test

Sun Cluster 系統管理指南 (適用於 Solaris 作業系統)

使用 Sun Cluster 管理許可權設定檔建立與指定 RBAC 角色

若要建立角色,您必須成為指定有主要管理員許可權設定檔的角色,或以超級使用者的身份來執行。

如何使用 [管理角色] 工具建立角色

  1. 啟動 [管理角色] 工具。

    執行 [管理角色] 工具,啟動 Solaris 管理主控台,如System Administration Guide: Security Services中的「How to Assume a Role in the Console Tools」中所述。 然後,開啟 [使用者工具集合],並按一下 [管理角色] 圖示。

  2. 啟動 [新增管理角色] 精靈。

    從 [動作] 功能表,選取 [新增管理角色],來啟動 [新增管理角色] 精靈以配置角色。

  3. 設定指定了叢集管理許可權設定檔的角色。

    使用 [下一步] 和 [上一步] 按鈕在對話方塊之間導覽。 請注意,只有在您填入所有必填欄位之後,[下一步] 按鈕才會變為使用中狀態。 最後一個對話方塊可讓您檢查所輸入的資料,此時您可以返回以變更項目,或按一下 [完成] 以儲存新角色。表 2–1 概述了對話方塊。

    註解 –

    您需要首先將此設定檔置於指定給角色的設定檔清單中。

  4. 將需要使用 SunPlex Manager 功能或 Sun Cluster 指令的使用者新增到新建立的角色中。

    您要使用 useradd(1M) 指令將使用者帳戶新增至系統。 -P 選項指定角色至使用者帳戶。

  5. 完成時按一下 [完成]。

  6. 開啟一個終端機視窗,成為 root,然後啟動與停止名稱服務快取常駐程式。

    新角色直到重新啟動名稱服務快取常駐程式後才會生效。 成為 root 後,請輸入以下內容﹕ 


    # /etc/init.d/nscd stop
# /etc/init.d/nscd start
表 2–1 新增管理角色精靈︰ 對話方塊與欄位

對話方塊 

欄位  

欄位說明 

步驟 1﹕ 輸入角色名稱 

角色名稱  

角色短名稱。  

 

全名 

名稱的長版本。  

 

說明 

角色說明。  

 

角色 ID 編號 

自動遞增之角色的 UID。  

 

角色 Shell 

可用於角色的設定檔 shell: 管理員的 C shell、管理員的 Bourne shell 或管理員的 Korn shell。  

 

建立角色郵件清單  

為指定了此角色的使用者建立郵件清單。 

步驟 2﹕ 輸入角色密碼 

角色密碼  

********  

 

確認密碼 

******** 

步驟 3: 選取角色許可權 

可用許可權/授與的許可權 

指定或移除角色的許可權設定檔。  

請注意,系統不會阻止您多次輸入相同的指令。 指定給許可權設定檔中首次出現的指令之性質具有優先順序,而之後出現的所有相同指令將被忽略。 使用向上箭頭和向下箭頭來變更順序。 

步驟 4﹕ 選取主目錄 

伺服器  

主目錄的伺服器。  

 

路徑 

主目錄路徑。 

步驟 5﹕ 為此角色指定使用者 

新增  

新增可承擔此角色的使用者。 必須在相同範圍內。  

 

刪除 

刪除指定給此角色的使用者。 

如何經由指令行建立角色

  1. 成為超級使用者,或是成為一個能夠建立其他角色的角色。

  2. 選取建立角色的方法﹕

    • 對於本機範圍內的角色,使用 roleadd( 1M) 指令來指定新的本機角色及其性質。

    • 此外,對於本機範圍內的角色,請使用 type=role 編輯 user_attr(4) 檔案來新增使用者。

      建議僅在緊急情況下使用此方法,因為此方法在輸入時很容易出錯。

    • 對於名稱服務內的角色,請使用 smrole(1M) 指令來指定新角色及其性質。

      此指令需要超級使用者授權或能夠建立其他角色的角色授權。 您可以將 smrole 套用至所有的名稱服務。 此指令作為 Solaris 管理主控台伺服器的用戶端執行。

  3. 啟動與停止名稱服務快取常駐程式。

    新角色直到重新啟動名稱服務快取常駐程式後才會生效。 作為 root,請輸入以下內容﹕ 


    # /etc/init.d/nscd stop
# /etc/init.d/nscd start
範例 2–1 使用 smrole 指令建立自訂操作者角色

以下序列說明了使用 smrole 指令建立角色的方式。 在此範例中,已建立指定有標準操作者許可權設定檔與媒體復原許可權設定檔的新版本操作者角色。 


% su primaryadmin 
# /usr/sadm/bin/smrole add -H myHost -- -c "Custom Operator" -n oper2 -a johnDoe \
-d /export/home/oper2 -F "Backup/Restore Operator" -p "Operator" -p "Media Restore"
Authenticating as user: primaryadmin

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <type primaryadmin password>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadmin was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password ::<type oper2 password>

# /etc/init.d/nscd stop
# /etc/init.d/nscd start

若要檢視新建立的角色 (以及其他任何角色),請以 list 選項使用 smrole,如下所示: 


# /usr/sadm/bin/smrole list --
Authenticating as user: primaryadmin

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <type  primaryadmin password>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadmin was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.
root                    0               Super-User
primaryadmin            100             Most powerful role
sysadmin                101             Performs non-security admin tasks
oper2                   102             Custom Operator