RBAC 命令

本节列出了用于管理 RBAC 的命令，还提供了一个命令表，其中命令的访问可以由授权控制。

管理 RBAC 的命令

虽然可以手动编辑本地 RBAC 数据库，但是强烈建议不要进行此类编辑。以下命令可用于管理对具有 RBAC 的任务进行访问。

表 10-7 RBAC 管理命令

命令的手册页	说明
`auths`(1)	显示用户的授权。
`makedbm`(1M)	生成 `dbm` 文件。
`nscd`(1M)	名称服务高速缓存守护进程，适用于高速缓存 `user_attr`、`prof_attr` 和 `exec_attr` 数据库。使用 `svcadm` 命令重新启动守护进程。
`pam_roles`(5)	PAM 的角色帐户管理模块。检查承担角色的授权。
`pfexec`(1)	由配置文件 shell 使用以执行在 `exec_attr` 数据库中指定的带有安全属性的命令。
`policy.conf`(4)	系统安全策略的配置文件。列出授予的授权、授予的特权和其他安全信息。
`profiles`(1)	显示某个指定用户的权限配置文件。
`roles`(1)	显示指定用户可以承担的角色。
`roleadd`(1M)	向本地系统中添加角色。
`roledel`(1M)	从本地系统中删除角色。
`rolemod`(1M)	在本地系统上修改角色的属性。
`smattrpop`(1M)	将源安全属性数据库合并到目标数据库。用于需要将本地数据库合并到命名服务的情况。还用于未提供转换脚本的升级。
`smexec`(1M)	管理 `exec_attr` 数据库中的项。要求验证。
`smmultiuser`(1M)	管理对用户帐户的批量操作。要求验证。
`smprofile`(1M)	管理 `prof_attr` 和 `exec_attr` 数据库中的权限配置文件。要求验证。
`smrole`(1M)	管理角色帐户中的角色和用户。要求验证。
`smuser`(1M)	管理用户项。要求验证。
`useradd`(1M)	向系统中添加用户帐户。`-R` 选项将角色指定给用户帐户。
`userdel`(1M)	从系统中删除用户的登录。
`usermod`(1M)	修改系统上的用户帐户属性。

要求授权的命令

下表提供了在 Oracle Solaris 系统上如何使用授权限制命令选项的示例。有关授权的更多讨论，请参见授权命名和委托。

表 10-8 命令和关联的授权

命令的手册页	授权要求
`at`(1)	所有选项所需的 `solaris.jobs.user`（`at.allow` 和 `at.deny` 文件都不存在时）
`atq`(1)	所有选项所需的 `solaris.jobs.admin`
`cdrw`(1)	所有选项所需的 `solaris.device.cdrw`，缺省情况下在 `policy.conf` 文件中授予
`crontab`(1)	选项提交作业所需的 `solaris.jobs.user`（`crontab.allow` 和 `crontab.deny` 文件都不存在时）选项列出或修改其他用户的 `crontab` 文件所需的 `solaris.jobs.admin`
`allocate`(1)	分配设备所需的 `solaris.device.allocate`（或在 `device_allocate` 文件中指定的其他授权）将设备分配给其他用户（`-F` 选项）所需的 `solaris.device.revoke`（或在 `device_allocate` 文件中指定的其他授权）
`deallocate`(1)	解除其他用户的设备分配所需的 `solaris.device.allocate`（或在 `device_allocate` 文件中指定的其他授权）强制解除指定设备的分配（`-F` 选项）或所有设备的分配（`-I` 选项）所需的 `solaris.device.revoke`（或在 `device_allocate` 中指定的其他授权）
`list_devices`(1)	列出其他用户的设备（`-U` 选项）所需的 `solaris.device.revoke`
`sendmail`(1M)	访问邮件子系统功能所需的 `solaris.mail`；查看邮件队列所需的 `solaris.mail.mailq`

跳过导航链接
退出打印视图
	系统管理指南：安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文)