此任务图介绍您需要执行的任务(如果您要使用 RBAC 安全功能执行管理任务,而不使用超级用户帐户)。
本章中的信息介绍如何使用控制台和 RBAC。本章包含的 RBAC 概述和任务信息介绍了如何用控制台初始设置 RBAC。
有关 RBAC 以及如何在其他应用程序中使用 RBAC 的详细信息,请参见 《系统管理指南:安全性服务》中的“基于角色的访问控制(概述)”。
任务 |
说明 |
参考 |
---|---|---|
1. 启动控制台。 |
如果已经设置了用户帐户,请以自己的身份启动控制台。然后,以 root 身份登录控制台。如果尚未设置用户帐户,请首先成为超级用户,然后启动控制台。 | |
2. 为自己添加一个用户帐户。 |
如果您还没有用户帐户,请为自己添加一个帐户。 |
Solaris Management Console 联机帮助 |
3. 创建主管理员角色 |
创建主管理员角色。然后,将自己添加到此角色中。 | |
4. 承担主管理员角色。 |
在创建主管理员角色之后承担此角色。 | |
5. (可选)使 root 成为角色。 |
使 root 成为角色并将您自己添加到 root 角色中,以使其他用户无法使用 su 命令来成为 root。 | |
6. (可选)创建其他管理角色。 |
创建其他管理角色并向每个角色授予相应的权限。然后,向每个角色中添加相应的用户。 |
以下几节提供有关使用 Solaris Management Console 和 RBAC 安全功能的概述信息和分步说明。
如果您是第一个登录控制台的管理员,请以用户(您自己)的身份启动控制台。然后以超级用户身份登录。此方法提供对所有控制台工具的完全访问权限。
下面是一些常见步骤,具体情况取决于您是否使用 RBAC:
不使用 RBAC-如果您选择不使用 RBAC,可继续以超级用户身份工作。所有其他管理员都还将需要 root 访问权限以执行其作业。
使用 RBAC-您将需要执行以下操作:
如果还没有帐户,请设置您的用户帐户。
创建名为主管理员的角色。
向所创建的角色指定主管理员权限。
向该角色指定用户帐户。
有关创建主管理员角色的分步说明,请参见如何创建第一个角色(主管理员)。
有关 RBAC 如何运行的概述,请参见 《系统管理指南:安全性服务》中的第 9 章 “使用基于角色的访问控制(任务)”。
管理员角色是特殊的用户帐户。允许承担角色的用户执行一组预定义的管理任务。
如果您是超级用户或者是承担主管理员角色的用户,则可以定义允许其他管理员执行的任务。使用“添加管理角色”向导,可以创建角色,授予角色权限,然后指定允许哪些用户承担该角色。权限是一个已命名的命令或授权集合,这些命令或授权是使用某些特定应用程序所需的。使用权限,可以在应用程序中执行特定的功能。管理员可以授予或拒绝授予使用权限。
表 2–2 使用 Solaris Management Console 添加角色时的字段说明
字段名 |
说明 |
---|---|
角色名 |
选择管理员用来登录特定角色的名称。 |
全名 |
提供此角色完整的说明名称。(可选) |
说明 |
提供此角色进一步的说明。 |
角色 ID 号 |
选择指定给此角色的标识号。此标识号与 UID 的标识符集合相同。 |
角色 shell |
选择在用户登录终端或控制台窗口并在该窗口中承担角色时运行的 shell。 |
创建角色邮件列表 |
创建一个与角色同名的邮件列表(如果选中的话)。使用此列表,可以向指定给该角色的每个人发送电子邮件。 |
角色口令和确认口令 |
设置和确认角色口令。 |
“可用的权限”和“授予的权限” |
向该角色指定权限,方法是从“可用的权限”列表中选择权限并将它们添加到“授予的权限”列表中。 |
选择起始目录 |
选择将作为该角色的专用文件存储位置的起始目录服务器。 |
向该角色指定用户 |
将特定的用户添加到该角色,以便他们能够承担该角色来执行特定任务。 |
有关 RBAC 的详细信息以及如何使用角色创建更安全环境的说明,请参见 《系统管理指南:安全性服务》中的“基于角色的访问控制(概述)”。
此过程介绍如何创建主管理员角色并将其指定给用户帐户。此过程假设用户帐户已经创建。
以自己的身份启动控制台。
% /usr/sadm/bin/smc & |
有关启动控制台的其他信息,请参见如何以超级用户或角色身份启动控制台。
控制台联机帮助提供有关为自己创建用户帐户的更多信息。
在“导航”窗格中单击“本计算机”图标。
单击“系统配置”->“用户”->“管理角色”。
单击“操作”->“添加管理角色”。
将打开“添加管理角色”向导。
使用“添加管理角色”向导,按照以下操作步骤来创建主管理员角色。
标识角色名,包括角色的全名、说明、角色 ID 号、角色 shell 以及是否希望创建角色邮件列表。单击“下一步”。
设置并确认角色口令,然后单击“下一步”。
从“可用的权限”列中选择“主管理员”权限并将其添加到“授予的权限”列中。
单击“下一步”。
选择角色的超始目录,然后单击“下一步”。
将自己指定给可以承担角色的用户列表,然后单击“下一步”。
如有必要,请参见表 2–2,了解角色字段说明。
单击“完成”。
在创建了主管理员角色之后,您将需要以自己的身份登录控制台,然后承担主管理员角色。承担角色即会拥有角色的所有属性(包括权限)。同时,放弃自己所有的用户属性。
启动控制台。
% /usr/sadm/bin/smc & |
有关启动控制台的信息,请参见如何以超级用户或角色身份启动控制台。
用自己的用户名和口令登录。
将显示一个允许承担的角色的列表。
登录到主管理员角色并提供角色口令。