Guía de inicio de OpenSolaris 2009.06
Anterior Siguiente

Cuentas de usuario y roles

La asignación de cuentas de usuario y roles en el sistema operativo OpenSolaris sigue las especificaciones de RBAC (Role-Based Access Control, control de acceso basado en roles). RBAC constituye una alternativa más segura que la del modelo de superusuario de "todo o nada". RBAC utiliza el privilegio de seguridad mínimo, lo que significa que un usuario dispone de la cantidad exacta de los privilegios que necesita para desempeñar una determinada tarea. Las capacidades que sobrepasan las capacidades normales de usuario se agrupan en perfiles. Estos perfiles se asignan a cuentas de usuario especiales, denominadas roles. Un usuario asume un rol para desempeñar una tarea que requiere algunas de las capacidades de superusuario. En la OpenSolaris, el usuario root es un rol.

Los perfiles y los roles presentan las diferencias siguientes:

  • Los perfiles se incluyen en el software OpenSolaris; los roles no se incluyen.

  • Se asignan nombres a los perfiles para poderlos asociar con un rol que el administrador del sistema ha creado con el mismo nombre.

  • Los perfiles son jerárquicos, es decir, un perfil puede incluir otro perfil.

    Por ejemplo, si a un rol se le asigna un perfil que contiene otros perfiles, ese rol incluye todos esos perfiles.

Para comprender mejor el propósito y la función de los roles y las cuentas de usuario en el sistema operativo OpenSolaris, consulte la información siguiente:

  • Un rol es una cuenta de usuario en la que no se puede iniciar sesión directamente, por ejemplo el rol root. Para asumir un rol se debe utilizar el comando su. También puede asumir únicamente roles que se asignan a la cuenta de inicio de sesión.

  • Los perfiles que se incluyen en el software OpenSolaris están predefinidos. Un perfil es un atributo que se puede asignar a una cuenta de usuario. Estos perfiles figuran en el archivo /etc/security/prof_attr. Si, por ejemplo, el inicio de sesión tiene el perfil de administrador principal, puede utilizar el comando pfexec o uno de los shells de perfiles, por ejemplo pfcsh, para ejecutar un comando con las autorizaciones que se asocian con ese perfil. El perfil de administrador principal tiene asignadas todas las autorizaciones, por lo tanto el perfil equivale a asumir el rol root en un sistema. La cuenta de usuario que se crea al instalar OpenSolaris tiene asignado el perfil de administrador principal.


    Nota - El perfil de administrador principal no tiene asignado de forma predeterminada el rol zfssnap. Este rol es necesario para cambiar el comportamiento del deslizador de tiempo en el escritorio. Consulte Cómo agregar el rol zfssnap a la cuenta de usuario predeterminada.


  • En el sistema operativo OpenSolaris, el comando pfexec se utiliza para ejecutar comandos en un shell con privilegios. La utilidad pfexec ejecuta comandos con atributos predefinidos que el administrador del sistema especifica en perfiles de usuario. Al ejecutar comandos con el comando pfexec, básicamente se tienen los mismos privilegios que los asociados con el perfil de administrador principal. Sin embargo, por motivos prácticos, puede asumir el rol de usuario root si debe ejecutar una serie de tareas con privilegios, en vez de utilizar el comando pfexec para cada tarea. Para obtener más información, consulte la página de comando man pfexec(1M).

Asignación de roles a cuentas de usuario

Los roles y perfiles se pueden asignar a cuentas de usuario desde el escritorio o desde la línea de comandos. Puede asignar individualmente a un rol la cantidad de roles que quiera. Quizá desee asignar un nombre al rol que refleje los distintos perfiles que se asocian con ese rol.

  • Para determinar los roles que se asignan a la cuenta de usuario, abra una ventana del terminal y escriba:

    $ roles
  • Para asignar un rol desde el escritorio, seleccione Sistema > Administración > Usuarios y grupos > Usuarios > Propiedades > Roles de usuario.

    Para ver un ejemplo de cómo asignar un rol desde el escritorio, consulte Cómo agregar el rol zfssnap a la cuenta de usuario predeterminada.

  • Para asignar un rol desde la línea de comandos, utilice el comando roleadd.

    Para obtener más información, consulte la página de comando man roleadd(1M).

Anterior Siguiente