Introduction
Ce document décrit comment créer, configurer et mettre à jour des utilisateurs (administration utilisateur) dans Quantum Policy Suite (QPS). Ceci est plus spécifique à QPS version 5.5 et ultérieure. La gestion des utilisateurs est décrite pour les trois sections suivantes de QPS :
- Gestion des utilisateurs pour les machines virtuelles QPS (toutes les machines virtuelles) ; tels que PCRFClient0x, Lb0x et QNS0x )
- Gestion des utilisateurs pour Control Center
- Gestion des utilisateurs pour Policy Builder (référentiel PB-Subversion [PB-SVN])
Note: QPS a été renommé Cisco Policy Suite (CPS) dans la version 8.0.0.
Gestion des utilisateurs pour QPS VM
Cette section explique la gestion des utilisateurs dans la machine virtuelle QPS (LB, PCRFClient, QNS, etc.).
Créer un nouvel utilisateur local avec un groupe par défaut
Par défaut, un ajout d'utilisateur local crée le nom de groupe identique au nom d'utilisateur. L'ajout de groupe n'est pas obligatoire.
- Entrez la commande useradd -m -d /home/<id utilisateur> -c « Local User » <user id> afin de créer l'ID utilisateur. Dans cet exemple, il s'agit de 'aravibal'.

- Entrez la commande passwd <user id> afin de définir le mot de passe de l'utilisateur nouvellement créé.

- Accorder l'accès à l'utilisateur local nouvellement créé. Modifiez le fichier /etc/security/access.conf et ajoutez cette ligne :
"+:<User ID>:ALL
- Modifiez le fichier /etc/ssh/sshd_config et ajoutez le nouvel utilisateur à la fin de la ligne 'AllowUsers'.

- Entrez la commande service sshd restart afin de redémarrer le service SSHD (Secure Shell Daemon).

- Connectez-vous en tant que nouvel utilisateur et entrez la commande ssh localhost -l <new_create_user id> afin d'afficher l'ID utilisateur et le nom du groupe.

Créer un utilisateur local avec un nouveau groupe
- Entrez la commande groupadd <groupname> afin de créer un nouveau groupe.

- Entrez la commande cat /etc/group afin de vérifier votre ID de groupe nouvellement créé dans le fichier /etc/group.

- Entrez la commande useradd -m -d /home/<user id> -c « Local User » <user id> -g<new group name> afin de créer le nouvel utilisateur local avec le nouveau groupe.

- Complétez les étapes 3 à 6 de la section Créer un nouvel utilisateur local avec un groupe par défaut.
Modifier le compte d'utilisateur
Complétez cette section afin de modifier les paramètres relatifs à l'expiration du mot de passe, au verrouillage, au déverrouillage et à l'expiration du compte.
Entrez la commande change -l <user id> afin de vérifier l'âge d'expiration du mot de passe.

L'administrateur système peut effectuer ces actions si nécessaire :
- Entrez la commande change -M <nombre de jours > <id utilisateur> afin de définir la date d'expiration du mot de passe pour tout utilisateur.
Le nombre de jours est calculé à partir de la date système actuelle. Par exemple, si vous souhaitez définir l'expiration du mot de passe après 25 jours, entrez change -M 25 <user ID>. L'option -M met à jour à la fois le mot de passe expire et le nombre maximal de jours entre le changement de mot de passe.

- Entrez la commande change -E « YYY-MM-DD » <user id> afin de définir la date d'expiration du compte pour tout utilisateur. La date doit être indiquée en format AAAA-MM-JJ.

- Entrez la commande change -m 0 -M 99999 -I -1 -E -1 <user id> afin de désactiver l'expiration du mot de passe.
- -m 0 définit le nombre minimal de jours entre la modification du mot de passe sur 0
- -M 99999 définit le nombre maximal de jours entre les modifications de mot de passe à 99999
- -I -1 (nombre moins un) définit le mot de passe inactif sur jamais
- -E -1 (nombre moins un) définit 'Expiration du compte' sur jamais

- Entrez l'une de ces commandes afin de verrouiller ou déverrouiller un utilisateur :
- verrouiller l'utilisateur - passwd -l <id utilisateur>
- déverrouiller l'utilisateur - passwd -u <id utilisateur>
- Entrez la commande passwd -S <user id> afin de vérifier si l'état du compte est verrouillé.
Cette sortie se compose de sept champs, le deuxième champ indique si le compte d'utilisateur a un mot de passe verrouillé (L), n'a pas de mot de passe (NP) ou a un mot de passe utilisable (P).
Note: Dans la version 5.5, l'option -S fonctionne, mais uniquement avec un utilisateur à la fois. Vous devrez vérifier si vous avez l'option -a disponible dans la version 6.0. Par exemple, entrez la commande passwd -Sa.

