特権をユーザーまたは役割に割り当てる方法
特定の特権を持つ何人かのユーザーを常に信頼する場合があります。システムのごく一部に影響を与える非常に限定的な特権をユーザーに割り当てることをお勧めします。特権を直接割り当てることによる影響の詳細については、「セキュリティー属性を直接割り当てる場合に考慮すべきセキュリティー事項」を参照してください。
次の手順により、ユーザー jdoe は高分解能タイマーを使用できるようになります。
-
Primary Administrator 役割を引き受けるか、スーパーユーザーになります。
Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。
-
高分解能時間に影響を与える特権を、ユーザーの最初の継承可能な特権セットに追加します。
$ usermod -K defaultpriv=basic,proc_clock_highres jdoe
既存の値が defaultpriv キーワードの値で置き換えられます。このため、ユーザーが basic 特権を保持するために、値 basic を指定する必要があります。デフォルトの構成では、すべてのユーザーが基本特権を保持します。
-
結果として生じる user_attr エントリを確認します。
$ grep jdoe /etc/user_attr jdoe::::type=normal;defaultpriv=basic,proc_clock_highres
例 11–6 システム時間を構成するための特権付き役割の作成
この例では、システム上の時間の処理を唯一のタスクとする役割を作成します。
$ /usr/sadm/bin/smrole -D nisplus:/examplehost/example.domain \ -r primaryadm -l <Type primaryadm password> \ add -- -n clockmgr \ -c "Role that sets system time" \ -F "Clock Manager" \ -s /bin/pfksh \ -u 108 \ -P <Type clockmgr password> \ -K defaultpriv=basic,proc_priocntl,sys_cpu_config, proc_clock_highres,sys_time |
-K 行は、表示の都合上、折り返して記載されています。
役割がローカルに作成される場合、その役割に対する user_attr エントリは次のようになります。
clockmgr:::Role that sets system time: type=role;defaultpriv=basic,proc_priocntl,sys_cpu_config, proc_clock_highres,sys_time |
- © 2010, Oracle Corporation and/or its affiliates