sa 390 unix heterogene

Service Formation143 bis, avenue de Verdun92442 Issy-les-Moulineaux CedexFRANCETel 01-41-33-17-17Fax 01-41-33-17-20

AdministrationUNIXhtrogne

Rvision C, Janvier 2000

RfrenceSA-390

2000 Sun Microsystems, Inc.Printed in the United States of America.2550 Garcia Avenue, Mountain View, California 94043-1100 U.S.A.

All rights reserved. This product and related documentation are protected by copyright and distributedunder licenses restricting its use, copying, distribution, and decompilation. No part of this product or relateddocumentation may be reproduced in any form by any means without prior written authorization of Sun andits licensors, if any.

Portions of this product may be derived from the UNIX and Berkeley 4.3 BSD systems, licensed from UNIXSystem Laboratories, Inc. and the University of California, respectively. Third-party font software in thisproduct is protected by copyright and licensed from Suns Font Suppliers.

RESTRICTED RIGHTS LEGEND

Use, duplication, or disclosure by the United States Government is subject to the restrictions set forth inDFARS 252.227-7013 (c)(1)(ii) and FAR 52.227-19.

The product described in this manual may be protected by one or more U.S. patents, foreign patents, orpending applications.

TRADEMARKS

Sun, Sun Microsystems, the Sun logo, [ALL OTHER SUN TRADEMARKS REFERRED TO IN THE PRODUCTOR DOCUMENT] are trademarks or registered trademarks of Sun Microsystems, Inc. UNIX and OPENLOOK are registered trademarks of UNIX System Laboratories, Inc. [ATTRIBUTION OF OTHER THIRDPARTY TRADEMARKS MENTIONED SIGNIFICANTLY THROUGHOUT PRODUCT ORDOCUMENTATION]. All other product names mentioned herein are the trademarks of their respectiveowners.

All SPARC trademarks, including the SCD Compliant Logo, are trademarks or registered trademarks ofSPARC International, Inc. SPARCstation, SPARCserver, SPARCengine, SPARCworks, and SPARCompiler arelicensed exclusively to Sun Microsystems, Inc. Products bearing SPARC trademarks are based upon anarchitecture developed by Sun Microsystems, Inc.

The OPEN LOOK and Sun Graphical User Interfaces were developed by Sun Microsystems, Inc. for itsusers and licensees. Sun acknowledges the pioneering efforts of Xerox in researching and developing theconcept of visual or graphical user interfaces for the computer industry. Sun holds a non-exclusive licensefrom Xerox to the Xerox Graphical User Interface, which license also covers Suns licensees who implementOPEN LOOK GUIs and otherwise comply with Suns written license agreements.

X Window System is a trademark and product of the Massachusetts Institute of Technology.

THIS PUBLICATION IS PROVIDED AS IS WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESS OR IMPLIED,INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY, FITNESS FOR APARTICULAR PURPOSE, OR NON-INFRINGEMENT.

THIS PUBLICATION COULD INCLUDE TECHNICAL INACCURACIES OR TYPOGRAPHICAL ERRORS. CHANGESARE PERIODICALLY ADDED TO THE INFORMATION HEREIN; THESE CHANGES WILL BE INCORPORATED INNEW EDITIONS OF THE PUBLICATION. SUN MICROSYSTEMS, INC. MAY MAKE IMPROVEMENTS AND/ORCHANGES IN THE PRODUCT(S) AND/OR THE PROGRAM(S) DESCRIBED IN THIS PUBLICATION AT ANY TIME.

Network File System (NFS) ............................................................12

Network Information Service (NIS) ..............................................13

Sauvegardes et Restauration..........................................................14Tabledesmatires

Prsentation......................................................................................1

Outils daide ladministration....................................................2

Gestion des utilisateurs ..................................................................3

Gestion des Devices et des Disques ...............................................4

Administration des Systmes de fichiers......................................5

Gestion des zones de swap .............................................................6

Procdure de dmarrage (boot).......................................................7

Gestion des Terminaux et des Imprimantes .................................8

Configuration du kernel ..................................................................9

Configuration TCP/IP .....................................................................10

Administration rseau avance .....................................................11Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

Copyright Aot 1997 Sun Microsystems, Inc. Tous droits rservs. SunService Aot 1997

Table des Matires1 - Prsentation

Problmes lis une administration htrogne ..............................2Historique................................................................................................4Diffrents standards ..............................................................................5Les UNIX prsents dans ce support ..................................................6Fichiers de configuration ......................................................................8Gestion des disques .............................................................................12Concepts noyau....................................................................................14Processus de boot.................................................................................16Administration des utilisateurs .........................................................18

2 - Outils daide ladministrationGnralits ..............................................................................................2Outils - Solaris 2.x ..................................................................................4Le dmon admind..................................................................................6Outils - Linux..........................................................................................8Outils - HP-UX .....................................................................................10Trace des activits de sam...................................................................12Outils - AIX ...........................................................................................18Outils - Tru64 UNIX ............................................................................22

3 - Gestion des utilisateursPrincipes dadministration des utilisateurs .......................................2Caractristiques dun utilisateur UNIX ..............................................4iCopyright 2001 Sun Microsystems, Inc. All Rights Reserved. Enterprise Services, Revision A

Les groupes UNIX..................................................................................8Fichiers de configuration ....................................................................10Fichiers de configuration - Solaris 2.x ...............................................12Commandes de configuration - Solaris 2.x ......................................18Fichiers de configuration - Linux.......................................................22Linux 2.2.x - le fichier shadow ...........................................................24linuxconf ...............................................................................................26Gestion des utilisateurs - HP-UX.......................................................28Scurit - HP-UX ..................................................................................30Fichiers de configuration - IRIX.........................................................32

Commandes de configuration - IRIX ................................................34

Fichiers de configuration - AIX..........................................................40Commandes de configuration - AIX .................................................42Scurit - AIX........................................................................................44Configuration - Tru64 UNIX ..............................................................48Commandes - Tru64 UNIX.................................................................50

4 - Gestion des devicesGnralits ..............................................................................................2Gnralits sur les disques ...................................................................6Niveaux de RAID...................................................................................8Devices - Solaris 2.x .............................................................................16Gestion des disques - Solaris 2.x ........................................................24Devices - Linux.....................................................................................32Gestion des disques - Linux ...............................................................38Mcanismes RAID Software - Linux.................................................46Devices - HP-UX ..................................................................................50Gestion des disques - HP-UX .............................................................58Gestion du LVM - HP-UX...................................................................64Devices - IRIX .......................................................................................78Devices - AIX ........................................................................................88Gestion des disques - AIX...................................................................96Devices - Tru64 UNIX .......................................................................100Gestion des disques - Tru64 UNIX..................................................104

5 - Systmes de fichiersGnralits ..............................................................................................2Particularits de certains systmes de fichiers...................................6Concepts dadministration des systmes de fichiers ......................12Systmes de fichiers - Solaris 2.x........................................................18Systmes de fichiers - Linux ...............................................................28Systmes de fichiers - HP-UX.............................................................36Systmes de fichiers - IRIX .................................................................44Systmes de fichiers - AIX ..................................................................60Systmes de fichiers - Tru64 UNIX....................................................74Systme de fichiers - Tru64 - Digital Unix........................................82

6 - Gestion des zones de swapGnralits ..............................................................................................2Swap space - Solaris 2.x.........................................................................4Swap space - Linux ..............................................................................12Swap space - HP-UX............................................................................18Swap space - IRIX.................................................................................22Swap space - AIX .................................................................................30Swap space - Tru64 UNIX...................................................................34

7 - Procdures de dmarrage (boot)Gnralits ..............................................................................................2Squence de boot - Solaris 2.x ............................................................16ii Admnistration des Serveurs Sun Fire MidFrameCopyright 2001 Sun Microsystems, Inc. All Rights Reserved. Enterprise Services, Revision A

Squence de boot - GNU/Linux ........................................................24

Squence de boot - HP-UX .................................................................40Squence de boot - IRIX ......................................................................48Squence de boot - Tru64 UNIX ........................................................64

8 - Terminaux et imprimantesGnralits ..............................................................................................2Gnralits sur les imprimantes ..........................................................4Fonctionnalits du SAF - Solaris 2.x....................................................6Installation des terminaux - Solaris 2.x.............................................12Installation des imprimantes - Solaris 2.x.........................................14Installation des terminaux - Linux ....................................................30Installation des imprimantes - Linux ................................................32Installation des terminaux - HP-UX..................................................40Installation des imprimantes - HP-UX..............................................46Installation des terminaux - IRIX.......................................................54Installation des imprimantes - IRIX ..................................................58Installation des terminaux - AIX........................................................66Installation des imprimantes - AIX ...................................................68Installation des terminaux - Digital UNIX .......................................78Installation des imprimantes - Digital UNIX...................................80

9 - Configuration du noyauGnralits ..............................................................................................2Configuration du noyau - Solaris 2.x ..................................................8Configuration du noyau - HP-UX .....................................................38Configuration du noyau - IRIX ..........................................................48Configuration du noyau - Tru64 UNIX ............................................56

