Une fois que les comptes utilisateur ont été créés, l'administrateur de sécurité affecte des attributs de sécurité aux utilisateurs. Si vous avez défini des valeurs par défaut correctes, l'étape suivante consiste à affecter des attributs de sécurité aux utilisateurs qui ont besoin d'exceptions aux valeurs par défaut.
Lorsque vous affectez des attributs de sécurité aux utilisateurs, prenez en compte les informations suivantes :
L'administrateur système peut affecter des mots de passe aux comptes utilisateur lors de la création des comptes. Après cette affectation initiale, l'administrateur de sécurité ou l'utilisateur peut modifier le mot de passe.
Comme dans Oracle Solaris, les utilisateurs peuvent être obligés de modifier leurs mots de passe à intervalles réguliers. Les options de vieillissement du mot de passe limitent la durée pendant laquelle un intrus qui aurait deviné ou usurpé un mot de passe peut accéder au système. En outre, l'instauration d'un délai minimal avant que la modification d'un mot de passe ne soit autorisée permet d'empêcher qu'un utilisateur disposant d'un nouveau mot de passe ne rétablisse immédiatement son ancien mot de passe. Pour plus d'informations, reportez-vous à la page de manuel passwd(1).
L'affectation d'un rôle aux utilisateurs n'est pas obligatoire. Plusieurs rôles peuvent être affectés à un utilisateur si cela est cohérent avec la stratégie de sécurité de votre site.
Comme dans le SE Oracle Solaris, l'affectation d'autorisations à un utilisateur ajoute ces autorisations aux autorisations existantes. A des fins d'évolutivité, vous ajoutez les autorisations à un profil de droits, puis vous affectez le profil à l'utilisateur.
Comme dans le SE Oracle Solaris, l'ordre des profils de droits est important. A l'exception des autorisations, le mécanisme des profils utilise la valeur de la première instance d'un attribut de sécurité assigné. Pour plus d'informations, reportez-vous à la section Ordre de recherche pour Assigned Rights du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Vous pouvez utiliser l'ordre de tri de profils à votre avantage. Si vous souhaitez qu'une commande s'exécute en utilisant d'autres attributs de sécurité que ceux qui sont définis pour elle dans un profil existant, créez un nouveau profil avec les affectations souhaitées pour la commande. Ensuite, insérez ce nouveau profil avant le profil existant.
L'ensemble de privilèges par défaut peut être trop souple pour un grand nombre de sites. Pour limiter l'ensemble de privilèges de tous les utilisateurs standard sur un système, modifiez le paramètre du fichier policy.conf. Pour modifier le jeu de privilèges pour des utilisateurs individuels, reportez-vous à la section Limitation du jeu de privilèges d'un utilisateur.
La modification des valeurs d'étiquette par défaut d'un utilisateur crée une exception pour les valeurs par défaut de l'utilisateur dans le fichier label_encodings.
Comme dans le SE Oracle Solaris, affecter des classes d'audit à un utilisateur modifie le masque de présélection de l'utilisateur. Pour plus d'informations sur l'audit, reportez-vous à la section Gestion de l’audit dans Oracle Solaris 11.2 et au Chapter 22, Trusted Extensions et audit.