跳过导航链接 | |
退出打印视图 | |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
Primary Administrator(主管理员)权限配置文件
System Administrator(系统管理员)权限配置文件
Printer Management(打印机管理)权限配置文件
19. 使用 Oracle Solaris 安全 Shell(任务)
本节介绍了一些典型的权限配置文件。权限配置文件可以包括授权、带有安全属性的命令以及补充权限配置文件。权限配置文件根据功能的强弱从高到低列出。有关如何将权限配置文件分配给站点中角色的建议,请参见如何规划 RBAC 实现。
Primary Administrator(主管理员)权限配置文件-在一个配置文件中提供超级用户功能。
System Administrator(系统管理员)权限配置文件-提供可以执行与安全性无关的大多数任务的配置文件。此配置文件包括一些可用于创建功能强大的角色的其他配置文件。
Operator(操作员)权限配置文件-提供可用于管理文件和脱机介质的有限功能。此配置文件包括可用于创建简单角色的补充权限配置文件。
Printer Management(打印机管理)权限配置文件-提供用于处理打印的数量有限的命令和授权。此配置文件是涉及单个管理区域的若干个配置文件之一。
Basic Solaris User(基本 Solaris 用户)权限配置文件-使用此配置文件,用户可以在安全策略范围内使用系统。缺省情况下,会在 policy.conf 文件中列出此配置文件。
每个权限配置文件都有关联的帮助文件。这些帮助文件以 HTML 格式提供,并且可定制。这些文件位于 /usr/lib/help/profiles/locale/C 目录下。
Primary Administrator(主管理员)权限配置文件指定给系统上功能最强的角色。拥有 Primary Administrator(主管理员)权限配置文件的角色具有超级用户功能。
solaris.* 授权有效地指定由 Oracle Solaris 软件提供的所有授权。
通过 solaris.grant 授权,角色可以为任何权限配置文件、角色或用户指定任何授权。
命令赋值 *:uid=0;gid=0 提供使用 UID=0 和 GID=0 运行任何命令的功能。
如有必要,可以为站点定制帮助文件 RtPriAdmin.html。帮助文件存储在 /usr/lib/help/profiles/locale/C 目录下。
另请注意,如果 Primary Administrator(主管理员)权限配置文件与站点的安全策略不一致,则可以修改该配置文件或者根本就不指定该配置文件。但是,需要在一个或多个其他权限配置文件中处理 Primary Administrator(主管理员)权限配置文件中的安全功能。然后将这些权限配置文件指定给角色。
表 10-1 Primary Administrator(主管理员)权限配置文件的内容
|
System Administrator(系统管理员)权限配置文件专用于 System Administrator(系统管理员)角色。由于 System Administrator(系统管理员)不具有 Primary Administrator(主管理员)具有的广泛功能,因此不使用通配符。相反,此配置文件是一组不涉及安全性的独立的补充管理权限配置文件。显示其中一个补充权限配置文件中带有安全属性的命令。
请注意,将在补充权限配置文件列表的末尾指定 All(所有)权限配置文件。
表 10-2 System Administrator(系统管理员)权限配置文件的内容
|
Operator(操作员)权限配置文件是一个功能较弱的配置文件,提供执行备份和打印机维护的功能。恢复文件的功能与安全性的相关性更密切。因此,在此配置文件中,缺省值将不包括恢复文件的功能。
表 10-3 Operator(操作员)权限配置文件的内容
|
Printer Management(打印机管理)是适用于特定任务区域的典型权限配置文件。此配置文件包括授权和命令。下表显示了部分命令列表。
表 10-4 Printer Management(打印机管理)权限配置文件的内容
|
缺省情况下,会通过 policy.conf 文件将 Basic Solaris User(基本 Solaris 用户)权限配置文件自动分配给所有用户。此配置文件提供了正常操作中有用的基本授权。请注意,Basic Solaris User(基本 Solaris 用户)权限配置文件提供的便利必须与站点的安全要求平衡。需要更严格安全性的站点可能希望从 policy.conf 文件中删除此配置文件。
表 10-5 Basic Solaris User(基本 Solaris 用户)权限配置文件的内容
|
All(所有)权限配置文件使用通配符来包括所有命令。此配置文件提供了可访问未在其他权限配置文件中显式指定的所有命令的角色。如果没有 All(所有)权限配置文件或使用通配符的其他权限配置文件,则角色只能访问显式指定的命令。如此有限的命令集不是很实用。此配置文件中不包括任何授权。
All(所有)权限配置文件(如果使用)应该是指定的最终权限配置文件。这种最后位置可确保应用其他权限配置文件中的显式安全属性分配。
表 10-6 All(所有)权限配置文件的内容
|
权限配置文件中的命令按顺序进行解释。第一次出现的命令版本是用于此角色或用户的命令的唯一版本。不同的权限配置文件可以包括相同命令。因此,配置文件列表中权限配置文件的顺序至关重要。应该首先列出具有最多功能的权限配置文件。
权限配置文件在 Solaris Management Console GUI 和 prof_attr 文件中列出。在 Solaris Management Console GUI 中,具有最多功能的权限配置文件应该是指定权限配置文件列表中最顶部的配置文件。在 prof_attr 文件中,具有最多功能的权限配置文件应该是补充配置文件列表中的第一个配置文件。此放置方法可确保带有安全属性的命令列在不带安全属性的相同命令之前。
Solaris Management Console Rights(权限)工具提供了一种检查权限配置文件内容的方法。
prof_attr 和 exec_attr 文件提供划分更细的视图。prof_attr 文件包含在系统上定义的每个权限配置文件的名称。此文件还包括每个配置文件的授权、特权和补充权限配置文件。exec_attr 文件包含权限配置文件的名称及其带有安全属性的命令。