10 - Configuration TCP/IPGnralits ..............................................................................................2Configuration TCP/IP - Solaris 2.x .....................................................6Configuration TCP/IP - HP-UX ........................................................18Configuration TCP/IP - IRIX .............................................................22Configuration TCP/IP - AIX ..............................................................26Configuration TCP/IP - Tru64 UNIX ...............................................30

11 - Sous-rseaux et routageGnralits sur le subnetting................................................................2Gnralits sur le routage .....................................................................6Routage HP-UX....................................................................................20Routage IRIX.........................................................................................24Routage AIX..........................................................................................28Routage Tru64 UNIX...........................................................................32

12 - NFS : Network File SystemGnralits ..............................................................................................2NFS - Solaris 2.x....................................................................................10NFS - GNU/Linux ...............................................................................13NFS - HP-UX.........................................................................................20iiiCopyright 2001 Sun Microsystems, Inc. All Rights Reserved. Enterprise Services, Revision A

NFS - IRIX .............................................................................................22

NFS - AIX ..............................................................................................24NFS - Tru64 UNIX................................................................................27Gestion de lautomonteur ...................................................................30Automontage en environnement htrogne ..................................36

13 - NIS : Network Information ServiceGnralits ..............................................................................................2Fonctionnalits des NIS.........................................................................8Dfinition des concepts .......................................................................10Services de Noms - Solaris 2.x............................................................28Services de Noms - HP-UX.................................................................54Services de Noms - IRIX......................................................................66Services de Noms - AIX.......................................................................80Services de Noms - Tru64 UNIX........................................................94

14 - Sauvegarde et RestaurationGnralits ..............................................................................................2Rsum des commandes.....................................................................18Sauvegarde - Solaris 2.x ......................................................................26Sauvegardes - HP-UX..........................................................................36Restauration - HP-UX..........................................................................40Sauvegarde et restauration avec sam - HP-UX................................44Sauvegarde - IRIX ................................................................................46Sauvegarde - AIX .................................................................................54Sauvegarde - Tru64 UNIX ..................................................................63

15 - NIS +:Network Information Service + 1

Les NIS+ ..................................................................................................2iv Admnistration des Serveurs Sun Fire MidFrameCopyright 2001 Sun Microsystems, Inc. All Rights Reserved. Enterprise Services, Revision A

1--1Prsentation 1

Objectifs

n Historique

n Fichiers de configuration

n Gestion des disques

n Configuration des noyaux

n Gestion des utilisateursCopyright Janvier 2000Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

1Problmes lis une administration htrogne 11-2 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

1Problmes lis une administration htrognePrsentation 1 -3

Du fait de laccroissement des entreprises utilisant plusieurs systmesdexploitation simultanment, les administrateurs sont confronts des problmes lis chaque type denvironnement et de mise jourdes connaissances.

Lors de lutilisation de plusieurs systmes fortement htrognes, onfait gnralement appel plusieurs administrateurs systmes, un pourchaque type de systme dexploitation (par ex. VMS, DOS, UNIX, NT).

Pour UNIX, le phnomne samplifie car UNIX est constitu deplusieurs branches.

Chaque UNIX va possder ses propres spcificits, mme si ondistingue de grands standards.

La premire difficult rside dans le fait que les standards secontredisent en partie.

On a trs souvent exig, sous UNIX, une fonction avant ldificationdun quelconque standard. Puis, on a dvelopp un standard quintait pas toujours identique au modle dja existant. Cette dmarcheconduit souvent un standard qui nest pas toujours parfait.

Ladministrateur doit donc connatre les grandes lignes des diffrentesversions PLUS les spcificits de chaque driv.

Ladministrateur reste responsable du bon fonctionnement et delintroprabilit entre les diffrents UNIX.Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

1Historique 11-4 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

UNIX V7

System III BSD

Filire ATT Filire Berkeley

System V

SVR4 OSF/1UNIXtm

UNIX V1

- Solaris 1.x/SunOs 4.x- Ultrix- BSD 4.x- Linux- Sinix- Irix 5.x

- HP-UX- SCO- Xenix- AIX 3.x

- OSF/1- Tru64 UNIX

- Solaris 2.x- HP-UX 10.x- AIX 4.x- IRIX 6.x- SCO 5.x

Influence ATTInfluence Berkeley

Influence OSF

Influence UIUNIX International

1Diffrents standards 1Prsentation 1 -5

Les diffrentes tendances de standardisation nous donnent les grandeslignes de lvolution dUNIX. Les systmes dexploitation issus de cesUNIX majeurs permettent de dduire une administration typique decette variante UNIX. Si on connat la branche laquelle est rattach unUNIX (on parle parfois de saveur - flavor - dUNIX), on peut endduire un fonctionnement global.

Le graphique de la page ci-contre indique les deux lignes dedveloppement initial dUNIX : il sagit de la branche System V issuedAT&T et de la version BSD (Berkeley Software Development) UNIXde lUniversit de Berkeley.

De nombreux UNIX nutilisent pas seulement les fonctionnalits deleur branche dorigine, mais ils se sont enrichis des fonctions de labranche concurrente.

De plus, les constructeurs apportent parfois leurs propresmodifications leur systme dexploitation.

A la fin des annes 80, deux comits se sont forms pour tenter dedvelopper un UNIX standardis.

Il sagissait de deux organisations :

n UI : UNIX International

n OSF : Open Software Foundation. Actuellement lOSF dtientlappellation UNIX et la dlivre suivant le respect dun certainnombres de critres

Les constructeurs ont adhr lune ou lautre de ces deuxorganisations et ont promis de dvelopper leur UNIX conformmentaux standards proposs.

Au fil du temps, les constructeurs sont pass de lune lautre de cesorganisations, ce qui eut pour effet de poser une certaine confusionCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

1Les UNIX prsents dans ce support 11-6 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Solaris 2.x (SunOs 5.x)

n Linux 2.2.x (distributionRedHat 6.x)

n AIX 4.3.x

n HP-UX 10.x

n IRIX 6.x

n Tru64 UNIX (Digital Unix 4.0)

1Les UNIX prsents dans ce supportPrsentation 1 -7

Nous verrons de quels drivs sont issus les diffrents UNIX ci-contre,hritant des mcanismes BSD ou plutt System V.

Ce cours traite des aspects les plus importants lis aux diffrentssystmes dexploitation UNIX utiliss lheure actuelle sur le march.

On pourra tout de mme noter que les UNIX issus de la norme SVR4possdent un noyau de type AT&T et que Digital UNIX (OSF/1)utilise un micro-noyau de type Mach, issue de lUniversit Carnegie-Mellon.

Dans la branche SVR4, on notera les accords COSE (CommonOperating System Environment) qui permettent de profiter dunnoyau SVR4, dutilitaires rseau du kit ONC+ ou DCE et dun espacegraphique commun (Common Desktop Environment) pour les plate-formes Sun, HP, IBM et Novell, sappuyant sur X11 et un windowmanager de type Motif.

Kernel

SVR4

Rseau

ONC+/DCE

Desktop

CDE

Look & FeelCDE Motif

PrimitivesX11

ACCORDS COSE

GRAPHIQUECopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

1Fichiers de configuration 11-8 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

- Fichiers ASCII

- Fichiers binaires

HP-U

X

SGI IRIX

Tru64 UNIX

AIX

Linux 2.2.x

Solaris2.x

Serie 800Serie 700Serie 800LVM

LSMFilePartitionnement

Domain

LVM (SDS)

raidtools/LVMxlv

VxVM ou

1Fichiers de configurationPrsentation 1 -9

Les fichiers de configuration sont traditionnellement conservs dansdes fichiers TEXTE qui peuvent tre accds avec un diteur (vi,emacs, textedit ou dtpad).

AIX contient les principales options de configuration sous un formatbinaire (accessible uniquement par smit). Ce format ne facilite pas uneintervention manuelle et ncessite lapprentissage de nombreusescommandes supplmentaires.

La faon dutiliser les disques dgage deux types de partitionsprincipales :

n Les systmes de fichiers

n les zones de swap.

Chaque constructeur possde galement ses propres dispositifs degestion spcifique des disques ( en gnral bas sur des concepts deHaute displonibilit de type RAID). Ces dispositifs permettentgnralement de pouvoir tendre un systme de fichiers sur plusieursdisques (RAID 0 - striping ou concatnation), de pouvoir les mettre enmiroir (RAID 1) afin dassurer une redondance de linformation en casde crash dun des disques.

Ils permettent souvent de pouvoir tendre un systme de fichiersdynamiquement.

Que ce soit pour la branche System V que pour la branche BSD, cesdeux drivs utilisent le principe du partitionnement (sauf AIX), et ,de base, les parties cohrentes se trouvent sur le mme disque.

