data.modify siteapptester
Pour une gestion plus facile, l'administrateur ajoute l'autorisation à l'dans l'exemple 5 SiteApp -11 profil de droits. Example 5–11
Exemple 5-11 Ajout d'autorisations à un profil de droitsAprès avoir testé le bon fonctionnement de l'autorisation, l'administrateur de sécurité ajoute l'autorisation com.newco.siteapp.data.modify à un profil de droits existant. L'Example 5–7 illustre la manière dont l'administrateur a créé le profil.
# profiles -p "SiteApp" profiles:SiteApp> add auths="com.newco.siteapp.data.modify" profiles:SiteApp> end profiles:SiteApp> exit
Pour le vérifier, l'administrateur répertorie le contenu du profil.
# profiles -p SiteApp Found profile in files repository. id=/opt/site-app/bin/site-cmd auths=com.newco.siteapp.data.modify
Etapes suivantes
Attribuez le profil de droits à un utilisateur ou à un rôle de confiance. Pour consulter des exemples, reportez-vous à l'Example 3–10 et à l'Example 3–19.
Voir aussi
Pour dépanner les attributions de droits, reportez-vous à la section, Dépannage d'attributions de droits. Pour plus d'informations, reportez-vous à la section Ordre de recherche pour Assigned Rights.