Utilisation des profils de droits et des rôles
 | Mise en garde - Faites preuve de prudence lorsque vous utilisez les commandes usermod et rolemod pour ajouter des autorisations, des profils de droits ou des rôles.
|
Gestion des profils de droits utilisateurs
Les procédures suivantes permettent de gérer les profils de droits utilisateurs sur le système à l'aide de fichiers locaux. Pour gérer les profils utilisateur dans un service de noms, reportez-vous au System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Procédure d'affectation d'un profil de droits à un utilisateur
Les utilisateurs auxquels le profil LDoms Management a été affecté directement doivent appeler un shell de profil pour exécuter la commande ldm avec des attributs de sécurité. Pour plus d'informations, reportez-vous au manuel System Administration Guide: Security Services dans Securing Users and Processes in Oracle Solaris 11.3.
- Connectez-vous en tant qu'administrateur.
Pour Oracle Solaris 11.3, reportez-vous au Chapitre 1, About Using Rights to Control Users and Processes du manuel Securing Users and Processes in Oracle Solaris 11.3.
- Affectez un profil d'administration à un compte utilisateur local.
Vous pouvez affecter le profil LDoms Review ou le profil LDoms Management à un compte utilisateur.
# usermod -P "profile-name" username
La commande suivante affecte le profil LDoms Management à l'utilisateur sam.
# usermod -P "LDoms Management" sam
Assignation de rôles aux utilisateurs
La procédure suivante permet de créer un rôle et de l'affecter à un utilisateur à l'aide de fichiers locaux. Pour gérer les rôles dans un service de noms, reportez-vous au System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Cette procédure présente l'avantage que les rôles ne sont pris que par les utilisateurs à qui ils ont été affectés. Lorsqu'un utilisateur prend un rôle, il doit fournir le mot de passe qui a été affecté au rôle, le cas échéant. Ces deux niveaux de sécurité empêchent qu'un utilisateur prenne un rôle qui ne lui a pas été affecté, même s'il dispose du mot de passe correspondant.
Procédure de création d'un rôle et d'affectation du rôle à un utilisateur
- Connectez-vous en tant qu'administrateur.
Pour Oracle Solaris 11.3, reportez-vous au Chapitre 1, About Using Rights to Control Users and Processes du manuel Securing Users and Processes in Oracle Solaris 11.3.
- Créez un rôle.
# roleadd -P "profile-name" role-name
- Assignez un mot de passe au rôle.
Vous êtes invité à spécifier un nouveau mot de passe et à le vérifier.
# passwd role-name
- Assignez le rôle à un utilisateur.
# useradd -R role-name username
- Assignez un mot de passe à un utilisateur.
Vous êtes invité à spécifier un nouveau mot de passe et à le vérifier.
# passwd username
- Devenez l'utilisateur et fournissez le mot de passe, si nécessaire.
# su username
- Vérifiez que l'utilisateur peut accéder au rôle affecté.
$ id uid=nn(username) gid=nn(group-name) $ roles role-name
- Prenez le rôle et fournissez le mot de passe, si nécessaire.
$ su role-name
- Vérifiez que l'utilisateur a pris le rôle.
$ id uid=nn(role-name) gid=nn(group-name)
Cet exemple illustre comment créer le rôle ldm_read, affecter le rôle à l'utilisateur user_1, devenir l'utilisateur user_1 et prendre le rôle ldm_read.
# roleadd -P "LDoms Review" ldm_read # passwd ldm_read New Password: Re-enter new Password: passwd: password successfully changed for ldm_read # useradd -R ldm_read user_1 # passwd user_1 New Password: Re-enter new Password: passwd: password successfully changed for user_1 # su user_1 Password: $ id uid=95555(user_1) gid=10(staff) $ roles ldm_read $ su ldm_read Password: $ id uid=99667(ldm_read) gid=14(sysadmin)