LOSF utilise le systme LVM (Logical Volume Manager) avec lesavantages suivants:

n Une zone disque (LV : Logical Volume) ne peut tre plusgrande quun disque. Par consquence un systme de fichiersne peut tre plus grand quun disque.

n Une LV peut tre dynamiquement agrandie (et mmediminue).Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

1Fichiers de configuration1-10 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

Solutions

n Performances :

n RAID 0 / Striping

n Concatnation

n Journaling

n Haute disponibilit :

n RAID 1 / Miroir

n RAID 5 / Striping avec un bloc de parit rparti

n Possibilit dtendre un systme de fichiers sur plusdun disque

n Possibilits dextensions dynamique

n Sauvegarde en ligne

1Fichiers de configurationPrsentation 1 -11

La plupart des UNIX disposent en option de ces techniques de VolumeLogique (LVM) :

n AIX utilise exclusivement un LVM,

n HP-UX propose un LVM comparable celui dIBM et proposeVeritas: Volume Manager comme option.

n Linux propose raidtools et une implmentation LVM proche decelle de HP.

n SUN propose Solstice: DiskSuite en Standard sur les serveurs etVeritas: Volume Manager en option.

n Digital UNIX propose le Logical Storage Manager. Ce dispositifinitialement dvelopp par Veritas permet une plus grandefacilit dutilisation.

Les systmes de fichier

Il est utilis pour crer des structures arborescentes pour stockerfichiers et rpertoires.

La plupart des UNIX avaient adopt le Berkeley 4.2 Fat Fast FileSystem (Gestion des groupes de cylindres pour viter unefragmentation) aprs avoir abandonn le File System de type System V(s5) comme systme de fichiers par dfaut.

Le systme de fichiers de type 4.2 BSD offre des performances bienmeilleures et une scurit accrue en cas de crash.

Comme le systme de fichiers de type 4.2 BSD noffre pas defonctionnalits de type UFS logging (ou journaling) en standard, nidadministration des version des fichiers ni dutilitaires decompression, certains constructeurs ont implments aprs coup cetype de fonctionnalits dans les outils quils proposaient.

On voit dsormais apparatre des systmes de fichiers implmentantdes fonctions ncssaires sur les serveurs (machines ncessitant unedisponibilit plus grande).Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

1Gestion des disques 11-12 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

Systmes de fichiers proposs

n SUN et HP : 4.2 BSD + Journaling en option ou vxfs

n Linux : ext2 (ext3, ReiserFS et xfs)

n AIX : JFS

n IRIX : efs, xfs

n Digital UNIX : 4.2bsd, AdvFS

BSDFS

HP-U

X

SGI IRIX

AIXLinux 2.2.x

ADVFS

efs xfs

UFS

u

u

Solaris2.x

u

ufs

u Logging

Tru64 UNIX

JFS

hfs

ouu

vxfs

uvxfsou

u

xfs, ReiserFS

ext2ext3uu u

1Gestion des disquesPrsentation 1 -13

n Solaris 2.x (SunOs 5.x) et HP-UX ne supportent en standard quele systme de fichiers standard de Berkeley. Les fonctionnalitsde type ufs logging sont proposes dans des produits spars.Chez HP-UX le produit VxFS est propos ds linstallation dansune version minore. VxFS supporte le boot partir de HP-UX11.x.

n Linux 2.2.x propose un systme de fichiers appel ext2 quipermet un agrandissement en ligne.

n AIX propose le Journaled File System (jfs)qui est en fait un FileSystem avec des fonctionnalit de journaling et de volumeslogiques.

n SGI IRIX propose 2 types de Systmes de fichiers :

n efs : Extent File System

n xfs : eXtended File System (64 bits -> 18Eo)

n Tru64 UNIX supporte le systme de fichiers classique BSD ainsique lAdvanced File System. Ce dernier prsente de nouvellescaractristiques:

n Logging

n Sauvegarde en ligne

n Possibilit dextension travers plusieurs disques. Cetteextension peut tre ralise progressivement au gr desbesoins de ladministrateur systme.Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

1Concepts noyau 11-14 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Noyaux de type statique et dynamiques

HP-U

X

SGI IRIX

Tru64

AIX

Linux 2.2.x

Solar

is2.x

UNIX

statiques dyna

miq

ues

Mod

ules

dyn

amiq

ues

Mod

ules

dyn

amiq

ues

1Concepts noyauPrsentation 1 -15

Le kernel est le coeur du systme UNIX, il permet daccder auHardware, la mmoire et les systmes de fichiers

Jusqu System V R3 et avec BSD UNIX le kernel est configur demanire statique.

Il faut donc gnrer un nouveau noyau chaque modification de laconfiguration.

La Norme SVR4 a introduit le concept de noyau dynamique quipermet une reconfiguration plus rapide et moins dangeureuse.Certaines parties sont entirement dynamiques et ne ncessitent mmepas de phase de reboot.

Solaris 2.x et AIX supportent tous deux un noyau dynamique

Linux 2.2.x, Tru64 UNIX, IRIX et HP-UX utilisent un kernel statique.De futures versions de Digital UNIX supporteront le principe demodules dynamiquement chargeables.Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

1Processus de boot 11-16 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

UNIX

Programme de boot

kernel

init

Linuxrun levels

System Vrun levels

/etc/inittab

/etc/rcx ou /sbin/rcn

scripts sous/etc/rcx.d ou /sbin/rcn.d

Linux 2.2.x AIX 4.1.x Tru64 UNIX, HP-UX, IRIX SGI,Solaris 2.x

/etc/inittab

/etc/rcx

scripts sous/etc/rc.d/rcx.d

1Processus de bootPrsentation 1 -17

Les systmes dexploitation issus de la branches BSD utilisentseulement les notions darrt, de mode mono-utilisateur (maintenance)et de mode multi-utilisateur.

Ceux de la branches System V dfinissent des run levels. Lecomportement adopter lors du passage dun run-level un autre estrfrenc dans le fichier /etc/inittab

La partie commune aux diffrents UNIX est la suivante:

n Charger le programme de boot

n Charger le kernel

n Dmarrer le processus init

Avec BSD UNIX, le processus init dmarre plusieurs scripts de startupqui se trouvent habituellement dans le rpertoire /etc.

Le mcanisme System V, en revanche, utilise pour paramtrer init lefichier /etc/inittab afin de choisir les fichiers de startup qui sontrangs dans les sous arborescences de /etc/rcn.d. Le n rfrenant leniveau de dmarrage demand

n Linux 2.2.x utilise un boot un boot sapparentant du System Vmais qui utilise des arborescences plus profondes.

n Solaris 2.x, Tru64 UNIX, HP-UX et IRIX utilisent un boot de typeSystem V

n AIX mlange un peu de System V (le fichier /etc/inittab) et deBSD (concentration de commandes dans des fichiers dedmarrage).Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

1Administration des utilisateurs 11-18 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

UNIX

fichier utilisateur

/etc/passwd

fichier groupe

/etc/group

Password : BSD

dans le fichier/etc/passwd

Password : System V

dans le fichier/etc/shadow

Password : AIXdans le fichier

/etc/secu-rity/passwd

HP-UX,Tru64 UNIX

Solaris 2.x, IRIX, Linux

1Administration des utilisateursPrsentation 1 -19

Chaque driv dUNIX utilise le fichier /etc/passwd pour enregistrerles utilisateurs dasns le systme. Chaque utilisateur appartient aumoins un groupe (groupe primaire) dfini dans le fichier/etc/group.

Les diffrences se prsentent pour le stockage du mot de passe.

n Le systme BSD enregistre le mot de passe dans le fichier/etc/passwd, on dispose gnralement de modules de scuritsupplmentaires pouvant tre activs.

On rencontre ce type de mcanisme dans les systmes (SunOs 4.x),HP-UX et Digital UNIX.

n Les mcanismes System V lis au stockage du mot de passedportent celui-ci dans un fichier /etc/shadow (qui nest engnral que read-only pour root). Ils indiquent alors dans lefichier /etc/passwd le fait que le deuxime champ ( le mot depasse) est dport par un caractre particulier ( * , ! , x ouautre).

On retrouve ce mcanisme sous Solaris 2.x (SunOs 5.x), sous Linux2.2.x et chez SGI IRIX.

Linux propose en plus un cryptage MD5 plus performant que lecryptage UNIX classique. Ce changement rompt la compatibilitentre des versions dUNIX diffrentes.

n Le mcanisme utilis par IBM sapparente plutt au mcanismeSystem V, mais le fichier se nomme /etc/security/passwd etpossde une syntaxe diffrente du fichier /etc/shadow.Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

11-20 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

2-1Outilsdaideladministration 2

Objectifs

n Gnralits

n Outils Solaris 2.x

n Outils Linux

n Outils HP-UX

n Outils IRIX

n Outils AIX

n Outils Tru64 UNIXCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

2Gnralits 22-2 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Outils disponibles dans les diffrentssystmes

Solaris 2.x Linux HP-UX IRIX AIX Tru64 UNIX

Systmedefentrage

CDEOpen windowsGnome

MotifKDEGnome

HP-VUECDE

CDE MotifCDE

MotifCDE

Graph.Tool

admintoolsolstice

linuxconfOutilsTcl,python,...

sam sysmgr smit outils sousCDE(*config)

ASCIITool

sys-unconfiguseradd,groupadd,...etc.

linuxconfadduseruseraddetc.

set_parmssam

addUserAccount

smitty setupadduser,etc.(*setup)

2GnralitsOutils daide ladministration 2 -3

Pour faciliter ladministration, la plupart des systmes sont quipsdoutils en plus des commandes de base.

