Introducción
Puede que alguna vez os pase que al intentar conectar a una zona de Solaris, el sistema os muestre un error diciendo que los roles sólo puede ser asumidos por usuarios autorizados.
Esto se debe a que hemos modificado el usuario "root" y ahora es un "role", por ello, si utilizamos el comando <zlogin _nombre_zona> nos denegará la conexión, por ejemplo:
havoc@h1-master-01:~$ pfexec zlogin www-test
[Connected to zone 'www-test' pts/3]
Roles can only be assumed by authorized users
Login incorrect
[Connection to zone 'www-zone' pts/3 closed]
La solución
Existen dos soluciones muy sencillas que a continuación os muestro. La primera es utilizar una opción en el comando <zlogin> y la segunda es volver a poner a <root> como usuario.
Utilizar un usuario con el role <root> en la zona
Podemos utilizar un usuario con el role <root> en la zona, y mediante la opción <-l usuario> conectarnos, por ejemplo, si tenemos el usuario "havoctec" en la zona "www-test"
havoctec@www-test:~$ id
uid=901(havoctec) gid=10(staff)
havoctec@www-test:~$ roles
root
havoctec@www-test:~$ logout
[Connection to zone 'www-test' pts/3 closed]
havoctec@hseries-master-01:~$ pfexec zlogin -l havoctec www-test
[Connected to zone 'www-test' pts/3]
Last login: Wed Mar 14 10:54:47 on pts/3
OpenIndiana (powered by illumos) SunOS 5.11 oi_151a September 2011
havoctec@www-test:~$
Configurar la cuenta de <root> como usuario y no como <role>
La otra solución -aunque a mi no me parece la mejor- es configurar la cuenta de <root> como usuario y no <role>, para ello, simplemente deberemos editar el archivo </etc/user_attr> y modificamos el valor de la propiedad <type=role> por <type=normal>, por ejemplo,
havoctec@hseries-master-01:~$ cat /etc/user_attr|grep ^root
root::::min_label=admin_low;lock_after_retries=no;auths=solaris.*,solaris.grant;audit_flags=lo\:no;profiles=All;clearance=admin_high;type=role
Conclusiones
Es muy sencillo seguir utilizando roles dentro de las zonas, y de esta forma, continuar con la seguridad extendida que nos proporciona RBAC.
Referencias
Es muy sencillo seguir utilizando roles dentro de las zonas, y de esta forma, continuar con la seguridad extendida que nos proporciona RBAC.
Referencias
No hay comentarios:
Publicar un comentario