HOME / コンピュータTips / Solaris / rootユーザでログインする

Date: 2013/02/08 |  このエントリーをはてなブックマークに追加  |  Tags: Solaris, root, RBAC, Roles can only be assumed by authorized users

Solaris でrootユーザでログインする(Roles can only be assumed by authorized usersがでた時)

Solaris 11やSolaris10、Illumos等では通常rootはユーザではなく、権限(ロール)となっている。そのためrootというユーザになることはできない。

Solaris 11、OpenIndianaなどのIllumos系OSでは、インストールした管理権のあるユーザはsudoが使えるようになっている。だから、

sudo -s

とすれば、そのシェルはrootと同じ権限を使うことできる。通常はこれを使えばよい。

Solaris 10の場合は、sudoがデフォルトでは入っていないため、インストールした管理権のあるユーザはpfexecが使えるようになっている。だから、

pfexec su -

とすれば、同じようにrootになる。

それでもrootというユーザでログインしたいニーズはある。その時はroot権限を持つ状態で、

rolemod -K type=normal root

を実行する。

考察

roleの状態

su - 
Password: 
Warning: 2 failed authentication attempts since last successful authentication.  The latest at 金  2月 08 12:46 2013.
Roles can only be assumed by authorized users
su: Sorry

このときのuser_attrはこんな感じ。

cat /etc/user_attr              
#
# The system provided entries are stored in different files
# under "/etc/user_attr.d".  They should not be copied to this file.
#
# Only local changes should be stored in this file.
# This line should be kept in this file or it will be overwritten.
#
root::::type=role
kohju::::lock_after_retries=no;profiles=System Administrator;roles=root

rolemodで設定をする

sudo  rolemod -K type=normal root

するとこんな風になる。

cat /etc/user_attr              
#
# The system provided entries are stored in different files
# under "/etc/user_attr.d".  They should not be copied to this file.
#
# Only local changes should be stored in this file.
# This line should be kept in this file or it will be overwritten.
#
jpc::::lock_after_retries=no;profiles=System Administrator;roles=root

この状態でsuする。

su -     
Password: 
Warning: 1 failed authentication attempt at 金  2月 08 12:46 2013 since last successful authentication.
Oracle Corporation	SunOS 5.11	11.1	December 2012
You have new mail.
root@solaris11:~# 

できた。

もとに戻す。

sudo usermod -K type=role root

確認。

cat /etc/user_attr
#
# The system provided entries are stored in different files
# under "/etc/user_attr.d".  They should not be copied to this file.
#
# Only local changes should be stored in this file.
# This line should be kept in this file or it will be overwritten.
#
jpc::::lock_after_retries=no;profiles=System Administrator;roles=root
root::::type=role

きちんとtype=roleが追加されている。

su - 
Password: 
Roles can only be assumed by authorized users
su: Sorry

できなくなったことも確認。


コンピュータTips/Solaris

Recent Updates