Ces outils sont parfois disponibles en mode TEXTE (CLI : CommandLine Interface), parfois graphiques (GUI : Graphical User Interface).Chaque constructeur est libre dimplmenter linterface graphiquequil dsire.

Les commandes UNIX ne sont plus ncessaires dans desconfigurations de base, mais restent importantes connatre pour descas particuliers que les outils nincluent pas.

Du fait des aides en-ligne contenues dans les outils graphiques ainsique de multiples contrles au niveau de la saisie, ladministrateursystme voit sa tche simplifie par lusage de tels outils. Il apprendgalement les bases du fonctionnement interne du systme.

Lavantage des outils en mode ASCII tient dans le fait quilsncessitent moins de ressources que leurs pendants graphiques etquon peut les utiliser mme lorsque le systme travaille en modedgrad (Mode mono-utilisateur).

Certains outils dadministration permettent mme dexploiter lesfonctionnalits lies aux groupes UNIX afin dobtenir des permissionsexceptionnelles sur des actions habituellement reserves root.

On pourra ainsi dlguer certaines tches dadministration desutilisateurs non-privilgis.Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

2Outils - Solaris 2.x 22-4 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Outils graphiques proposs

n Sous Solaris 2.5+

n Sous Solaris 7+

solaris 2.x # admintool &

solaris 2.5 # solstice &

solaris 7# smc &

2Outils - Solaris 2.xOutils daide ladministration 2 -5

Sous Solaris 2.x, Sun propose ladmintool (en Solaris 2.5 Solstice:AdminSuite) comme interface graphique daide ladministration.

Solstice : AdminSuite fonctionne sous Open Windows et sous CDE(Common Desktop Environment). On dmarre cet outil par lacommande admintool (en Solaris 2.5 avec la commande solstice).

A partir de Solaris 7, on voit apparatre un lanceur Java appel SolarisManagement Console qui se lance avec la commande scmgr

Fonctions principales dadmintool/solstice/scmgr

Lensemble du produit permet de travailler sur les fichiers locaux(/etc), dans un contexte YP/NIS ou dans un contexte NIS+

Dans la fentre principale (appele launcher sous Solaris 2.5), ondispose des fonctionnalits suivantes :

n Database Manager :cet outil permet dinterfacer les principaux fichiersdadministration (hosts, ethers,...) en proposant des masques desaisie qui contrlent les donnes entres par ladministrateur.

n Host Manager :avec cette fonctionnalit, on peut dfinir une Diskless, ouvalider une installation distante.

n Le Storage Manager:compos du Disk et du File System manager.

n User Account Manager:on peut crer un compte utilisateur, le modifier ou le dtruire.

n Le Printer Manager :installation dune imprimante en local sur le systme oudsignant une imprimante distante.

n Le Serial Port Manager :simplifie la connexion des modems et des terminaux sur lesports srie, lensemble tant dclar dans le SAFCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

2Le dmon admind 22-6 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Possibilits dadministration distante laide dugroupe 14 (sysadmin)

n Possibilit de scuriser

systme local Systme distant

solstice

sadmindsadmind

albert

/etc/group

sysadmin::14:albert

2Le dmon admindOutils daide ladministration 2 -7

Ce dmon est responsable des fonctions principalesdadmintool/solstice/scmgr. Cest grce lui quon peut passer des"mthodes distantes" travers le rseau, et ainsi administrer lesmachines de manire conviviale.

Ce dmon est la cl de vote de ce quon appelle le DAF (DistributionAdministration Framework). Le lancement dadmintool/solsticeprovoque le lancement de ce dmon ( travers inetd).

Possibilits dextension

Le dmon admind permet de sadapter au contexte de travail. Parexemple :

n Le passer en scurit 2 dans un environnement NIS+

n Les ACL ( partir de Solaris 2.5) qui permettent daugmenter leniveau de scurit de fichiers sur les FS de type Berkeley.

Utilit du groupe 14

Le groupe sysadmin (GID 14) permet une utilisation distante de cetoutil graphique entre 2 machines Solaris 2.x afin de toucher aux fichiersde configuration systme.

On dispose galement doutils en mode TEXTE comme useradd,usermod et userdel.

On peut galement utiliser les NIS+ pour augmenter la confidentialitdes transactions mises entre le client et la machine pilote.

solaris2x# useradd -u 102 -g staff -c "commentaire" -d /export/home/benoit -m -s /bin/csh benoit

solaris2x# passwd benoitCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

2Outils - Linux 22-8 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n linuxconf

n Quelques commandes assistantladministrateur dans ses tchesessentielles :

n useradd : Ajout dun utilisateur

n groupadd : Ajout dun groupe

2Outils - LinuxOutils daide ladministration 2 -9

Sous Linux , bien quil soit possible de procder manuellement avec vi,on dispose de linuxconf comme interface principale.

Ladministrateur peut galement utiliser des commandes texte quonretrouve dans de nombreux UNIX comme useradd, groupadd.

Les logiciels se manipulent avec gnorpm (sous gnome) ou bien avec lacommande rpm.

Par exemple: pour savoir si un package est install, on tape rpm -qoutilsCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

2Outils - HP-UX 22-10 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n sam : System Administration Manager

2Outils - HP-UXOutils daide ladministration 2 -11

Avec sam, on peut effectuer de trs nombreuses tchesdadministration sans connatre de commande lie HP-UX

sam dispose de deux interfaces: une version graphique sous X, et uneautre en mode TEXTE. La seule chose qui les diffrencie est leur aspectet bien videmment la faon de les utiliser.

Fonctionnalits de sam

n Administration des utilisateurs et contrle daccs au systme

n Scurit du systme : possibilit daugmenter le niveau descurit du systme

n Systmes de fichiers : ajouter ou enlever des parties delarborescence. Administration du SWAP et des systmes defichiers de type NFS.

n Ajouter/supprimer des priphriques : administration desterminaux, des modems des imprimantes.

n Maintenance du systme : Installation des sauvegardesautomatiques et administration des priphriques desauvegarde.

n Configuration rseau : configuration et administration durseau

n Administration distante : sam permet dadministrer dessystmes distants ainsi que le systme local, bien entendu.

n Configuration du kernel : sam peut effectuer des changementsau niveau du kernel afin dinclure de nouveaux devices. Cestcet outil qui gre lchange entre lancien et le nouveau kernel.

n Ajouter/supprimer des applications ou groupes dapplicationspersonnaliss.

n Confier des tches dadministration des utilisateurs nonprivilgis (mode restrictif)Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

2Trace des activits de sam 22-12 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Fichier de log

2Trace des activits de samOutils daide ladministration 2 -13

La prsence dun fichier journal permet de contrler les activits desam. Le paramtrage de cette journalisation sobtient par le menu"Options" de la fentre principale.

Ce fichier se trouve sous /var/sam/log/samlog

On peut y saisir:

n la demande de dmarrage automatique de la visualisation dujournal au lancement de sam,

n la taille maximale du fichier journal,

n la rduction automatique de la taille de ce fichier.Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

2Outils - IRIX2-14 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Le Toolchest

n La fentre dinfos

Outils systme

Documentation

2Outils - IRIXOutils daide ladministration 2 -15

Le toolchest

Le Desktop IRIX (4D) est compos dun lment appel le Toolchestqui permet de visualiser les menus et sous menus crs (Motif).

Du cot droit de lcran on trouve galement des applicatifsfrquemment lancs (camra,etc...). Ils sont surtout relatifs auxapplicatifs graphiques que Silicon distribue.

La documentation

La documentation est au format SGML (une sorte de HTML pluscomplet). Ce format standart est en train de simposer au niveau delensemble des documents des diffrents constructeurs, au dtrimentde formats propritaires (Answerbook) ou peu modulables(Postscript).Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

2Outils - IRIX2-16 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Outil graphique (sysmgr)

2Outils - IRIXOutils daide ladministration 2 -17

Dans le toolchest (menu en haut gauche de lenvironnement detravail IRIX), on trouve un certain nombre de managers.

n Le System Manager (page ci-contre) - sysmgrIl permet de contrler la plupart des tches dadministrationstandard comme la cration des utilisateurs, gestion desterminaux, etc...

n Le File System Manager - runcatalogpermet de manipuler les systmes de fichiers (mount/umount)

n Le Printer Manager - printersPermet de grer les imprimantes

n Le Software Manager - swmgrPermet davoir une interface conviviale la commande inst.

n Le License Manager - LicenseManagerPermet la gestion de manire simple du systme de gestion delicenses Flex.

On peut noter que la plupart des commandes texte se trouvent dansles rpertoires /usr/sysadm/privbin et /usr/sysadm/binCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

2Outils - AIX 22-18 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Lancement de smit

aix # smit &

2Outils - AIXOutils daide ladministration 2 -19

Sous AIX, IBM propose smit comme outil graphique dadministrationsystme. Cet outil peut tre activ par la commande smit en shell.

Comme smit propose une panoplie complte de fonctions, on peut yaccder directement en paramtrant le lancement de smit.

