如何在 Trusted Extensions 中创建 "Security Administrator"（安全管理员）角色

开始之前

您是全局区域中的 root 角色。

1. 要创建角色，请使用 roleadd 命令。

   有关该命令的信息，请参见 roleadd(1M) 手册页。

   ---

   注 - 要使用 ARMOR 角色，请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的创建角色一节中的 ARMOR 示例。

   ---

   可以使用下列信息作为参考：

   • Role name – secadmin

   • -c Local Security Officer

     请勿提供专有信息。

   • –m home-directory

   • –u role-UID

   • –S repository

   • –K key=value

     指定 "Information Security"（信息安全）和 "User Security"（用户安全）权限配置文件。

     ---

     注 - 对于所有管理角色，请使用管理标签作为标签范围、审计管理命令的使用、设置 lock_after_retries=no，且不设置口令失效日期。

     ---

   # roleadd -c "Local Security Officer" -m \
   -u 110 -K profiles="Information Security,User Security" -S files \
   -K lock_after_retries=no -K audit_flags=cusa:no secadmin

2. 提供角色的初始口令。

   # passwd -r files secadmin
   New Password: xxxxxxxx 
   Re-enter new Password: xxxxxxxx
   passwd: password successfully changed for secadmin
   #

   指定至少包含六个字母数字字符的口令。安全管理员角色的口令以及所有口令都必须难以猜出，从而减少通过试猜口令而让有敌意的人获取未经授权访问的机会。

3. 创建其他角色时，使用 "Security Administrator"（安全管理员）角色作为参考。

   可能的角色包括：

   • admin 角色－System Administrator（系统管理员）权限配置文件

   • oper 角色－Operator（操作员）权限配置文件

示例 4-4  在 LDAP 中创建 "Security Administrator"（安全管理员）角色

对第一个系统配置 "local Security Administrator"（本地安全管理员）角色后，管理员会在 LDAP 系统信息库中创建 "Security Administrator"（安全管理员）角色。在该方案中，LDAP 客户机可由在 LDAP 中定义的 "Security Administrator"（安全管理员）角色进行管理。

# roleadd -c "Site Security Officer" -d server1:/rpool/pool1/BayArea/secadmin
-u 111 -K profiles="Information Security,User Security" -S ldap \
-K lock_after_retries=no -K audit_flags=cusa:no secadmin

管理员提供角色的初始口令。

# passwd -r ldap secadmin
New Password: xxxxxxxx 
Re-enter new Password: xxxxxxxx
passwd: password successfully changed for secadmin
#

接下来的步骤

要将本地角色分配给本地用户，请参见如何在 Trusted Extensions 中创建可以承担角色的用户。