承認の基本概念

承認は、実行プロファイルを通じてのみ、そのユーザーに与えられます。

プロファイルマネージャを通じて、各実行プロファイルにはゼロまたはそれ以上の数の承認が割り当てられます。この割り当てられた承認は、各プロファイルの tsolprof(4) エントリ内の「承認 (authorizations)」フィールドに格納されます。承認フィールドの内容は、承認番号、名前、all、none のいずれかのキーワードのうち任意のものをコンマで区切ったものです。tsolprof エントリの書式を次に示します。

profile:description:authorizations:actions:commands:links:flags; (<プロファイル名> : <説明> : <承認名> : <アクション名> : <コマンド名> : <リンク名> : <フラグ> ;)

tsolprof ファイルは直接編集しないでください。

下の図は、Audit Review という名前のプロファイルの tsolprof エントリを示しています。このプロファイルは、「端末ログイン」承認 (番号 3) と「ファイルの特権を設定」承認 (番号 9) を持っています。

例 2-2 tsolprof エントリの例

 
Audit Review:View The Audit Trail:none:none:/var/sbin;praudit;
3,9;none;none,0x0000000000000000000000000000000000000000000000
0000000000000000000000[0x7ffffffffffffffffffffffffffffffffffff
ffffffffffffffffffffffffffffff]:1:none

アカウントの設定や変更を行う際、セキュリティ管理者は、ユーザーマネージャを使ってゼロまたはそれ以上の数の実行プロファイルを割り当てます。割り当てられたプロファイルの名前は、そのアカウント用の tsoluser(4) エントリ内のプロファイル用のフィールドに格納されます。

次の図は、ローカルに作成された auditadmin という名前の管理役割アカウント用の tsoluser エントリを示しています。このエントリのプロファイル用のフィールドには、割り当てられたプロファイル名をコンマで区切ったものが格納されています。

例 2-3 管理役割アカウント用の tsoluser エントリ内に示されたプロファイル

 
auditadmin:fixed:automatic:Audit Control,Audit Review,Media Restore,:none:5:l
ock:internal, showil,showsl:0x0000:0x000000000000000000000000000000000000000000
00000000000000000000000000:0x7fffffffffffffffffffffffffffffffffffffffffffffffff
fffffffff:utadm:res1:res2:res3

上の例では、この新しい役割には、Audit Control、Audit Review、Media Restoreという 3 つのプロファイルが割り当てられています。