Fonctions principales de smit

smit propose les fonctions suivantes :

n Software Installation & Maintenance :supervise linstallation et ladministration des logiciels.

n Devices :supervise linstallation et la configuration des priphriques.

n Physical & Logical Storage :Pour linstallation de LV, de systmes de fichiers et de swap.

n Security & Users :Gestion de la securit et des utilisateurs

Astuce: Une fois que la fenetre correspondant votre action apparait,vous pouvez taper sur pour voir apparaitre le mot-cl associ.Vous pourrez utiliser ce mot-cl la prochaine utilisation de smitpour accder directement lcran concern.

n System Environments

n Processes & Subsystems

aix # smit system

aix # smit srcCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

2Outils - AIX2-20 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Accs direct une fonctionnalit

n Fonctions spcifiques utilises

- Software Installation & Maintenance

- Devices

- Physical & Logical Storage

- Security & Users

n Diskless Workstation Management & Installation

n Communications Applications & Services

n Spooler

aix # smit crfs&

aix # smit install

aix # smit dev

aix # smit storage

aix # smit security

aix # smit diskless

aix # smit commo

aix # smit spooler

2Outils - AIXOutils daide ladministration 2 -21

n Diskless Workstation Management & Installation :Installation des machines Diskless.

n Communications Applications and Services :pour linstallation de la couche TCP/IP et la gestion de NFS.

n Spooler :Pour linstallation et la gestion des imprimantes

n System Environments :Gestion de la date des timezones, des run-levels,etc...

n Processus et subsystems :pour ladministration des processus et des dmons.

Le fichier de configuration de smit

Pour pouvoir activer en shell les commandes de type smit, onrcapitule ces commandes dans le fichier /smit.script. Toutes lesactivits gnres par smit sont traces dans le fichier /smit.log.

Ces fichiers ont tendance grossir de manire rgulire,il faudra doncprendre soin de les surveiller et de les rduire rgulirement (parexemple, rm et touch).Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

2Outils - Tru64 UNIX 22-22 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Outils en mode texte

n Gestion des disques pouvant tre faite enmode graphique.

n Outils graphiques disponibles sous CDEen V4.0

2Outils - Tru64 UNIXOutils daide ladministration 2 -23

Tru64 UNIX dispose dune srie doutils que lon peut rcapitulercomme suit

n iprsetup (excutable) : installation des routeurs

n latsetup (excutable) : gestion de terminaux srie

n svcsetup (shell script) : modification du dmarrage pour unventuel service de nom.

n timedsetup (shell script) : configuration des "time service"

n volsetup (shell script) : initialisation des LSM

n adduser (shell script) : installation des utilisateurs

n addgroup (shell script) : installation de nouveaux groupes

n setup (shell script) : configuration systme standard. On trouvedans les menus proposs les utilitaires suivants :

n netsetup (excutable) : initialisation rseau

n bindsetup (shell script) : installation de BIND (DNS)

n nissetup, ypsetup (shell script) : initialisation NIS

n nfssetup (shell script) : initialisation NFS

n uucpsetup (shell script) : initialisation uucp

n ntpsetup (shell script) : synchronisation de la date entesystmes.

n mailsetup (shell script) : configuration du systme de mail

n snmpsetup (shell script) : possibilit de configurationdagents SNMPCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

2Outils - Tru64 UNIX2-24 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

2Outils - Tru64 UNIXOutils daide ladministration 2 -25

lprsetup (shell script) : installation dimprimantes (matricielle oulaser)

strsetup (excutable) : gestion des modules streams

secsetup (shell script) : installation de mcanismes de scuritsupplmentaires.

audit_setup (shell script) : gestion des fichiers daudit en scurit C2

lmfsetup (shell script) : enregistrement de licenses

prestosetup (shell script) : configuration du logiciel Prestoserve

Outils CDE

Sous CDE, on trouve diffrents types doutils quon peut dmarrerindpendamment.

Par exemple:

n dop diskconfig

n dop nfsconfigCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

22-26 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3-1Gestiondesutilisateurs 3

Objectifs

n Principes dadministration des utilisateurs

n Fichiers de configuration, commandes et scurit - Solaris 2.x

n Fichiers de configuration, commandes et scurit - Linux

n Fichiers de configuration, commandes et scurit - HP-UX

n Fichiers de configuration, commandes et scurit - IRIX

n Fichiers de configuration, commandes et scurit - AIX

n Fichiers de configuration, commandes et scurit - Tru64 UNIXCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Principes dadministration des utilisateurs 33-2 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Rle de ladministrateur

n Cration des comptes utilisateur

n Gestion des comptes

n Suppression des comptes

n Administration du parc machines

n Pour tre root

n Connexion directe

n Passage par la commande su

3Principes dadministration des utilisateursGestion des utilisateurs 3-3

Chaque utilisateur du systme doit tre dfini par ladministrateur etautoris par ce dernier se connecter sur la machine avant dentrer ensession (on parle alors de "compte utilisateur").

Cette dclaration doit tre effectue par le super-utilisateur ou unepersonne ayant des permissions comparables ladministrateur avantque lutilisateur puisse se connecter (loguer).

Chaque systme UNIX possde un compte root permettant daccder toutes les ressources locales du systme. Le nom de ce compte estroot (UID=0).

Ladministrateur, utilisateur privilgi est souvent le seul pouvoiractiver certains programmes, modifier certains fichiers ou pouvoirintervenir sur les comptes des utilisateurs. Nous en reparlerons plusloin

Ladministrations des UTILISATEURS (ajouter un compte utilisateur,modifier des comptes utilisateurs existants, supprimer un compte) estune de ces actions importante effectue par ladministrateur traitedans ce chaptre.

Le super-user

Pour passer super-utilisateur (root) , on a 2 possibilits

n se connecter directement sous le compte root

n accder un shell privilgi en utilisant la commande suCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Caractristiques dun utilisateur UNIX 3

al3-4 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

Le fichier /etc/shadow ou son quivalent possdent le mot de passecrypt de lutilisateur et des particularits sur les critres devieillissement qui dpendent des systmes.

bert : x : 101 : 10 : com. : /home/albert : /bin/sh : : : : : :

username : Le nom de lutilisateur (logname)

password : Ce champ contient le mot de passe crypt. Dans lesversions dUNIX les plus rcentes, on trouve dans ce champsun indicateur qui renvoie la recherche dans un fichier pos-sdant des droits plus restrictifs (souvent /etc/shadow).

UID : Nombre identifiant de manire unique lutilisateur sur lesystme.

GID : Groupe primaire auquel appartient forcment lutilisa-teur

commentaire : Commentaire dcrivant de manire plus explic-ite lutilisateur.

HOME directory : Rpertoire dans lequel lutiisateur se trou-vera lissue du login.

programme : Programme excut au login (habituellement unshell pour un utilisateur ).

3Caractristiques dun utilisateur UNIXGestion des utilisateurs 3-5

Chaque utilisateur doit tre dclar par ladministrateur.

Il va falloir dfinir un nom de login (ou logname) et choisir un mot depasse pour lutilisateur.

Ces informations ainsi que la plupart des informations relatives lutilisateur sont conserves dans le fichier /etc/passwd et ce fichiersera gr par ladministrateur.

n Le nom de lutilisateur : une squence de caractres (8 en gnral)identifiant lutilisateur final.

n Le mot de passe (crypt) qui correspond au mot de passe delutilisateur. Lutilisateur doit tre le seul connatre son motde passe et il ne doit le communiquer personne.

n LUID : une valeur entire positive gnralement comprise entre0 et 65535 permettant didentifier un utilisateur de manireunique. Historiquement, les UID sont attribus partir de 100car les valeurs entre 0 et 99 sont reserves des comptessystme ou linstallation de nouveaux applicatifs.Limplmentation des E.F.T (Extended Fundamental Types) enSVR4 permet de passer 232-1 utilisateurs.

n Le GID Primaire : indique le GID de lutilisateur la connexion.Cest galement un entier entre 0 et 65535 qui trouve sacorrespondance dans le fichier /etc/group.

n Commentaire : suite de caractres (except un ":" ou un) pour dcrire de manire plus prcise lutilisateur

n Home Directory : Indique un chemin absolu dans larborescenceappartenant lutilisateur pour crer de nouveaux fichiers.

n Programme excut au login : gnralement un interprteur shellpour lutilisateur (/bin/sh)Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Caractristiques dun utilisateur UNIX3-6 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Le fichier /etc/passwd rcapitule lensemble des valeursrelatives lutilisateur.

n Ne pas supprimer les comptes "systme" (sys, daemon,bin, etc...) qui doivent toujours tre rfrencs

n Eviter galement de les modifier sans vrifier lesincidences de la modification.

n Ne pas supprimer le compte root

n Ne pas modifier les droits du fichier /etc/passwd. Ildoit rester en read pour group et other,do ncessit de dplacer le mot de passe dans unfichier plus scuris.

Contenu du fichier /etc/passwdroot:x:0:1:Super-utilisateur:/:/sbin/sh

3Caractristiques dun utilisateur UNIXGestion des utilisateurs 3-7

On rencontre souvent dans le fichier passwd des comptes systmesimportants qui sont utiliss par des applicatifs (uucp, imprimantes,etc...). Il ne faut pas, de manire gnrale, modifier les comptessystmes crs lors de linstallation du systme.

