Démarrage d'OpenSolaris 2009.06
Previous Next

Comptes utilisateur et rôles

L'affectation de comptes utilisateur et de rôles dans le système d'exploitation OpenSolaris se conforme aux spécifications RBAC (Role-Based Access Control, Contrôle d'accès basé sur les rôles). Le RBAC constitue une alternative plus sécurisée au modèle tout ou rien des superutilisateurs. Le RBAC utilise le principe de sécurité du privilège minimum, ce qui signifie qu'un utilisateur dispose exactement de la quantité de privilège nécessaire pour effectuer une tâche spécifique. Les capacités situées au-delà des capacités utilisateur ordinaires sont regroupées dans des profils. Ces profils sont affectés à des comptes utilisateur spéciaux, appelés rôles. Un utilisateur endosse un rôle pour effectuer une tâche qui requiert certaines capacités du superutilisateur. Dans OpenSolaris, l'utilisateur root est un rôle.

Les profils et les rôles se distinguent de la manière suivante :

  • Les profils sont inclus dans le logiciel OpenSolaris, alors que les rôles ne le sont pas.

  • Les profils sont nommés afin de pouvoir être associés à un rôle que l'administrateur système crée avec le même nom.

  • Les profils sont hiérarchiques, ce qui signifie qu'un profil peut inclure un autre profil.

    Par exemple, si un rôle est affecté à un profil contenant d'autres profils, il inclut tous les profils.

Pour mieux comprendre la finalité et la fonction des comptes utilisateur et des rôles dans le système d'exploitation OpenSolaris, passez en revue les informations suivantes :

  • Un rôle est un compte utilisateur auquel vous ne pouvez pas accéder directement, par exemple, le rôle root. Vous devez utiliser la commande su pour endosser un rôle. Vous pouvez également uniquement assumer les rôles affectés à votre propre compte de connexion.

  • Les profils inclus dans le logiciel OpenSolaris sont prédéfinis. Un profil est un attribut qui peut être assigné à un compte utilisateur. Ces profils sont répertoriés dans le fichier /etc/security/prof_attr. Si votre nom de connexion dispose du profil d'administrateur principal, vous pouvez par exemple utiliser la commande pfexec ou l'un des shells de profil, tels que pfcsh, pour exécuter une commande avec les autorisations associées à ce profil. Le profil d'administrateur principal dispose de toutes les autorisations, de telle sorte qu'il revient vraiment à assumer le rôle root sur un système. Le compte utilisateur créé au cours de l'installation d'OpenSolaris dispose d'un profil d'administrateur principal.


    Note - Par défaut, le rôle zfssnap n'est pas affecté au profil d'administrateur principal. Ce rôle est requis pour modifier le comportement de la fonction de curseur temporel à partir du bureau. Voir Procédure d'ajout du rôle zfssnap au compte utilisateur par défaut.


  • Dans le système d'exploitation OpenSolaris, la commande pfexec est utilisée pour exécuter des commandes dans un shell privilégié. L'utilitaire pfexec exécute des commandes avec des attributs prédéfinis spécifiés par l'administrateur système dans des profils d'utilisateur. Lorsque vous exécutez des commandes à l'aide de la commande pfexec, vous disposez des mêmes privilèges que ceux associés au profil d'administrateur principal. Cependant, pour faciliter la tâche, vous pouvez choisir d'assumer le rôle root si vous avez un certain nombre de tâches privilégiées à exécuter, plutôt que d'utiliser la commande pfexec pour chaque tâche. Pour plus d'informations, voir la page de manuel pfexec(1M).

Affectation de rôles aux comptes utilisateur

Les rôles et profils peuvent être affectés à des comptes utilisateur à partir du bureau ou à l'aide de la ligne de commande. Vous pouvez affecter autant de profils que vous le souhaitez à un rôle. Vous pouvez souhaiter affecter au rôle un nom qui reflète les différents profils qui lui sont associés.

  • Pour déterminer les rôles affectés à votre compte utilisateur, ouvrez une fenêtre de terminal et tapez :

    $ roles
  • Pour affecter un rôle à partir du bureau, sélectionnez Système > Administration > Utilisateurs et groupes > Utilisateurs > Propriétés > Rôles utilisateur.

    Pour consulter un exemple d'affectation de rôle à partir du bureau, reportez-vous à la page Procédure d'ajout du rôle zfssnap au compte utilisateur par défaut.

  • Pour affecter un rôle à l'aide de la ligne de commande, utilisez la commande roleadd.

    Pour plus d'informations, voir la page de manuel pfexec(1M).

Previous Next