RBAC コマンド
このセクションでは、RBAC の管理に使用するコマンドを一覧します。承認を使用してアクセス権を制御できるコマンドについても説明します。
RBAC を管理するコマンド
次のコマンドは、RBAC 情報を取得して設定します。
表 10-1 RBAC 管理コマンド
|
|
|
|
|
user_attr、 prof_attr、および exec_attr データベースの内容を表示するためのインタフェース。 |
|
ネームサービスキャッシュデーモン。 user_attr、 prof_attr、および exec_attr データベースをキャッシュするときに使用します。 svcadm コマンドを使用してデーモンを再起動します。 |
pam_roles(5) |
PAM 用の役割アカウント管理モジュール。役割になる承認があるかを検査します。 |
|
solaris.admin.edit/path-to-system-file 承認が割り当てられている root 以外のユーザーによって、システムファイルを編集するために使用されます。 |
|
プロファイルシェルによって使用されます。 exec_attr データベースに指定されているセキュリティー属性を使用してコマンドを実行します。 |
|
システムのセキュリティーポリシーの構成ファイル。与えられている承認、与えられている特権、およびその他のセキュリティー情報を一覧表示します。 |
|
指定したユーザーの権利プロファイルを表示します。ローカルシステムまたは
LDAP ネットワーク上で権利プロファイルを作成または変更します。 |
|
指定したユーザーが引き受けられる役割を表示します。 |
|
役割をローカルシステムまたは LDAP ネットワークに追加します。 |
|
役割をローカルシステムまたは LDAP ネットワークに追加します。 |
|
ローカルシステムまたは LDAP ネットワーク上で役割のプロパティーを変更します。 |
|
ユーザーまたは役割アカウントに割り当てられている特定の権限の値を表示します。 |
|
ユーザーアカウントをシステムまたは LDAP ネットワークに追加します。ユーザーのアカウントに役割を割り当てるには、 -R オプションを使用します。 |
|
ユーザーのログインをシステムまたは LDAP
ネットワークから削除します。 |
|
システム上のユーザーのアカウントプロパティーを変更します。 |
|
承認を必要とする特別なコマンド
次の表では、承認を使用して Oracle Solaris システムのコマンドオプションを制限する方法を示します。承認の詳細は、「承認」を参照してください。
表 10-2 コマンドおよび関連する承認
|
|
|
solaris.jobs.user がすべてのオプションで必要です ( at.allow ファイルおよび at.deny ファイルがない場合) |
|
solaris.jobs.admin がすべてのオプションで必要です |
|
solaris.device.cdrw がすべてのオプションで必要です。 policy.conf ファイルにデフォルトで与えられます |
|
ジョブを送信するオプションの場合は、 solaris.jobs.user
が必要です ( crontab.allow および crontab.denyファイルがない場合) ほかのユーザーの crontab ファイルを一覧表示または変更する場合は、solaris.jobs.admin が必要です |
|
デバイスを割り当てる場合は、 solaris.device.allocate (または、 device_allocate ファイルに指定されている別承認) が必要です ほかのユーザーにデバイスを割り当てる場合 (F
オプション) は、 solaris.device.revoke (または、 -device_allocate ファイルに指定されている別承認) が必要です |
|
ほかのユーザーのデバイスの割り当てを解除する場合は、 solaris.device.allocate (または、 device_allocate ファイルに指定されている別承認) が必要です 指定したデバイス (-F オプション)
またはすべてのデバイス (-I オプション) の割り当てを強制的に解除する場合は、solaris.device.revoke (または、 device_allocate に指定されている別承認) が必要です |
|
ほかのユーザーのデバイスを一覧表示する場合 ( U オプション) は、 -solaris.device.revoke が必要です |
|
役割を作成するには、solaris.user.manage が必要です。最初のパスワードを設定するには、solaris.account.activate
が必要です。アカウントロックやパスワードの有効期限などのパスワードポリシーを設定するには、solaris.account.setpolicy が必要です。 |
|
パスワードを削除するには、solaris.passwd.assign 承認が必要です。 |
|
パスワードを変更するには、solaris.passwd.assign 承認が必要です。アカウントロックやパスワードの有効期限などのパスワードポリシーを変更するには、solaris.account.setpolicy が必要です。 |
|
メールサブシステム機能にアクセスする場合は、 solaris.mail が必要。メールキューを表示する場合は、 solaris.mail.mailq が必要です |
|
ユーザーを作成するには、solaris.user.manage が必要です。元のパスワードを設定するには、solaris.account.activate が必要です。アカウントロックやパスワードの有効期限などのパスワードポリシーを設定するには、solaris.account.setpolicy が必要です。 |
|
パスワードを削除するには、solaris.passwd.assign 承認が必要です。 |
|
パスワードを変更するには、solaris.passwd.assign 承認が必要です。アカウントロックやパスワードの有効期限などのパスワードポリシーを変更するには、solaris.account.setpolicy
が必要です。 |
|