Ces comptes sont habituellement utiliss dans la squence de boot oulors du lancement de certains processus (on parle parfois de comptessetuid bit).Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Les groupes UNIX 33-8 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Lutilisateur appartient implicitement son groupe primaire

projet : x : 100 : albert,benoit,charles : : :

groupname : Le nom affect au groupe

password : Ce champ contient le mot de passe crypt. Laplupart des UNIX ne proposent pas de commande pour mettre jour ce champ

GID : Nombre identifiant le GID pour le systme

membres : Liste des membres associs ce groupe

3Les groupes UNIXGestion des utilisateurs 3-9

On attribue chaque utilisateur UNIX, un groupe primaire. Cemcanisme permet de partager des rpertoires en utilisant lespermissions UNIX de base. Ces informations sont conserves dans lefichier /etc/group organis comme suit :

n Le nom du groupe :une srie de caractres (gnralement 8 maximum) permetdidentifier les groupes.

n Le mot de passe (optionnel) :bien que la plupart des UNIX ne proposent aucune possibilitpour remplir ce champ, on peut utiliser cette fonctionnalitpour passer dun groupe lautre (par la commande newgrp).

n Le GID :ce Group ID est un nombre positif entre 0 et 65535 (16 bits) quiest la valeur effective utilise par UNIX (Les EFT - ExtendedFundamental Types - codent prsent les UID sur 32 bits).

n Les membres du groupe :liste des adhrents du groupe, spars par une virgule.

Le groupe primaire

Dans le fichier /etc/passwd, ladministrateur dfinit un groupeprimaire rfrenc dans le fichier /etc/group.

Les groupes crs lors de linstallation du systme ne sont pas censstre modifis par ladministrateur.

Certains UNIX rservent certains GID des fins spcifiques.Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Fichiers de configuration 33-10 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Comparaison des outils et fichiers mis enoeuvre pour la gestion des comptesutilisateur

Solaris 2.x Linux HP-UX IRIX AIX Tru64UNIX

Fichierpassword

/etc/passwd /etc/passwd /etc/passwd /etc/passwd /etc/passwd /etc/passwd

Fichiershadow

default:/etc/shadow

/etc/shadow

cryptage MD5optionnel

Securit C2:/tcb/files/auth/[a-z]/

/etc/shadow default:/etc/security/passwd

Securit C2:/tcb/files/auth/[a-z]/

Passwordaging

/etc/shadow /etc/shadow /etc/passwd /etc/shadow /etc/security/passwd

XIsso

Fichiersgroup

/etc/group /etc/group /etc/group/etc/logingroup

/etc/group /etc/group /etc/group

Defaulthomedir.

/export/home /home /home /usr/people /home /usr/users

Outils useraddadmintoolsolstice

linuxconfuseradd/adduserkuser

vipw, useradd,userdel, usermodsam

sysmgraddUserAccountmodifyUserAccountdeleteUserAccount

mkusersmit mkuser

vipw, adduser,removeuser

rootaccess

/etc/default/login

/etc/securettytcp_wrapper pourtelnet,ftp,..

/etc/securetty /etc/default/login

/etc/security/user

/etc/securettys

Shells sh, ksh/etc/profile~/.profilecsh/etc/.login~/.cshrc~/.loginCDE~/.dtprofile

sh/etc/profile~/.profilecsh~/.cshrc~/.loginksh,bash,zsh,tcsh

POSIX sh, ksh,keysh/etc/profile~/.profilecsh/etc/csh.login~/.cshrc~/.loginCDE~/.dtprofile

sh, ksh/etc/profile~/.profilecsh/etc/csh.cshrc~/.cshrc~/.logintcsh~/.tcshrc

sh, ksh/etc/profile~/.profilecsh~/.cshrc~/.login

CDE~/.dtprofile

sh, ksh/etc/profile~/.profilecsh~/.cshrc~/.loginCDE~/.dtprofile

3Fichiers de configurationGestion des utilisateurs 3-11

Les diffrents UNIX grent les utilisateurs de manire spcifique en cequi concerne la scurit. Mais la gestion administrative au quotidien(Dclaration, mise--jour) est beaucoup plus "standard" et passegnralement par le fichier /etc/passwd.

On peut distinguer une habitude reporter les mots de passe dans unfichiers accs restreint (de type shadow) et seul Linux propose uncryptage plus complexe.Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Fichiers de configuration - Solaris 2.x 3

al3-12 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

bert : x : 101 : 10 : com. : /all/albert : /bin/sh : : : : : :


password : Ce champ contient le mot de passe crypt. Laprsence du x permet de rfrencer le fichier /etc/shadow.

UID : Nombre identifiant de manire unique lutiisateur sur lesystme.





3Fichiers de configuration - Solaris 2.xGestion des utilisateurs 3-13

Le logname est gnralement compos de 8 caractres bien quonpuisse en utiliser plus.

Les UID doivent tre uniques dans le fichier et on prend lhabitude decommencer la numrotation 100.

Les homes directory sont gnralement crs physiquement sous/export/home/, mais on verra dans le chaptre NFSquavec lusage de lautomonteur, on rencontre le HOME delutilisateur un emplacement logique (souvent /home).

Le fichier /etc/passwd et son contenu peuvent tre contrls par lacommande pwck (password check).

Pour visualiser la liste des comptes

Pour visualiser la liste des comptes sans mot de passe

solaris2.x# loginsarg1 1101 argentin 100 argentinearg2 1102 argentin 100 argentine

solaris2.x# logins -pmax 102 staff 10Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Le fichier shadow3-14 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n synchronisation entre /etc/passwd et/etc/shadow avec pwconv (passwordconverter)

albert : XgN5nQRsge1Mk : : : : : : : : : : : : : : :


password : Ce champ contient le mot de passe crypt. Lescodes NP (No password) et LK (Locked) sont indchiffrables(autant que *) et bloquent laccs au compte.

lastchanged : Nombre de jours entre le 1/1/1970 et la date dedernier changement du mot de passe..

minimum : Nombre de jours minimum de validit du compte

maximum : Nombre de jours maximum de validit du compte

warn : Nombre de jours de validit avant de commencer informer lutilisateur ( il est prvenu chaque login).

inactive : Nombre de jours dinactivit avant que le comptene soit verrouill (LK). Ladministrateur doit alors le dver-rouiller manuellement.

expire : Date dexpiration. Nombre de jours depuis le1/1/1970 qui indiquent une date absolue partir de laquelle lecompte est verrouill ( par exemple 7400 indique le 5/4/1990).

flag : Rserv pour des extensions futures, ce champ nestactuellement pas utilis.

3Le fichier shadowGestion des utilisateurs 3-15

Pour chaque utilisateur dans le fichier /etc/passwd, on trouve uneligne correspondante dans le fichier /etc/shadow. On y trouve desinformations concernant les mot de passe crypts des utilisateurs etleurs critres de vieillissement.

Dans le fichier de configuration /etc/default/login, on trouve desinformations concernant le login comme lobligation davoir un motde passe (PASSREQ, le PATH par dfaut - PATH, etc...).

Extrait du fichier /etc/default/login#ident"@(#)login.dfl1.793/08/20 SMI"/* SVr4.0 1.1.1.1*/

# ULIMIT sets the file size limit for the login. Units are disk blocks.# The default of zero means no limit.##ULIMIT=0

# If CONSOLE is set, root can only login on that device.# Comment this line out to allow remote login by root.#CONSOLE=/dev/console

# PASSREQ determines if login requires a password.#PASSREQ=YES

# PATH sets the initial shell PATH variable##PATH=/usr/bin:

# SUPATH sets the initial shell PATH variable for root#...Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Le fichier group3-16 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Le groupe 14 (sysadmin) joue un rleparticulier. Il permet dautoriser sesmembres possder des fonctionnalitsroot pour certaines oprations systme

projet : x : 100 : albert,benoit,charles : : :

groupname : Le nom affect au groupe

password : Ce champ contient le mot de passe crypt. Laplupart des UNIX ne proposent pas de commande pour mettre jour ce champ

GID : Nombre identifiant le GID pour le systme

membres : Liste des membres associs ce groupe

3Le fichier groupGestion des utilisateurs 3-17

Les groupes UNIX sont dclars dans le fichier /etc/group.

Un utilisateur doit appartenir au moins 1 groupe (appel groupeprimaire) est rfrenc dans le fichier /etc/passwd en troisimeposition.

Dans le fichier /etc/group, chaque ligne rfrence un groupe distinct.

n Le nom symbolique du groupeconstitu dune srie de caractres ( 8 en gnral)

n Le mot de passe du groupehabituellement non utilis

n Le GID

n La liste des membres du groupe,spars par une virgule.

Sous Solaris 2.x, le groupe sysadmin (GID 14) est bien particulier; ilpermet ses membres de pouvoir agir sur la configuration dusystme travers Solstice : AdminSuite sans avoir la moindrecaractristique lie root.

::::::Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Commandes de configuration - Solaris 2.x 33-18 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

Commandes pour la cration de comptes utilisateurs

n admintool / solstice Adminsuite

n useradd, usermod, userdel

n groupadd, groupmod, groupdel

3Commandes de configuration - Solaris 2.xGestion des utilisateurs 3-19

Pour crer des comptes utilisateurs, on dispose de 3 mthodesprincipales:

n Un outil graphique : admintool

n Une srie de commandes: useradd, usermod, userdel

n Une procdure manuelle

La procdure manuelle est la plus instructive, car elle permet de bienpercevoir tous les aspects de la cration. Nanmoins, les outilspermettent ladministrateur systme dviter les erreurs par denombreux contrles.

