share/man/man4/policy.conf.4

   1 '\" te
   2 .\" Copyright (c) 2008, Sun Microsystems, Inc. All Rights Reserved.
   3 .\" The contents of this file are subject to the terms of the Common Development and Distribution License (the "License").  You may not use this file except in compliance with the License.
   4 .\" You can obtain a copy of the license at usr/src/OPENSOLARIS.LICENSE or http://www.opensolaris.org/os/licensing.  See the License for the specific language governing permissions and limitations under the License.
   5 .\" When distributing Covered Code, include this CDDL HEADER in each file and include the License file at usr/src/OPENSOLARIS.LICENSE.  If applicable, add the following below this CDDL HEADER, with the fields enclosed by brackets "[]" replaced with your own identifying information: Portions Copyright [yyyy] [name of copyright owner]
   6 .TH POLICY.CONF 4 "Feb 25, 2008"
   7 .SH NAME
   8 policy.conf \- configuration file for security policy
   9 .SH SYNOPSIS
  10 .LP
  11 .nf
  12 /etc/security/policy.conf
  13 .fi
  14
  15 .SH DESCRIPTION
  16 .sp
  17 .LP
  18 The \fBpolicy.conf\fR file provides the security policy configuration for
  19 user-level attributes. Each entry consists of a key/value pair in the form:
  20 .sp
  21 .LP
  22 key=value
  23 .sp
  24 .LP
  25 The following keys are defined:
  26 .sp
  27 .ne 2
  28 .na
  29 \fB\fBAUTHS_GRANTED\fR\fR
  30 .ad
  31 .sp .6
  32 .RS 4n
  33 Specify the default set of authorizations granted to all users. This entry is
  34 interpreted by \fBchkauthattr\fR(3SECDB). The value is zero or more
  35 comma-separated authorizations defined in \fBauth_attr\fR(4).
  36 .RE
  37
  38 .sp
  39 .ne 2
  40 .na
  41 \fB\fBPROFS_GRANTED\fR\fR
  42 .ad
  43 .sp .6
  44 .RS 4n
  45 Specify the default set of profiles granted to all users. This entry is
  46 interpreted by \fBchkauthattr\fR(3SECDB) and \fBgetexecuser\fR(3SECDB). The
  47 value is zero or more comma-separated profiles defined in \fBprof_attr\fR(4).
  48 .RE
  49
  50 .sp
  51 .ne 2
  52 .na
  53 \fB\fBCONSOLE_USER\fR\fR
  54 .ad
  55 .sp .6
  56 .RS 4n
  57 Specify an additional default set of profiles granted to the \fIconsole user\fR
  58 user. This entry is interpreted by \fBchkauthattr\fR(3SECDB) and
  59 \fBgetexecuser\fR(3SECDB). The value is zero or more comma-separated profiles
  60 defined in \fBprof_attr\fR(4).
  61 .RE
  62
  63 .sp
  64 .ne 2
  65 .na
  66 \fB\fBPRIV_DEFAULT\fR and \fBPRIV_LIMIT\fR\fR
  67 .ad
  68 .sp .6
  69 .RS 4n
  70 Settings for these keys determine the default privileges that users have. (See
  71 \fBprivileges\fR(5).) If these keys are not set, the default privileges are
  72 taken from the inherited set. \fBPRIV_DEFAULT\fR determines the default set on
  73 login. \fBPRIV_LIMIT\fR defines the limit set on login. Users can have
  74 privileges assigned or taken away through use of \fBuser_attr\fR(4). Privileges
  75 can also be assigned to profiles, in which case users who have those profiles
  76 can exercise the assigned privileges through \fBpfexec\fR(1).
  77 .sp
  78 For maximum future compatibility, the privilege specifications should always
  79 include \fBbasic\fR or \fBall\fR. Privileges should then be removed using
  80 negation. See EXAMPLES. By assigning privileges in this way, you avoid a
  81 situation where, following an addition of a currently unprivileged operation to
  82 the basic privilege set, a user unexpectedly does not have the privileges he
  83 needs to perform that now-privileged operation.
  84 .sp
  85 Note that removing privileges from the limit set requires \fBextreme\fR care,
  86 as any set-uid root program might suddenly fail because it lacks certain
  87 privilege(s). Note also that dropping \fBbasic\fR privileges from the default
  88 privilege set can cause unexpected failure modes in applications.
  89 .RE
  90
  91 .sp
  92 .ne 2
  93 .na
  94 \fB\fBLOCK_AFTER_RETRIES=YES|NO\fR\fR
  95 .ad
  96 .sp .6
  97 .RS 4n
  98 Specifies whether a local account is locked after the count of failed logins
  99 for a user equals or exceeds the allowed number of retries as defined by
 100 \fBRETRIES\fR in \fB/etc/default/login\fR. The default value for users is
 101 \fBNO\fR. Individual account overrides are provided by \fBuser_attr\fR(4).
 102 .RE
 103
 104 .sp
 105 .ne 2
 106 .na
 107 \fB\fBCRYPT_ALGORITHMS_ALLOW\fR\fR
 108 .ad
 109 .sp .6
 110 .RS 4n
 111 Specify the algorithms that are allowed for new passwords and is enforced only
 112 in \fBcrypt_gensalt\fR(3C).
