在站点安全策略允许的情况下,可以选择创建能承担多个管理角色的用户。
为保证可以创建用户,"System Administrator"(系统管理员)角色负责创建用户和指定初始口令,而 "Security Administrator"(安全管理员)角色则负责指定与安全相关的属性(如角色)。
开始之前
您必须在全局区域中承担 root 角色。或者,如果强制执行职责分离,必须存在可承担 "Security Administrator"(安全管理员)和 "System Administrator"(系统管理员)不同角色的用户以承担其角色,并执行此过程中的相应步骤。
root 角色或 "System Administrator"(系统管理员)角色执行此步骤。
请勿在注释中放置专有信息。
# useradd -c "Second User" -u 1201 -d /home/jdoe jdoe
root 角色或 "Security Administrator"(安全管理员)角色执行此步骤。
# usermod -K lock_after_retries=no -K idletime=5 -K idlecmd=lock \ -K audit_flags=lo,ex:no jdoe
# passwd jdoe New Password: xxxxxxxx Re-enter new Password: xxxxxxxx
root 角色或 "Security Administrator"(安全管理员)角色执行此步骤。
# usermod -R oper jdoe
在检查了站点安全策略以后,可能需要向您的首批用户授予 "Convenient Authorizations"(方便授权)权限配置文件。使用此配置文件,用户可以分配设备、进行无标签打印、远程登录以及关闭系统。要创建配置文件,请参见如何创建权限配置文件以实现方便的授权。
请参见针对安全性定制用户环境。
在多级别系统上,可以为用户和角色设置一些文件,这些文件列出要复制或链接到其他标签的用户初始化文件。有关更多信息,请参见.copy_files 和 .link_files 文件。
在此示例中,root 角色创建一个可承担 "Security Administrator"(安全管理员)角色的本地用户。有关详细信息,请参见 useradd(1M) 和 atohexlabel(1M) 手册页。
该用户将具有比缺省标签范围更广的标签范围。因此,root 角色确定用户的最小标签和安全许可标签的十六进制格式。
# atohexlabel public 0x0002-08-08 # atohexlabel -c "confidential restricted" 0x0004-08-78
其次,root 角色参考Table 1–2,然后创建用户。管理员将用户的起始目录放置到 /export/home1,而不是缺省的 /export/home 中。
# useradd -c "Local user for Security Admin" -d /export/home1/jandoe -K audit_flags=lo,ex:no \ -K idletime=8 -K idlecmd=lock -K lock_after_retries=no \ -K min_label=0x0002-08-08 -K clearance=0x0004-08-78 jandoe
接着,root 角色指定初始口令。
# passwd -r files jandoe New Password: xxxxxxxx Re-enter new Password: xxxxxxxx passwd: password successfully changed for jandoe #
最后,root 角色将 "Security Administrator"(安全管理员)角色添加到用户的定义中。该角色是在如何在 Trusted Extensions 中创建 "Security Administrator"(安全管理员)角色中创建的。
# usermod -R secadmin jandoe