Sun Cluster 管理権限プロファイルによる RBAC 役割の作成と割り当て
この作業によって、Sun Cluster 管理権限プロファイルを持つ新しい RBAC の役割を作成し、この新しい役割にユーザーを割り当てます。
管理役割ツールを使用して役割を作成する方法
始める前に
役割を作成するには、Primary Administrator 権利プロファイルが割り当てられている役割になるか、root ユーザーとして実行する必要があります。
-
管理役割ツールを起動します。
ユーザーカウントツールを実行するためには、Solaris Management Console を起動する必要があります。これについては、『Solaris のシステム管理 (セキュリティサービス)』の「Solaris 管理コンソールで役割を引き受ける方法」を参照してください。「ユーザー」ツールコレクションを開いて、「管理役割 (Administrative Roles)」アイコンをクリックします。
-
「管理役割を追加 (Add Administrative)」ウィザードが起動します。
「アクション (Action)」メニューから「管理役割を追加 (Add Administrative Role)」を選択して、「管理役割を追加 (Add Administrative)」ウィザードを起動します。
-
Cluster Management 権限プロファイルが割り当てられる役割を作成します。
「次へ (Next)」および「戻る (Back)」ボタンを使用して、ダイアログボックスを移動します。ただし、すべての必要なフィールドに入力がなされるまで、「次へ (Next)」ボタンはアクティブになりません。最後に、入力したデータを確認するダイアログボックスが表示されます。「戻る (Back)」ボタンを使用して入力を変更するか、「完了 (Finish)」をクリックして新しい役割を保存します。次のリストに、ダイアログボックスのフィールドとボタンの概要を示します。
- 役割名
-
役割の短縮名
- 「フルネーム」
-
正式名
- Description
-
役割の説明
- 役割 ID 番号
-
役割の UID。自動的に増分する
- 役割のシェル
-
役割に使用できるプロファイルシェル: Administrator の C シェル、Administrator の Bourne シェル、または Administrator の Korn シェル
- 役割のメーリングリストを作成
-
この役割に割り当てられているユーザーのメーリングリストを作成する
- 有効な権利 / 許可された権利
-
役割の権利プロファイルの割り当てまたは削除を行う
同一のコマンドを複数回入力しても、エラーにはならない。ただし、権利プロファイルでは、同一のコマンドが複数回発生した場合、最初のコマンドに割り当てられた属性が優先され、後続の同一コマンドはすべて無視される。順番を変更するときは、上矢印または下矢印を使用する
- サーバー
-
ホームディレクトリのサーバー
- パス
-
ホームディレクトリのパス
- 追加
-
この役割を引き受けるユーザーを追加する。同じスコープ内でユーザーでなければならない
- 削除
-
この役割が割り当てられているユーザーを削除する
注 –このプロファイルは、役割に割り当てられるプロファイルリストの先頭に置く必要があります。
-
新しく作成した役割に、Sun Cluster Manager 機能や Sun Cluster コマンドを使用する必要があるユーザーを追加します。
useradd(1M) コマンドを使用して、ユーザーアカウントをシステムに追加します。ユーザーのアカウントに役割を割り当てるには、-P オプションを使用します。
-
「Finish (完了)」をクリックします。
-
端末ウィンドウを開き、root になります。
-
ネームサービスキャッシュデーモンを起動して停止します。
新しい役割は、ネームサービスキャッシュデーモンを再起動するまで有効になりません。root になったあと、次のテキストを入力します。
# /etc/init.d/nscd stop # /etc/init.d/nscd start
コマンド行から役割を作成する方法
-
スーパーユーザーになるか、RBAC の承認 solaris.cluster.admin を提供する役割になります。
-
次のいずれかの役割の作成方法を選択します。
-
ローカルスコープの役割を作成する場合は、roleadd(1M) コマンドを使用して、新しいローカル役割とその属性を指定します。
-
同じくローカルスコープの役割を作成する場合に、user_attr(4) ファイルを編集して、ユーザーに type=role を追加することもできます。
この方法は緊急時にのみ使用します。
-
ネームサービスの役割を作成する場合は、smrole(1M) コマンドを使用して、新しい役割とその属性を指定します。
このコマンドは、スーパーユーザー、またはその他の役割を作成できる役割による認証を必要とします。smrole コマンドは、すべてのネームサービスに適用でき、Solaris 管理コンソールサーバーのクライアントとして動作します。
-
-
ネームサービスキャッシュデーモンを起動して停止します。
新しい役割は、ネームサービスキャッシュデーモンを再起動するまで有効になりません。root として、次のテキストを入力します。
# /etc/init.d/nscd stop # /etc/init.d/nscd start
例 2–1 smrole コマンドを使用してカスタムの Operator 役割を作成する
次のコマンドシーケンスは、smrole コマンドを使用して役割を作成します。この例では、新しい Operator 役割が作成され、標準の Operator 権利プロファイルと Media Restore 権利プロファイルが割り当てられます。
% su primaryadmin # /usr/sadm/bin/smrole add -H myHost -- -c "Custom Operator" -n oper2 -a johnDoe \ -d /export/home/oper2 -F "Backup/Restore Operator" -p "Operator" -p "Media Restore" Authenticating as user: primaryadmin Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password :: <type primaryadmin password> Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost Login to myHost as user primaryadmin was successful. Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful. Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password ::<type oper2 password> # /etc/init.d/nscd stop # /etc/init.d/nscd start |
新しく作成した役割およびその他の役割を表示するには、次のように smrole コマンドに list オプションを指定します。
# /usr/sadm/bin/smrole list -- Authenticating as user: primaryadmin Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password :: <type primaryadmin password> Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost Login to myHost as user primaryadmin was successful. Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful. root 0 Super-User primaryadmin 100 Most powerful role sysadmin 101 Performs non-security admin tasks oper2 102 Custom Operator |
- © 2010, Oracle Corporation and/or its affiliates