 113 .RE
 114
 115 .sp
 116 .ne 2
 117 .na
 118 \fB\fBCRYPT_ALGORITHMS_DEPRECATE\fR\fR
 119 .ad
 120 .sp .6
 121 .RS 4n
 122 Specify the algorithm for new passwords that is to be deprecated. For example,
 123 to deprecate use of the traditional UNIX algorithm, specify
 124 \fBCRYPT_ALGORITHMS_DEPRECATE=__unix__\fR and change \fBCRYPT_DEFAULT=\fR to
 125 another algorithm, such as \fBCRYPT_DEFAULT=1\fR for BSD and Linux MD5.
 126 .RE
 127
 128 .sp
 129 .ne 2
 130 .na
 131 \fB\fBCRYPT_DEFAULT\fR\fR
 132 .ad
 133 .sp .6
 134 .RS 4n
 135 Specify the default algorithm for new passwords. The Solaris default is the
 136 traditional UNIX algorithm. This is not listed in \fBcrypt.conf\fR(4) since it
 137 is internal to \fBlibc\fR. The reserved name \fB__unix__\fR is used to refer to
 138 it.
 139 .RE
 140
 141 .sp
 142 .LP
 143 The key/value pair must appear on a single line, and the key must start the
 144 line. Lines starting with \fB#\fR are taken as comments and ignored. Option
 145 name comparisons are case-insensitive.
 146 .sp
 147 .LP
 148 Only one \fBCRYPT_ALGORITHMS_ALLOW\fR or \fBCRYPT_ALGORITHMS_DEPRECATE\fR value
 149 can be specified. Whichever is listed first in the file takes precedence. The
 150 algorithm specified for \fBCRYPT_DEFAULT\fR must either be specified for
 151 \fBCRYPT_ALGORITHMS_ALLOW\fR or not be specified for
 152 \fBCRYPT_ALGORITHMS_DEPRECATE\fR. If \fBCRYPT_DEFAULT\fR is not specified, the
 153 default is \fB__unix__\fR.
 154 .SH EXAMPLES
 155 .LP
 156 \fBExample 1 \fRDefining a Key/Value Pair
 157 .sp
 158 .in +2
 159 .nf
 160 \fBAUTHS_GRANTED=solaris.date\fR
 161 .fi
 162 .in -2
 163 .sp
 164
 165 .LP
 166 \fBExample 2 \fRSpecifying Privileges
 167 .sp
 168 .LP
 169 As noted above, you should specify privileges through negation, specifying
 170 \fBall\fR for \fBPRIV_LIMIT\fR and \fBbasic\fR for \fBPRIV_DEFAULT\fR, then
 171 subtracting privileges, as shown below.
 172
 173 .sp
 174 .in +2
 175 .nf
 176 PRIV_LIMIT=all,!sys_linkdir
 177 PRIV_DEFAULT=basic,!file_link_any
 178 .fi
 179 .in -2
 180
 181 .sp
 182 .LP
 183 The first line, above, takes away only the \fBsys_linkdir\fR privilege. The
 184 second line takes away only the \fBfile_link\fR privilege. These privilege
 185 specifications are unaffected by any future addition of privileges that might
 186 occur.
 187
 188 .SH FILES
 189 .sp
 190 .ne 2
 191 .na
 192 \fB\fB/etc/user_attr\fR\fR
 193 .ad
 194 .RS 29n
 195 Defines extended user attributes.
 196 .RE
 197
 198 .sp
 199 .ne 2
 200 .na
 201 \fB\fB/etc/security/auth_attr\fR\fR
 202 .ad
 203 .RS 29n
 204 Defines authorizations.
 205 .RE
 206
 207 .sp
 208 .ne 2
 209 .na
 210 \fB\fB/etc/security/prof_attr\fR\fR
 211 .ad
 212 .RS 29n
 213 Defines profiles.
 214 .RE
 215
 216 .sp
 217 .ne 2
 218 .na
 219 \fB\fB/etc/security/policy.conf\fR\fR
 220 .ad
 221 .RS 29n
 222 Defines policy for the system.
 223 .RE
 224
 225 .SH ATTRIBUTES
 226 .sp
 227 .LP
 228 See \fBattributes\fR(5) for descriptions of the following attributes:
 229 .sp
 230
 231 .sp
 232 .TS
 233 box;
 234 c | c
 235 l | l .
 236 ATTRIBUTE TYPE  ATTRIBUTE VALUE
 237 _
 238 Interface Stability     Committed
 239 .TE
 240
 241 .SH SEE ALSO
 242 .sp
 243 .LP
 244 \fBlogin\fR(1), \fBpfexec\fR(1), \fBchkauthattr\fR(3SECDB),
 245 \fBgetexecuser\fR(3SECDB), \fBauth_attr\fR(4), \fBcrypt.conf\fR(4),
 246 \fBprof_attr\fR(4), \fBuser_attr\fR(4), \fBattributes\fR(5),
 247 \fBprivileges\fR(5)
 248 .SH NOTES
 249 .sp
 250 .LP
 251 The \fIconsole user\fR is defined as the owner of \fB/dev/console\fR.