by

RBAC bajo Solaris

Aunque prácticamente todo el mundo emplea SUDO hoy en día para realizar labores administrativas sin tocar la cuenta de root, Solaris permite el empleo de roles ya incluídos en el sistema operativa con una granularidad muy elevada que, en caso de que no se quiera instala open source (De todo hay en la viña del Señor) nos puede salvar la papeleta. Para ello, adjunto el siguiente procedimiento.

Crear un nuevo usuario, que será el que tenga provilegios de root. Lo voy a llamar apagado:

useradd -u 1001 -g 10 -d /export/home/apagado -m -s /usr/bin/ksh apagado

Cambiamos su passwd:

passwd migracion

Comprobamos que se ha creado correctamente

cat /etc/passwd
cat /etc/shadow
ls -al /export/home/apagado

Crear el rol que se asignará al usuario (operaciones) y asignarle un passwd:

roleadd -u 1002 -g 10 -d /export/home/operaciones -m operaciones
passwd migracioncorreo

Comprobamos

cat /etc/passwd
cat /etc/user_attr
(debería estar la siguiente línea al final)
operaciones::::type=role;profiles=All
cat /etc/shadow

Crear el perfil para el rol:

vi /etc/security/prof_attr
(Se añaden las funciones al perfil. Lo siguiente son ejemplos)
Shut:::Able to shutdown the system:
Snoop:::Able to use the snoop command:

Se asignan los comandos al perfil:

vi /etc/security/exec_attr
(Añadimos)
Shut:suser:cmd:::/usr/sbin/shutdown:uid=0
Snoop:suser:cmd:::/usr/sbin/snoop:uid=0

NOTA: Los nombres contenidos en /etc/security/prof_attr y /etc/security/exec_attr deben ser los mismos

Se actualiza el rol:
rolemod -P Shut,Snoop,All operaciones

Comprobamos de nuevo

cat /etc/user_attr
(debería estar la siguiente línea al final)
operaciones::::type=role;profiles=Shut,Snoop,All

Asignar el rol al usuario:
usermod -R operaciones apagado

Comprobamos
cat /etc/user_attr
(debería estar la siguiente línea al final)
operaciones::::type=role;profiles=Shut,Snoop,All
apagado::::type=normal;roles=operaciones

Comprobar que el rol funciona, empleando los comandos que se han asignado.

De todas formas, seguramente será más útil para todo el mundo el empleo de sudo, que suele tener más flexibilidad.

Advertisement

Deja un comentario

Fill in your details below or click an icon to log in:

Gravatar
Logo de WordPress.com

You are commenting using your WordPress.com account. Log Out / Cambiar )

Twitter picture

You are commenting using your Twitter account. Log Out / Cambiar )

Facebook photo

You are commenting using your Facebook account. Log Out / Cambiar )

Cancelar

Connecting to %s