Admintool

L admintool permet de pouvoir crer un utilisateur sans avoir connatre les arcanes du systme.

Un autre avantage non ngligeable est que cet outil nest pas rserv root. En effet, les membres du groupe 14 ont le droit, traversladmintool, de pouvoir modifier la configuration du systme.

La commande useradd

Principe

La commande useradd permet de crer un compte utilisateur enrenseignant les fichiers passwd, shadow et group.

Les fichiers de dmarrage (.profile,.cshrc, etc...) peuvent tre copisautomatiquement dans le home directory du nouvel utilisateur etutilisant les modles rcuprs sous /etc/skel-pour cela, on utiliserales options -m -k de la commande useradd.Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Commandes de configuration - Solaris 2.x3-20 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Exemple de commande useradd

n La commande groupadd.

n La commande groupmod.

n La commande groupdel

solaris2.x# useradd -u 101 -g projet -c "Utilisateuralbert" -d /export/home/albert -m -k /etc/skel -s /bin/cshalbert6 blocks

Rsultat de la commande useradd dans le fichier /etc/passwdalbert:x:101:1001:Utilisateur albert:/export/home/albert:/bin/csh

Rsultat de la commande useradd dans le fichier /etc/shadowalbert:*LK*:::::::

solaris2.x# groupadd -g 144 developpeurs

solaris2.x# groupmod -g 144 nouveaunom

solaris2.x# groupdel nouveaunom

3Commandes de configuration - Solaris 2.xGestion des utilisateurs 3-21

Une fois que le compte utilisateur a t cr comme sur la page ci-contre, il reste verrouill (*LK*) jusqu ce que root lui affecte un motde passe..

La commande usermod permet de modifier un des champs du fichier/etc/passwd.

La commande userdel permet de supprimer un compte utilisateur etpermet de supprimer par la mme occasion son home directory et samailbox..

Configuration du fichier /etc/group

On trouve le mme jeu de commandes : groupadd, groupmod etgroupdel pour grer laide de commandes manuelles le fichier/etc/group

On peut vrifier la cohrence du fichier /etc/group avec la commandegrpck

solaris2.x# passwd albert

solaris2.x# usermod -s /bin/ksh albert

solaris2.x# userdel -r albertCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Fichiers de configuration - Linux 33-22 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

tom : x : 101 : 10 : com : /home/tom : /bin/sh : : : : : :


password : Ce champ contient un x indiquant la prsence dufichier ./etc/shadow.

UID : Nombre identifiant de manire unique lutiisateur sur lesystme.





3Fichiers de configuration - Linux 2.2.xGestion des utilisateurs 3-23

Au moment de linstallation du systme, ladministrateur est invit choisir sa politique de scurit en matire de mots de passe.

n Par dfaut, le fichier /etc/passwd contient le mot de passecrypt de lutilisateur.

n Ladministrateur est invit mettre en place au moins le fichier/etc/shadow pour rendre les attaques sur les mots de passemoins simple. En utilisant la commande pwconv,ladministrateur peut - aprs coup mettre en place cette mesurede scurit.Si il change davis, ladministrateur aura toujours la possibilitde revenir au format classique du fichier /etc/passwd avec lacommande pwconv

n La troisime solution consiste compliquer le cryptage enutilisant lalgorithme MD5.Bien que cette solution soit intressante, elle prsentelinconvnient de rompre la compatibilit avec les UNIXexistants et donc de ne plus pouvoir dupliquer les mots depasse ou de les placer dans un service de noms.Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Linux 2.2.x - le fichier shadow 33-24 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n synchronisation entre /etc/passwd et/etc/shadow avec pwconv (passwordconverter), retour avec pwunconv

albert : XgN5nQRsge1Mk : : : : : : : : : : : : : : :


password : Ce champ contient le mot de passe crypt. Lescodes NP (No password) et LK (Locked) sont indchiffrables(autant que *) et bloquent laccs au compte.

lastchanged : Nombre de jours entre le 1/1/1970 et la date dedernier changement du mot de passe..

minimum : Nombre de jours minimum de validit du compte

maximum : Nombre de jours maximum de validit du compte

warn : Nombre de jours de validit avant de commencer informer lutilisateur ( il est prvenu chaque login).

inactive : Nombre de jours dinactivit avant que le comptene soit verrouill (LK). Ladministrateur doit alors le dver-rouiller manuellement.

expire : Date dexpiration. Nombre de jours depuis le1/1/1970 qui indiquent une date absolue partir de laquelle lecompte est verrouill ( par exemple 7400 indique le 5/4/1990).

flag : Rserv pour des extensions futures, ce champ nestactuellement pas utilis.

3Le fichier shadowGestion des utilisateurs 3-25

Pour chaque utilisateur dans le fichier /etc/passwd, on trouve uneligne correspondante dans le fichier /etc/shadow. On y trouve desinformations concernant les mot de passe crypts des utilisateurs etleurs critres de vieillissement.

Dans le fichier de configuration /etc/securetty, on trouve leslimitations de login la console.

Si on veut permettre un accs sans restriction la console, il faut alorssupprimer ou renommer le fichier /etc/securetty.

Pour valider les accs distants, il faut galement remplir les fichiers/etc/hosts.allow et /etc/hosts.deny en consquence (tcp_wrapper).

Extrait du fichier /etc/securetty

Exemple de fichier /etc/hosts.allow

tty1tty2tty3tty4tty5tty6tty7tty8

in.telnetd: ALLCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3linuxconf 33-26 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3linuxconfGestion des utilisateurs 3-27

Cration de compte

On peut crer un compte utilisateur avec loutil linuxconf ou bienavec la commande useradd/adduser.

Penser donner un mot de passe lutilisateur avant son premierlogin

Attribution de privilges

Il est possible dattribuer des privilges particuliers des utilisateurs.

On peut modifier les valeurs par dfaut des caractristiques de logindans le fichier /etc/login.conf

linux2.2.x# useradd -u 101 -g projet -c "Utilisateuralbert" -d /home/albert -m -k /etc/skel -s /bin/csh albert6 blockslinux2.2.x# passwd albert

linux2.2.x# cat /login.defs# *REQUIRED*...

# Password aging controls:## PASS_MAX_DAYS Maximum number of daysa password may be used.# PASS_MIN_DAYS Minimum number of days#allowed between password changes.# PASS_MIN_LEN#Minimum acceptable password length.# PASS_WARN_AGE Number of days warning#given before a password expires.#PASS_MAX_DAYS 99999PASS_MIN_DAYS 0PASS_MIN_LEN 5PASS_WARN_AGE 7...Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Gestion des utilisateurs - HP-UX 33-28 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n sam

3Gestion des utilisateurs - HP-UXGestion des utilisateurs 3-29

Commandes de configuration

Sous HP-UX, on dispose de plusieurs moyens pour configurer lescomptes utilisateurs :

n Loutil interactif sam

n les commandes useradd(1m), usermod(1m), userdel(1m)

n La configuration manuelle

On pourra utiliser lors dune configuration manuelle la commandevipw qui permet dditer non pas le fichier /etc/passwd, mais unecopie de ce fichier (pour viter de corrompre le fichier en coursddition).

SAM

Il est possible de dfinir des profils ("templates") utilisateurs pourminimiser le volume dinformation saisir. Ladministrateur peutgalement grer les utilisateurs et les groupes, en utilisant les optionsdes fentres :

"Accounts for Users and Groups" puis le menu "Users" ou "Groups".

Ligne de commande

# useradd -u 2001 -g a15 -m -c "demonstartion,,," kubrick# usermod -c "M. Demo,,," -s /usr/bin/sh kubrick# userdel -r kubrick

Fichiers de configuration:

Contenu du fichier /etc/passwd

root:asjdkec2wwxKK:0:1:Superuser:/:/bin/sh

Contenu du fichier /etc/group

staff:*:10:root,albertCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Scurit - HP-UX 33-30 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Vieillissement des mots de passe

Si la valeur du champ min est plus lev que celle du champ max, alorsladministrateur ne peut que modifier le mot de passe.

Caractre Nombre desemaines

. 0

/ 1

0 9 2 11

A Z 12 37

a z 38 63

3Scurit - HP-UXGestion des utilisateurs 3-31

Vieillissement des mots de passe

Comme mesure supplmentaire de protection de donnes, le super-utilisateur peut donner un temps au bout duquel un utilisateur doitchanger son mot de passe. Cette information sera rattache au champdu mot de passe.

