使用 RBAC 和 Solaris 管理工具（任务图）

此任务图介绍您需要执行的任务（如果您要使用 RBAC 安全功能执行管理任务，而不使用超级用户帐户）。

---

注 –

本章中的信息介绍如何使用控制台和 RBAC。本章包含的 RBAC 概述和任务信息介绍了如何用控制台初始设置 RBAC。

有关 RBAC 以及如何在其他应用程序中使用 RBAC 的详细信息，请参见 《系统管理指南：安全性服务》中的“基于角色的访问控制（概述）”。

---

任务	说明	参考
1. 启动控制台。	如果已经设置了用户帐户，请以自己的身份启动控制台。然后，以 root 身份登录控制台。如果尚未设置用户帐户，请首先成为超级用户，然后启动控制台。	如何以超级用户或角色身份启动控制台
2. 为自己添加一个用户帐户。	如果您还没有用户帐户，请为自己添加一个帐户。	Solaris Management Console 联机帮助  如果是第一个登录控制台的用户
3. 创建主管理员角色	创建主管理员角色。然后，将自己添加到此角色中。	如何创建第一个角色（主管理员）
4. 承担主管理员角色。	在创建主管理员角色之后承担此角色。	如何承担主管理员角色
5. （可选）使 root 成为角色。	使 root 成为角色并将您自己添加到 root 角色中，以使其他用户无法使用 su 命令来成为 root。	《系统管理指南：安全性服务》中的“如何规划 RBAC 实现”
6. （可选）创建其他管理角色。	创建其他管理角色并向每个角色授予相应的权限。然后，向每个角色中添加相应的用户。	《系统管理指南：安全性服务》中的第 9  章 “使用基于角色的访问控制（任务）”

以下几节提供有关使用 Solaris Management Console 和 RBAC 安全功能的概述信息和分步说明。

如果是第一个登录控制台的用户

如果您是第一个登录控制台的管理员，请以用户（您自己）的身份启动控制台。然后以超级用户身份登录。此方法提供对所有控制台工具的完全访问权限。

下面是一些常见步骤，具体情况取决于您是否使用 RBAC：

• 不使用 RBAC－如果您选择不使用 RBAC，可继续以超级用户身份工作。所有其他管理员都还将需要 root 访问权限以执行其作业。

• 使用 RBAC－您将需要执行以下操作：

  • 如果还没有帐户，请设置您的用户帐户。

  • 创建名为主管理员的角色。

  • 向所创建的角色指定主管理员权限。

  • 向该角色指定用户帐户。

    有关创建主管理员角色的分步说明，请参见如何创建第一个角色（主管理员）。

    有关 RBAC 如何运行的概述，请参见 《系统管理指南：安全性服务》中的第 9  章 “使用基于角色的访问控制（任务）”。

创建主管理员角色

管理员角色是特殊的用户帐户。允许承担角色的用户执行一组预定义的管理任务。

允许主管理员角色像超级用户那样执行所有的管理功能。

如果您是超级用户或者是承担主管理员角色的用户，则可以定义允许其他管理员执行的任务。使用“添加管理角色”向导，可以创建角色，授予角色权限，然后指定允许哪些用户承担该角色。权限是一个已命名的命令或授权集合，这些命令或授权是使用某些特定应用程序所需的。使用权限，可以在应用程序中执行特定的功能。管理员可以授予或拒绝授予使用权限。

下表介绍了创建“主管理员”角色时提示您输入的信息。

表 2–2 使用 Solaris Management Console 添加角色时的字段说明

字段名	说明
角色名	选择管理员用来登录特定角色的名称。
全名	提供此角色完整的说明名称。（可选）
说明	提供此角色进一步的说明。
角色 ID 号	选择指定给此角色的标识号。此标识号与 UID 的标识符集合相同。
角色 shell	选择在用户登录终端或控制台窗口并在该窗口中承担角色时运行的 shell。
创建角色邮件列表	创建一个与角色同名的邮件列表（如果选中的话）。使用此列表，可以向指定给该角色的每个人发送电子邮件。
角色口令和确认口令	设置和确认角色口令。
“可用的权限”和“授予的权限”	向该角色指定权限，方法是从“可用的权限”列表中选择权限并将它们添加到“授予的权限”列表中。
选择起始目录	选择将作为该角色的专用文件存储位置的起始目录服务器。
向该角色指定用户	将特定的用户添加到该角色，以便他们能够承担该角色来执行特定任务。

有关 RBAC 的详细信息以及如何使用角色创建更安全环境的说明，请参见 《系统管理指南：安全性服务》中的“基于角色的访问控制（概述）”。

如何创建第一个角色（主管理员）

此过程介绍如何创建主管理员角色并将其指定给用户帐户。此过程假设用户帐户已经创建。

1. 以自己的身份启动控制台。

   % /usr/sadm/bin/smc &

   有关启动控制台的其他信息，请参见如何以超级用户或角色身份启动控制台。

   控制台联机帮助提供有关为自己创建用户帐户的更多信息。

2. 在“导航”窗格中单击“本计算机”图标。

3. 单击“系统配置”->“用户”->“管理角色”。

4. 单击“操作”->“添加管理角色”。

   将打开“添加管理角色”向导。

5. 使用“添加管理角色”向导，按照以下操作步骤来创建主管理员角色。

   1. 标识角色名，包括角色的全名、说明、角色 ID 号、角色 shell 以及是否希望创建角色邮件列表。单击“下一步”。

   2. 设置并确认角色口令，然后单击“下一步”。

   3. 从“可用的权限”列中选择“主管理员”权限并将其添加到“授予的权限”列中。

   4. 单击“下一步”。

   5. 选择角色的超始目录，然后单击“下一步”。

   6. 将自己指定给可以承担角色的用户列表，然后单击“下一步”。

   如有必要，请参见表 2–2，了解角色字段说明。

6. 单击“完成”。

如何承担主管理员角色

在创建了主管理员角色之后，您将需要以自己的身份登录控制台，然后承担主管理员角色。承担角色即会拥有角色的所有属性（包括权限）。同时，放弃自己所有的用户属性。

1. 启动控制台。

   % /usr/sadm/bin/smc &

   有关启动控制台的信息，请参见如何以超级用户或角色身份启动控制台。

2. 用自己的用户名和口令登录。

   将显示一个允许承担的角色的列表。

3. 登录到主管理员角色并提供角色口令。