RBAC 角色

角色是一种特殊类型的用户帐户，通过此帐户可运行特权应用程序。角色与用户帐户使用相同的常规方式创建。角色具有起始目录、组指定和口令等。权限配置文件和授权可为角色提供管理功能。角色不能从其他角色或其他用户那里继承功能。各角色分配有相应的超级用户功能，因此可以实现更为安全的管理。

用户承担某种角色时，此角色的属性将替换所有用户属性。角色信息存储在 passwd、shadow 和 user_attr 数据库中。可以将角色信息添加到 audit_user 数据库中。有关设置角色的详细信息，请参见以下各节：

• 如何规划 RBAC 实现

• 如何通过命令行创建角色

• 如何更改角色的属性

可以为多个用户分配一种角色。所有可以承担同一角色的用户都具有同一角色起始目录，在同一环境中运行，并且可访问相同文件。用户可以通过从命令行运行 su 命令并提供角色名称和口令来承担角色，还可以在 Solaris Management Console 工具中承担角色。

角色无法直接进行登录。用户需要首先登录，然后才能承担角色。用户承担一种角色之后，如果不首先退出当前角色，则无法承担其他角色。用户退出此角色之后，便可承担其他角色。

可以通过将 root 用户更改为角色（如如何使 root 用户成为角色中所示），防止匿名 root 进行登录。 如果要审计配置文件 shell 命令 pfexec ，则审计跟踪需要包含登录用户的实际 UID、用户承担的角色以及相应角色执行的操作。要针对角色操作来审计系统或特定用户，请参见如何审计角色。

Solaris 软件没有附带任何预定义的角色。

• 要配置主管理员角色，请参见《系统管理指南：基本管理》中的“使用 RBAC 和 Solaris 管理工具（任务图）”。

• 要配置其他角色，请参见如何使用 GUI 创建和指定角色。

• 要在命令行中创建角色，请参见管理 RBAC（任务列表）。