プロファイルシェルで特権コマンドを実行する標準シェルスクリプトを作成するには

ユーザーは、特権付きのコマンドを実行する標準シェルスクリプトを作成できます。作成したスクリプトをプロファイルに追加し、スクリプトに含まれるコマンドに必要なすべての特権を使って実行されるように指定してください。すると、このスクリプトを含むプロファイルを持つユーザーによってプロファイルシェルから呼び出されるとき、スクリプトは特権を継承します。

1. スクリプトの 1 行目は、(/bin/pfsh ではなく) 任意の標準シェルで開始します。

   #!/bin/csh

   シェルスクリプトを記述するための条件は、テキストエディタを使用できることです。

2. 特権が必要なコマンドと、このコマンドに必要な特権を判断します。

   詳細は、「アプリケーションに必要な特権を調べるには」を参照してください。autosetpriv という例では、セキュリティ管理者は、強制された特権と許容された特権の定義済みセットを executable と呼ばれるファイルに割り当てます。このスクリプトの setfpriv コマンドには、 file_setpriv 特権が必要です。

   ---

   注 -

   このシェルスクリプトは、例として作成されています。通常のシェルスクリプトは特権とファイル名を引数として受け取り、エラー検査を行います。ここで紹介するシェルスクリプトは、例の中で指定した特権を executable という実行可能ファイルに割り当てる目的以外では、使用できません。これを実行したユーザーは全員は、「強制された特権」と「許容された特権」を使用できるようになります。

   ---

   #!/bin/csh setfpriv -s -f ipc_mac_write,ipc_upgrade_il,proc_setsl,sys_trans_label -a ipc_mac_write,ipc_upgrade_il,proc_setsl,sys_trans_label executable

3. セキュリティ管理者役割になり、ADMIN_LOW シェルに移動します。

   詳細は、「ログイン後、特定の管理役割になるには」を参照してください。

4. プロファイルマネージャを使って適切なプロファイルを更新します。シェルスクリプト内で実行されるコマンドを記述し、そのコマンドに適切な特権を割り当ててください。

   詳細は、「プロファイルマネージャを起動するには」を参照してください。

   setfpriv コマンドに必要な file_setpriv 特権を使用して autosetpriv と呼ばれるスクリプトを実行するためには、セキュリティ管理者がプロファイルマネージャで Object Privileges プロファイル (デフォルトで セキュリティ管理者役割に割り当てられています) を更新し、autosetpriv スクリプトを追加し、autosetpriv に file_setpriv 特権を割り当てます。

5. 必要に応じて、プロファイルシェル内でシェルスクリプトのテストやデバッグを行なったり実行したりします。

   $ autosetpriv