, maximum minimum semaines

Lorsquon saisit un 0 (la saisie est : ,...) dans les champs max et min, lutili-sateur est oblig de saisir un nouveau mot de passe au prochain login. Lasaisie sera alors utilise dans le fichier /etc/passwd.

hpux# vipw...

albert:KaB3X.7Hhl8eG,30vI:101:1001::/users/albert:/bin/sh

, La virgule spare les champs contenant les critres devieillissement du mot de passe.

max Ce code indique le nombre de semaines au-deldesquelles lutilisateur doit changer son mot de passe. lesdiffrents codes sont indiqus dans le tableau ci-contre

min Un caractre indiquant le nombre minimum de semaines partir desquelles un utilisateur peut changer son mot depasse.

semaine Une chane de caractres indiquant de manire crypte ladate de dernire modification du mot de passe.Le nombre de semaines depuis le 1/1/1970. ce champ estinterprt par le programme de login.Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Fichiers de configuration - IRIX 33-32 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Toolchest - System Manager

n Mthode manuelle : addUserAccount

3Fichiers de configuration - IRIXGestion des utilisateurs 3-33


Sous IRIX, ladministrateur dispose des fonctionnalits suivantes pourdclarer les comptes utilisateur:

n Outil graphique: /usr/sysadm/bin/sysmgr

n Les commandes: adduserAccount, modifyUserAccount etdeleteUserAccount que lon trouvent dans le rpertoire/usr/sysadm/privbin

n Mthode manuelle

sysmgr

Loutil graphique sysmgr permet la cration des utilisateurs et desgroupes..

Security and Access Control > User Manager ouSecurity and Access Control > Add a user accountCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Commandes de configuration - IRIX 33-34 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n addUserAccountCre le compte

n La commande addUserAccount suivie depasswd produit le rsultat suivant:

n modifyUserAccountmodifie le compte de lutilisateur

n deleteUserAccountSupprime le compte

contenu du fichier /etc/passwd

zoe:nx1oGKFGpZLk.:126:0:Zoe Brisefer:/usr/people/zoe:/bin/tsch

3Commandes de configuration - IRIXGestion des utilisateurs 3-35

La commande addUserAccount - Cration de compte

La commande addUserAccount permet de grer le fichier passwd.

Exemple de lexcution de la commande addUserAccount.

Lentre cre dans le fichier /etc/passwd possde un deuximechamp vide, qui empche la connexion sans mot de passe. Il est doncncessaire de crer immdiatement un mot de passe pour lutilisateur.

Modification dun compte utilisateur

Les donnes peuvent tre modifies par la commandemodifyUserAccount de la manire suivante :

Suppression dun compte utilisateur

Avec la commande deleteUserAccount , le compte utilisateur peuttre supprim, ainsi que le home directory auquel il est rattach :

irix# /usr/sysadm/privbin/addUserAccount -l zoe -u 126 -gguest -G "Zoe Brisefer" -H /usr/people/zoe -S /bin/tsch

irix# passwd zoe

irix# /usr/sysadm/privbin/modifyUserAccount -l zoe -S/bin/sh

irix# /usr/sysadm/privbin/deleteUserAccount -l zoeCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Commandes de configuration - IRIX3-36 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Peupler un HOME directory

n Vrification du fichier /etc/passwd : pwck

n Vrification du fichier /etc/group : grpck

n Mcanisme dautologinle fichier /etc/autologin


Crer un HOME directory utile

Si on veut installer des fichiers de dmarrage dans le home directory,(.profile, .cshrc, etc...) , on peut recopier les fichiers suivants dans leHOME de lutilisateur :

n Pour le Bourne/Korn shell :

n Pour le csh/tcsh :

Contrle de la cohrence des fichiers /etc/passwd et /etc/group

La commande pwck (password check) permet de vrifier quil nexisteaucun doublon dUID, la prsence du shell invoqu, le nombre dechamps, etc...dans le fichier /etc/passwd

La commande grpck permet une vrification similaire dans le fichier/etc/group

Login automatique (autologin)

A laide du system manager, on peut dcider qu chaque dmarragede la station, un utilisateur par dfaut sera en session. Le nom de cetutilisateur est stock dans le fichier /etc/autologin.

Ceci nest cependant pas recommand.

irix# cp /etc/stdprofile /usr/people/zoe/.profile

irix# cp /etc/stdlogin /usr/people/zoe/.loginirix# cp /etc/stdcshrc /usr/people/zoe/.cshrcCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Commandes de configuration - IRIX3-38 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Le fichier /etc/shadow

n La mise en place des privilgesLadministrateur peut donner une cinquantaine de

privilges aux utilisateurs comme dmarrer/arrter

NFS, ajouter du swap, etc...


Mise en place du fichier /etc/shadow

Du fait que le fichier /etc/passwd est en read pour tous le monde, ilest fortement recommand de dplacer les mots de passe dans lefichier /etc/shadow (r-- -- --- : read only for root), de manire viterune attaque par crack.

n Pour ce faire, il suffit dutiliser la commande pwconv (passwordconversion), qui transforme lancien fichier /etc/passwd en/etc/passwd ET /etc/shadow.

n le fichier /etc/passwd fait alors apparaitre un x dans le 2mechamp qui renvoie vers le fichier /etc/shadow ;

Privilges systme

n On peut mettre en oeuvre le mcanisme dattribution desprivilges permettant de simples utilisateurs de pouvoir obtenirdes fonctionnalits dadministrateur.

Le fichier /var/sysadm/privilege donne la correspondance entre lesdiffrents privilges et ceux qui les possdent.

irix# pwconv

irix# head -1 /etc/passwdroot:x:0:0:Super-User:/:/bin/cshirix# head -1 /etc/shadowroot:bqQhsp8PFavfU:10095::::::-1

irix# chkconfig privileges onCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Fichiers de configuration - AIX 33-40 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n smit

n mkuser, rmuser, chuser

aix# mkuser id='101' pgrp='projet' sugroups= home='/home/albert'shell='/bin/ksh' gecos='Utilisateur albert' albert

aix# smit mkuser

aix# passwd albert


albert:!:101:1001:Utilisateur albert:/home/albert:/bin/ksh

Contenu du fichier /etc/security/passwd

albert:password = WGIUcaK1U3ei71

lastupdate = 812369536

3Fichiers de configuration - AIXGestion des utilisateurs 3-41


Sous AIX , ladministrateur dispose des fonctionnalits suivantes pourdclarer les comptes utilisateur:

n Outil graphique: smit

n Commande: mkuser, rmuser, chuser

n Dclaration manuelle

SMIT

Loutil graphique smit permet de crer un compte utilisateur demanire simplifie.

La commande mkuser

La commande mkuser permet de remplir les fichiers /etc/passwd,/etc/group, /etc/security/environ et /etc/security/user . Cettecommande cre le HOME directory et va le peupler des fichiersdenvironnement urilisateur habituels (.profile, .login, etc...) .

On peut reprendre les valeurs de cration par dfaut ( contenues dansle fichier /etc/security/mkuser.default ). On utilisera alors lacommande mkuser pour crer ce compte utilisateur.Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Commandes de configuration - AIX 33-42 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n smit

n chuser

Modification dun compte utilisateur

n rmuser

Suppression dun compte utilisateur, deson HOME directory et de sa mailbox

3Commandes de configuration - AIXGestion des utilisateurs 3-43

Modification dun utilisateur

Avec la commande usermod on a la possibilit de modifier certainescaractristiques du login utilisateur.

Suppression dun utilisateur

Avec la commande rmuser on peut supprimer un compte utilisateurainsi que son home directory.

aix# chuser shell=/bin/csh albert

aix# smit chuser

aix# rmuser -p albert

aix# smit rmuserCopyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Scurit - AIX 33-44 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Le mot de passe et ses caractristiquessont conserves dans /etc/security/passwd

3Scurit - AIXGestion des utilisateurs 3-45

Les informations concernant laccs au systme sont conservs dansles fichiers suivants:

Le fichier /etc/passwd

Dans le fichier /etc/passwd se trouvent toutes les caractristiquesncessaires la connexion sauf le mot de passe qui est dplac dans lefichier /etc/security/passwd.


root:!:0:1:Superuser:/:/bin/ksh

Contenu du fichier /etc/security/passwd

root:password = WGIUcaK1U3ei71

lastupdate = 812369536

Contenu du fichier /etc/group

staff:!:10:root,albert

/etc/security/passwd

root:password = WGIUcaK1U3ei71

lastupdate = 812369536Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Scurit - AIX3-46 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Scurit

n Vieillissement des mots de passe

3Scurit - AIXGestion des utilisateurs 3-47

Vieillissement des mots de passe

Dans le fichier /etc/security/login.cf on va trouver la dure devalidit des mots de passe, les caractristiques du shell, les prompts,etc....

Fichiers denvironnement

Quelques rgles standard dinstallation relatives au processus de loginsont paramtrables dans les fichiers suivants :

n /etc/environmentDans ce fichier, on va trouver les variables globales par dfaut,la timezone, etc....

n /etc/security/environOn trouve ici les variables globales qui peuvent tre modifiespar lutilisateur.

Contenu du fichier /etc/security/login.cfg

pw_restrictions: maxage = 4 minage = 3 maxrepeats = 2Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

3Configuration - Tru64 UNIX 33-48 Copyright Janvier 2000 Sun Microsystems, Inc. Tous droits rservs. SunService Janvier 2000

n Scripts shell:

sa 390 unix heterogene

Documents

sparc trademarks

thirdparty trademarks

product ordocumentation

product names

graphical user interfaces

xerox graphical user

suns licensees

suns font suppliers