跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:安全服务 Oracle Solaris 11 Information Library (简体中文) |
本节介绍了一些典型的权限配置文件。权限配置文件是以下对象的便利集合:授权和其他安全属性、具有安全属性的命令以及补充权限配置文件。Oracle Solaris 提供了多种权限配置文件。如果这些文件无法满足您的需要,您可以修改现有权限配置文件,创建新的权限配置文件。
权限配置文件必须按权限从高到低的顺序指定。有关更多信息,请参见搜索指定安全属性的顺序。
System Administrator(系统管理员)权限配置文件-提供可以执行与安全性无关的大多数任务的配置文件。此配置文件包括一些可用于创建功能强大的角色的其他配置文件。请注意,将在补充权限配置文件列表的末尾指定 All(所有)权限配置文件。profiles 命令显示配置文件的内容。
% profiles -p "System Administrator" info
Operator(操作员)权限配置文件-提供可用于管理文件和脱机介质的有限功能。此配置文件包括可用于创建简单角色的补充权限配置文件。profiles 命令显示配置文件的内容。
% profiles -p Operator info
Printer Management(打印机管理)权限配置文件-提供用于处理打印的数量有限的命令和授权。此配置文件是涉及单个管理区域的若干个配置文件之一。profiles 命令显示配置文件的内容。
% profiles -p "Printer Management" info
Basic Solaris User(基本 Solaris 用户)权限配置文件-使用此配置文件,用户可以在安全策略范围内使用系统。缺省情况下,会在 policy.conf 文件中列出此配置文件。请注意,Basic Solaris User(基本 Solaris 用户)权限配置文件提供的便利必须与站点的安全要求平衡。需要更严格的安全性的站点可能更倾向于从 policy.conf 文件中删除此配置文件,或者指定 Stop (停止)权限配置文件。profiles 命令显示配置文件的内容。
% profiles -p "Basic Solaris User" info
Console User(控制台用户)权限配置文件 -为工作站所有者提供对计算机前用户的授权、命令和操作的访问权限。profiles 命令显示配置文件的内容。
% profiles -p "Console User" info
All(所有)权限配置文件-为角色提供访问不具有安全属性的命令的权限。此配置文件适用于具有有限权限的用户。profiles 命令显示配置文件的内容。
% profiles -p All info
Stop(停止)权限配置文件-是一个特殊的权限配置文件,可停止对其他权限配置文件的评估。此配置文件可阻止对 policy.conf 文件中的 AUTHS_GRANTED、PROFS_GRANTED 和 CONSOLE_USER 变量的评估。通过此配置文件,可为角色和用户提供受限制的配置文件 shell。
注 - Stop(停止)权限配置文件间接影响特权指定。列在 Stop(停止)配置文件之后的权限配置文件不会被评估。因此,使用这些配置文件中特权的命令不会生效。要使用此配置文件,请参见如何将管理员限于显式指定的权限。
profiles 命令显示配置文件的内容。
% profiles -p Stop info
每个权限配置文件都有关联的帮助文件。这些帮助文件以 HTML 格式提供,并且可定制。这些文件位于 /usr/lib/help/profiles/locale/C 目录下。
可以通过三种方式查看权限配置文件的内容。
使用 getent 命令,可以查看系统中所有权限配置文件的内容。有关示例输出,请参见如何查看所有已定义的安全属性。
使用 profiles -p "Profile Name" info 命令,可以查看特定权限配置文件的内容。
使用 profiles -l account-name 命令,可以查看指定给特定用户或角色的权限配置文件的内容。
有关更多信息,请参见 getent(1M) 和 profiles(1) 手册页。