使用权限配置文件和角色
 | 注意 - 使用 usermod 和 rolemod 命令添加授权、权限配置文件或角色时要谨慎。
|
管理用户权限配置文件
以下过程说明如何在系统上使用本地文件管理用户权限配置文件。要在命名服务中管理用户配置文件,请参见System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 。
如何将权限配置文件分配给用户
直接分配有 LDoms Management 配置文件的用户必须调用配置文件 shell 才能运行具有安全属性的 ldm 命令。有关更多信息,请参见System Administration Guide: Security Services 或Securing Users and Processes in Oracle Solaris 11.3 。
- 成为管理员。
对于 Oracle Solaris 11.3,请参见 Securing Users and Processes in Oracle Solaris 11.3 中的第 1 章 About Using Rights to Control Users and Processes。
- 为本地用户帐户分配管理配置文件。
您可以为用户帐户分配 LDoms Review 配置文件或 LDoms Management 配置文件。
# usermod -P "profile-name" username
以下命令可以将 LDoms Management 配置文件分配给用户 sam:
# usermod -P "LDoms Management" sam
给用户分配角色
以下过程说明如何使用本地文件创建角色并将其分配给用户。要在命名服务中管理角色,请参见System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) 。
使用此过程的优势是,只有分配有特定角色的用户才能承担该角色。承担角色时,如果已经为该角色分配了一个密码,则需要输入该密码。这两个安全层可以防止未获得某一角色的用户承担该角色(即使该用户知道密码)。
如何创建角色并将该角色分配给用户
- 成为管理员。
对于 Oracle Solaris 11.3,请参见 Securing Users and Processes in Oracle Solaris 11.3 中的第 1 章 About Using Rights to Control Users and Processes。
- 创建角色。
# roleadd -P "profile-name" role-name
- 为该角色指定密码。
系统将提示您指定并确认新密码。
# passwd role-name
- 将该角色分配给用户。
# useradd -R role-name username
- 为用户分配密码。
系统将提示您指定并确认新密码。
# passwd username
- 必要时成为该用户并提供密码。
# su username
- 验证该用户是否能够访问为其分配的角色。
$ id uid=nn(username) gid=nn(group-name) $ roles role-name
- 必要时承担该角色并提供密码。
$ su role-name
- 验证该用户是否能够承担此角色。
$ id uid=nn(role-name) gid=nn(group-name)
此示例说明如何创建 ldm_read 角色、将该角色分配给 user_1 用户、成为 user_1 用户并承担 ldm_read 角色。
# roleadd -P "LDoms Review" ldm_read # passwd ldm_read New Password: Re-enter new Password: passwd: password successfully changed for ldm_read # useradd -R ldm_read user_1 # passwd user_1 New Password: Re-enter new Password: passwd: password successfully changed for user_1 # su user_1 Password: $ id uid=95555(user_1) gid=10(staff) $ roles ldm_read $ su ldm_read Password: $ id uid=99667(ldm_read) gid=14(sysadmin)