Sun Cluster 管理権限プロファイルによる RBAC 役割の作成と割り当て
役割を作成するには、Primary Administrator 権利プロファイルが割り当てられている役割になるか、root ユーザーとして実行する必要があります。
管理役割ツールを使用して役割を作成する方法
-
管理役割ツールを起動します。
Solaris Management Console を起動し、管理役割ツールを実行します。これについては、『Solaris のシステム管理 (セキュリティサービス)』を参照してください。 次に、「ユーザー」ツールコレクションを開いて、「管理役割 (Administrative Roles)」アイコンをクリックします。
-
「管理役割を追加 (Add Administrative)」ウィザードが起動します。
「アクション (Action)」メニューから「管理役割を追加 (Add Administrative Role)」を選択して、「管理役割を追加 (Add Administrative)」ウィザードを起動します。
-
Cluster Management 権限プロファイルが割り当てられる役割を作成します。
「次へ (Next)」および「戻る (Back)」ボタンを使用して、ダイアログボックスを移動します。 ただし、すべての必要なフィールドに入力がなされるまで、「次へ (Next)」ボタンはアクティブになりません。 最後に、入力したデータを確認するダイアログボックスが表示されます。前のダイアログボックスに戻って入力を変更するか、「完了 (Finish)」をクリックして新しい役割を保存します。表 2–1 に、ダイアログボックスの要約を示します。
注 –このプロファイルは、役割に割り当てられるプロファイルリストの先頭に置く必要があります。
-
新しく作成した役割に、SunPlex Manager 機能や Sun Cluster コマンドを使用する必要があるユーザーを割り当てます。
useradd(1M) コマンドを使って、ユーザーアカウントをシステムに追加します。 ユーザーのアカウントに役割を割り当てるには、-P オプションを使用します。
-
[完了]をクリックして終了します。
-
端末ウィンドウを開いてスーパーユーザーになり、ネームサービスキャッシュデーモンを起動して停止します。
新しい役割は、ネームサービスキャッシュデーモンを再起動するまで有効になりません。 スーパーユーザーで、次のように入力します。
# /etc/init.d/nscd stop # /etc/init.d/nscd start
|
ダイアログボックス |
フィールド |
フィールドの説明 |
|---|---|---|
|
手順 1: 役割名を入力します。 |
役割名 (Role Name) |
役割の短縮名 |
|
|
役割の正式名称 |
正式名 |
|
|
説明 |
役割の説明 |
|
|
役割 ID 番号 |
役割の UID。自動的に増分する |
|
|
役割シェル |
役割に使用できるプロファイルシェル: Administrator の C シェル、Administrator の Bourne シェル、または Administrator の Korn シェル |
|
|
役割のメーリングリストを作成 |
この役割に割り当てられているユーザーのメーリングリストを作成する |
|
手順 2: 役割パスワードを入力します。 |
役割パスワード |
******** |
|
|
パスワードの確認 |
******** |
|
手順 3: 役割権利を選択します。 |
有効な権利 / 許可された権利 |
役割の権利プロファイルの割り当てまたは削除を行う 同一のコマンドを複数回入力しても、エラーにはならない。 ただし、権利プロファイルでは、同一のコマンドが複数回発生した場合、最初のコマンドに割り当てられた属性が優先され、後続の同一コマンドはすべて無視される。 順番を変更するときは、上矢印または下矢印を使用する |
|
手順 4: ホームディレクトリを選択します。 ホームディレクトリの選択 |
サーバー |
ホームディレクトリのサーバー |
|
|
パス |
ホームディレクトリのパス |
|
手順 5: この役割にユーザーを割り当てます。 ユーザーの役割への割り当て |
ノードを追加します。 |
この役割を引き受けるユーザーを追加する。 同じスコープ内でユーザーでなければならない |
|
|
削除 |
この役割が割り当てられているユーザーを削除する |
コマンド行から役割を作成する方法
-
次のいずれかの役割の作成方法を選択します。
-
ローカルスコープの役割を作成する場合、roleadd(1M) コマンドを使用して、新しいローカル役割とその属性を指定します。
-
また同じくローカルスコープの役割を作成する場合、user_attr(4) ファイルを編集して、ユーザーに type=role を追加することもできます。
この方法は、入力ミスが発生しやすいため、緊急時以外はできるだけ使用しないでください。
-
ネームサービスの役割を作成する場合は、smrole(1M) コマンドを使用して、新しい役割とその属性を指定します。
このコマンドは、スーパーユーザー、またはその他の役割を作成できる役割による認証を必要とします。 smrole コマンドは、すべてのネームサービスに適用でき、 Solaris 管理コンソールサーバーのクライアントとして動作します。
-
-
ネームサービスキャッシュデーモンを起動して停止します。
新しい役割は、ネームサービスキャッシュデーモンを再起動するまで有効になりません。 スーパーユーザーで次のように入力します。
# /etc/init.d/nscd stop # /etc/init.d/nscd start
例 2–1 smrole コマンドを使用してカスタムの Operator 役割を作成する
次のコマンドシーケンスは、smrole コマンドを使用して役割を作成します。 この例では、新しい Operator 役割が作成され、標準の Operator 権利プロファイルとMedia Restore 権利プロファイルが割り当てられます。
% su primaryadmin # /usr/sadm/bin/smrole add -H myHost -- -c "Custom Operator" -n oper2 -a johnDoe \ -d /export/home/oper2 -F "Backup/Restore Operator" -p "Operator" -p "Media Restore" Authenticating as user: primaryadmin Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password :: <primaryadmin パスワードを入力する> Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost Login to myHost as user primaryadmin was successful. Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful. Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password ::<oper2 パスワードを入力する> # /etc/init.d/nscd stop # /etc/init.d/nscd start |
新しく作成した役割およびその他の役割を表示するには、次のように smrole コマンドに list オプションを指定します。
# /usr/sadm/bin/smrole list -- Authenticating as user: primaryadmin Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password :: < primaryadmin パスワードを入力する> Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost Login to myHost as user primaryadmin was successful. Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful. root 0 Super-User primaryadmin 100 Most powerful role sysadmin 101 Performs non-security admin tasks oper2 102 Custom Operator |
- © 2010, Oracle Corporation and/or its affiliates