承認は、実行プロファイルを通じてのみ、そのユーザーに与えられます。
プロファイルマネージャを通じて、各実行プロファイルにはゼロまたはそれ以上の数の承認が割り当てられます。この割り当てられた承認は、各プロファイルの tsolprof(4) エントリ内の「承認 (authorizations)」フィールドに格納されます。承認フィールドの内容は、承認番号、名前、all
、none
のいずれかのキーワードのうち任意のものをコンマで区切ったものです。tsolprof エントリの書式を次に示します。
profile:description:authorizations:actions:commands:links:flags; (<プロファイル名> : <説明> : <承認名> : <アクション名> : <コマンド名> : <リンク名> : <フラグ> ;)
tsolprof ファイルは直接編集しないでください。
下の図は、Audit Review という名前のプロファイルの tsolprof エントリを示しています。このプロファイルは、「端末ログイン」承認 (番号 3) と「ファイルの特権を設定」承認 (番号 9) を持っています。
Audit Review:View The Audit Trail:none:none:/var/sbin;praudit; 3,9;none;none,0x0000000000000000000000000000000000000000000000 0000000000000000000000[0x7ffffffffffffffffffffffffffffffffffff ffffffffffffffffffffffffffffff]:1:none |
アカウントの設定や変更を行う際、セキュリティ管理者は、ユーザーマネージャを使ってゼロまたはそれ以上の数の実行プロファイルを割り当てます。割り当てられたプロファイルの名前は、そのアカウント用の tsoluser(4) エントリ内のプロファイル用のフィールドに格納されます。
次の図は、ローカルに作成された auditadmin という名前の管理役割アカウント用の tsoluser エントリを示しています。このエントリのプロファイル用のフィールドには、割り当てられたプロファイル名をコンマで区切ったものが格納されています。
auditadmin:fixed:automatic:Audit Control,Audit Review,Media Restore,:none:5:l ock:internal, showil,showsl:0x0000:0x000000000000000000000000000000000000000000 00000000000000000000000000:0x7fffffffffffffffffffffffffffffffffffffffffffffffff fffffffff:utadm:res1:res2:res3 |
上の例では、この新しい役割には、Audit Control、Audit Review、Media Restoreという 3 つのプロファイルが割り当てられています。