Solaris のシステム管理 (セキュリティサービス)

RBAC コマンド

この節では、RBAC の管理に使用するコマンドを一覧します。承認を使用してアクセス権を制御できるコマンドについても説明します。

RBAC を管理するコマンド

ローカルの RBAC データベースは手動で編集できますが、そのような編集はできるだけ避けてください。RBAC を使用したタスクへのアクセスを管理するために、次のコマンドが使用できます。

表 10–7 RBAC 管理コマンド


コマンドのマニュアルページ	説明
auths(1)	ユーザーに対する承認を表示します。
makedbm(1M)	`dbm` ファイルを作成します。
nscd(1M)	ネームサービスキャッシュデーモン。`user_attr`、 `prof_attr`、および`exec_attr` データベースをキャッシュするときに使用します。`svcadm` コマンドを使用してデーモンを再起動します。
pam_roles(5)	PAM 用の役割アカウント管理モジュール。役割になる承認があるかを検査します。
pfexec(1)	プロファイルシェルによって使用されます。`exec_attr` データベースに指定されているセキュリティー属性を使用してコマンドを実行します。
policy.conf(4)	システムのセキュリティーポリシーの構成ファイル。与えられている承認、与えられている特権、およびその他のセキュリティー情報を一覧表示します。
profiles(1)	指定したユーザーの権利プロファイルを表示します。
roles(1)	指定したユーザーが引き受けられる役割を表示します。
roleadd(1M)	役割をローカルシステムに追加します。
roledel(1M)	役割をローカルシステムから削除します。
rolemod(1M)	ローカルシステム上の役割のプロパティーを変更します。
smattrpop(1M)	2 つのセキュリティー属性データベースをマージします。ローカルデータベースをネームサービスにマージするときに使用します。変換スクリプトを使用しないでアップグレードするときも使用します。
smexec(1M)	`exec_attr` データベースのエントリを管理します。認証を必要とします。
smmultiuser(1M)	ユーザーアカウントの一括操作を管理します。認証を必要とします。
smprofile(1M)	`prof_attr` および `exec_attr` データベースの権利プロファイルを管理します。認証を必要とします。
smrole(1M)	役割アカウントの役割とユーザーを管理します。認証を必要とします。
smuser(1M)	ユーザーのエントリを管理します。認証を必要とします。
useradd(1M)	ユーザーアカウントをシステムに追加します。ユーザーのアカウントに役割を割り当てるには、`-P` オプションを使用します。
userdel(1M)	ユーザーのログインをシステムから削除します。
usermod(1M)	システム上のユーザーのアカウントプロパティーを変更します。

承認を必要とするコマンド

次の表では、承認を使用して Solaris システムのコマンドオプションを制限する方法を示します。承認の詳細については、「承認の命名と委託」を参照してください。

表 10–8 コマンドおよび関連する承認


コマンドのマニュアルページ	承認の要件
at(1)	`solaris.jobs.user` がすべてのオプションで必要です (`at.allow` ファイルおよび `at.deny` ファイルがない場合)
atq(1)	`solaris.jobs.admin` がすべてのオプションで必要です
cdrw(1)	`solaris.device.cdrw` がすべてのオプションで必要です。`policy.conf` ファイルにデフォルトで与えられます
crontab(1)	ジョブを送信するオプションの場合は、`solaris.jobs.user` が必要です (`crontab.allow` および `crontab.deny`ファイルがない場合) ほかのユーザーの `crontab` ファイルを一覧表示または変更する場合は、`solaris.jobs.admin` が必要です
allocate(1)	デバイスを割り当てる場合は、`solaris.device.allocate` (または、 `device_allocate` ファイルに指定されている別承認) が必要ですほかのユーザーにデバイスを割り当てる場合 (`F` オプション) は、 `solaris.device.revoke` (または、 `-device_allocate` ファイルに指定されている別承認) が必要です
deallocate(1)	ほかのユーザーのデバイスの割り当てを解除する場合は、 `solaris.device.allocate` (または、`device_allocate` ファイルに指定されている別承認) が必要です指定したデバイス (`-F` オプション) またはすべてのデバイス (`-I` オプション) の割り当てを強制的に解除する場合は、`solaris.device.revoke` (または、 `device_allocate` に指定されている別承認) が必要です
list_devices(1)	ほかのユーザーのデバイスを一覧表示する場合 (`U` オプション) は、`-solaris.device.revoke` が必要です
sendmail(1M)	メールサブシステム機能にアクセスする場合は、`solaris.mail` が必要。メールキューを表示する場合は、`solaris.mail.mailq` が必要です