- Entrez la commande passwd <user ID> afin de réinitialiser les mots de passe pour tous les ID utilisateur, y compris l'utilisateur admin. Par exemple, passwd broadcast1.
- Entrez la commande faillog -a afin de vérifier les tentatives de connexion échouées pour tous les utilisateurs.

- Entrez la commande userdel <user id> afin de supprimer l'utilisateur. La commande userdel -r <user ID> supprime le répertoire d'accueil de l'utilisateur. Par exemple, userdel -r aravibal.
Gestion des utilisateurs pour Control Center
Control Center (CC) n'est pas disponible dans les versions antérieures de QPS, c'est-à-dire que CC n'est pas disponible dans QPS version 2.5.7. L'interface utilisateur graphique CC est disponible uniquement dans QPS version 5.3 et ultérieure.
Modifiez ce fichier XML dans PCRFClient01, '/etc/broadhop/authentication-provider.xml', afin d'ajouter un nouvel ID utilisateur ou de modifier le mot de passe dans CC. Il existe deux autorités pour CC, en lecture seule et admin.
<user name="userid" password="password" authorities="ROLE_READONLY"/>
<user name="userid" password="password" authorities="ROLE_SUMADMIN"/>
Supprimez la ligne appropriée de ce fichier XML afin de supprimer un utilisateur.

Gestion des utilisateurs pour Policy Builder
Cette section explique l'administration des utilisateurs en PB.
Créer un utilisateur
- Entrez la commande htpasswd -b /var/www/svn/password <username> <password> sur pcrfclient01 afin d'ajouter un utilisateur SVN.
Note: Dans certains cas, le fichier de mot de passe est masqué en tant que .htpasswd. Vous devrez peut-être entrer htpasswd -b /var/www/svn/.htpasswd <nom d'utilisateur> <mot de passe>.

- Modifiez les admins de ligne = broadcast, <username> dans le fichier /var/www/svn/users-access-file afin de fournir un accès en lecture/écriture à l'utilisateur.

Modifier un utilisateur
- Entrez la commande htpasswd /var/www/svn/password <username> afin de réinitialiser le mot de passe d'un utilisateur actuel dans PB (référentiel SVN). Par exemple, htpasswd /var/www/svn/password broadhop2.
Note: Dans certains cas, le fichier de mot de passe est masqué en tant que .htpasswd. Vous devrez peut-être entrer htpasswd -b /var/www/svn/.htpasswd <nom d'utilisateur> <mot de passe>.

- Entrez la commande htpasswd -D password <user id> afin de supprimer les utilisateurs dans PB (référentiel PB-SVN). Par exemple, htpasswd -D password broadhop1.

- Entrez ces commandes afin de déterminer quel utilisateur a récemment validé une modification dans PB et quels sont les utilisateurs qui ont validé des modifications.
- #svn log http://pcrfclient01/repos/configuration/ | plus
- #svn log http://pcrfclient01/repos/configuration/ | grep '^r[0-9]' | Awk '{print $3}' | trier | uniq
Informations utiles
L'utilisateur système par défaut 'qns' n'a pas de mot de passe.
Utilisez 'pwck' et 'grpck' afin de vérifier l'intégrité de /etc/passwd, /etc/shadow et /etc/group.
Plusieurs utilisateurs en PB sont disponibles dans QPS version 6.0 et ultérieure. Dans les versions antérieures, PB peut avoir plusieurs utilisateurs pour se connecter et apporter des modifications, mais cela entraîne une substitution.
Si vous souhaitez conserver le temps d'inactivité de la session, entrez la commande export TMOUT=120. (Les utilisateurs seront déconnectés s'ils sont inactifs pendant deux minutes = 120 secondes.)
Vous pouvez archiver le fichier /var/log/httpd/access_log lorsque l'utilisateur se connecte à PB (référentiel SVN).
Tous les échecs d'authentification des utilisateurs liés à PB peuvent être vérifiés dans /etc/httpd/logs/error_log.
Les informations relatives aux privilèges d'authentification et d'autorisation se trouvent dans /var/log/secure. Par exemple, SSHD enregistre tous les messages qui incluent les connexions infructueuses.