Uso de perfiles de derechos y roles
 | Precaución - Tenga cuidado al usar los comandos usermod y rolemod para agregar autorizaciones, perfiles de derechos o roles.
|
Gestión de perfiles de derechos de usuario
En los procedimientos siguientes se muestra cómo gestionar los perfiles de derechos de usuario en el sistema mediante archivos locales. Para administrar los perfiles de usuario en un servicio de asignación de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Cómo asignar un perfil de derechos a un usuario
Los usuarios a los que se ha asignado directamente el perfil LDoms Management deben invocar un shell de perfil para ejecutar el comando ldm con los atributos de seguridad. Para obtener más información, consulte System Administration Guide: Security Services o Securing Users and Processes in Oracle Solaris 11.3.
- Conviértase en administrador.
Para Oracle Solaris 11.3, consulte el Capítulo 1, About Using Rights to Control Users and Processes de Securing Users and Processes in Oracle Solaris 11.3.
- Asigne un perfil administrativo a una cuenta de usuario local.
Puede asignar el perfil LDoms Review o el perfil LDoms Management a una cuenta de usuario.
# usermod -P "profile-name" username
El comando siguiente asigna el perfil LDoms Management al usuario sam:
# usermod -P "LDoms Management" sam
Asignación de funciones a usuarios
El procedimiento siguiente muestra cómo crear una función y asignarla a un usuario mediante el uso de archivos locales. Para administrar las funciones en un servicio de asignación de nombres, consulte System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
La ventaja de utilizar este procedimiento es que solo un usuario al que se ha asignado una función específica puede asumir dicha función. Al asumir una función, se necesita una contraseña si se ha asignado una contraseña a la función. Con estas dos capas de seguridad, se impide que un usuario al que no se le ha asignado un rol pueda asumir dicho rol aunque tenga la contraseña.
Cómo crear un rol y asignar el rol a un usuario
- Conviértase en administrador.
Para Oracle Solaris 11.3, consulte el Capítulo 1, About Using Rights to Control Users and Processes de Securing Users and Processes in Oracle Solaris 11.3.
- Cree un rol.
# roleadd -P "profile-name" role-name
- Asigne una contraseña a la función.
Se le solicitará que especifique la nueva contraseña y que la verifique.
# passwd role-name
- Asigne una función a un usuario.
# useradd -R role-name username
- Asigne una contraseña al usuario.
Se le solicitará que especifique la nueva contraseña y que la verifique.
# passwd username
- Conviértase en usuario y especifique la contraseña, si es preciso.
# su username
- Compruebe que el usuario tenga acceso a la función asignada.
$ id uid=nn(username) gid=nn(group-name) $ roles role-name
- Asuma la función y especifique la contraseña, si es preciso.
$ su role-name
- Compruebe que el usuario haya asumido la función.
$ id uid=nn(role-name) gid=nn(group-name)
En este ejemplo se muestra cómo crear la función ldm_read, asignar la función al usuario user_1, convertirse en el usuario user_1 y asumir la función ldm_read.
# roleadd -P "LDoms Review" ldm_read # passwd ldm_read New Password: Re-enter new Password: passwd: password successfully changed for ldm_read # useradd -R ldm_read user_1 # passwd user_1 New Password: Re-enter new Password: passwd: password successfully changed for user_1 # su user_1 Password: $ id uid=95555(user_1) gid=10(staff) $ roles ldm_read $ su ldm_read Password: $ id uid=99667(ldm_read) gid=14(sysadmin)