如果您要使用基于角色的访问控制 (role-based access control, RBAC) 来管理系统,请使用此过程提供网络管理角色或网络安全角色。
在本地 prof_attr 数据库中查找网络权限配置文件。
在当前发行版中,输出会显示类似于以下内容的信息:
% cd /etc/security % grep Network prof_attr Network IPsec Management:::Manage IPsec and IKE... Network Link Security:::Manage network link security... Network Management:::Manage the host and network configuration... Network Security:::Manage network and host security... Network Wifi Management:::Manage wifi network configuration... Network Wifi Security:::Manage wifi network security... |
如果您运行的是 Solaris 10 4/09 发行版之前的发行版,输出会显示类似于以下内容的信息:
% cd /etc/security % grep Network prof_attr Network Management:::Manage the host and network configuration Network Security:::Manage network and host security System Administrator::: Network Management |
网络管理配置文件是系统管理员配置文件的补充配置文件。如果您将系统管理员权限配置文件纳入角色,则此角色可以执行网络管理配置文件中的命令。
% grep "Network Management" /etc/security/exec_attr Network Management:solaris:cmd:::/usr/sbin/ifconfig:privs=sys_net_config … Network Management:suser:cmd:::/usr/sbin/snoop:uid=0 |
使用权限 (privs=sys_net_config) 可以运行 solaris 策略命令。以超级用户 (uid=0) 身份可以运行 suser 策略命令。
使用步骤 1 中的权限配置文件定义指导您做出决定。
创建拥有网络管理权限配置文件的网络安全角色。
对于拥有除网络管理配置文件外还拥有网络安全或网络 IPsec 管理权限配置文件的角色,除了可执行其他命令外,还可按相应的权限执行 ifconfig、snoop、ipsecconf 和 ipseckey 命令。
要创建该角色、将该角色指定给用户以及使用名称服务注册更改,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。
在此示例中,管理员要在两个角色之间划分网络安全职责。其中一个角色负责管理 wifi 和链路安全,另一个角色负责管理 IPsec 和 IKE。为每个角色指定三个人,一人一班。
管理员创建的角色如下:
管理员将第一个角色命名为 LinkWifi。
管理员将网络 Wifi、网络链路安全和网络管理权限配置文件指定给该角色。
然后,管理员将 LinkWifi 角色指定给适当的用户。
管理员将第二个角色命名为 IPsec Administrator。
管理员将网络 IPsec 管理和网络管理权限配置文件指定给该角色。
然后,管理员将 IPsec Administrator 角色指定给适当的用户。