RBAC 命令
本节列出了用于管理 RBAC 的命令,还提供了一个命令表,其中命令的访问可以由授权控制。
管理 RBAC 的命令
虽然可以手动编辑本地 RBAC 数据库,但是强烈建议不要进行此类编辑。以下命令可用于管理对具有 RBAC 的任务进行访问。
表 10–7 RBAC 管理命令
要求授权的命令
下表提供了在 Solaris 系统上如何使用授权限制命令选项的示例。有关授权的更多介绍,请参见授权命名和委托。
表 10–8 命令和关联的授权
命令的手册页
|
授权要求
|
at(1)
|
所有选项所需的 solaris.jobs.user(at.allow 和 at.deny 文件都不存在时)
|
atq(1)
|
所有选项所需的 solaris.jobs.admin
|
cdrw(1)
|
所有选项所需的 solaris.device.cdrw,缺省情况下在 policy.conf 文件中授予
|
crontab(1)
|
选项提交作业所需的 solaris.jobs.user(crontab.allow 和 crontab.deny 文件都不存在时)
选项列出或修改其他用户的 crontab 文件所需的 solaris.jobs.admin
|
allocate(1)
|
分配设备所需的 solaris.device.allocate(或在 device_allocate 文件中指定的其他授权)
将设备分配给其他用户(-F 选项)所需的 solaris.device.revoke(或在 device_allocate 文件中指定的其他授权)
|
deallocate(1)
|
解除其他用户的设备分配所需的 solaris.device.allocate(或在 device_allocate 文件中指定的其他授权)
强制解除指定设备(-F 选项)或所有设备的分配(-I 选项)所需的 solaris.device.revoke(或在 device_allocate 中指定的其他授权)
|
list_devices(1)
|
列出其他用户的设备(-U 选项)所需的 solaris.device.revoke
|
sendmail(1M)
|
访问邮件子系统功能所需的 solaris.mail;查看邮件队列所需的 solaris.mail.mailq
|