系统管理指南：安全性服务

RBAC 命令

本节列出了用于管理 RBAC 的命令，还提供了一个命令表，其中命令的访问可以由授权控制。

管理 RBAC 的命令

虽然可以手动编辑本地 RBAC 数据库，但是强烈建议不要进行此类编辑。以下命令可用于管理对具有 RBAC 的任务进行访问。

表 10–7 RBAC 管理命令


命令的手册页	说明
auths(1)	显示用户的授权。
makedbm(1M)	生成 `dbm` 文件。
nscd(1M)	名称服务高速缓存守护进程，适用于高速缓存 `user_attr`、`prof_attr` 和 `exec_attr` 数据库。使用 `svcadm` 命令重新启动守护进程。
pam_roles(5)	PAM 的角色帐户管理模块。检查承担角色的授权。
pfexec(1)	由配置文件 shell 使用以执行在 `exec_attr` 数据库中指定的带有安全属性的命令。
policy.conf(4)	系统安全策略的配置文件。列出授予的授权、授予的权限和其他安全信息。
profiles(1)	显示指定用户的权限配置文件。
roles(1)	显示指定用户可以承担的角色。
roleadd(1M)	向本地系统中添加角色。
roledel(1M)	从本地系统中删除角色。
rolemod(1M)	在本地系统上修改角色的属性。
smattrpop(1M)	将源安全属性数据库合并到目标数据库。用于需要将本地数据库合并到名称服务的情况。还用于未提供转换脚本的升级。
smexec(1M)	管理 `exec_attr` 数据库中的项。要求验证。
smmultiuser(1M)	管理对用户帐户的批量操作。要求验证。
smprofile(1M)	管理 `prof_attr` 和 `exec_attr` 数据库中的权限配置文件。要求验证。
smrole(1M)	管理角色帐户中的角色和用户。要求验证。
smuser(1M)	管理用户项。要求验证。
useradd(1M)	向系统中添加用户帐户。`-P` 选项将角色指定给用户帐户。
userdel(1M)	从系统中删除用户的登录。
usermod(1M)	修改系统上的用户帐户属性。

要求授权的命令

下表提供了在 Solaris 系统上如何使用授权限制命令选项的示例。有关授权的更多介绍，请参见授权命名和委托。

表 10–8 命令和关联的授权


命令的手册页	授权要求
at(1)	所有选项所需的 `solaris.jobs.user`（`at.allow` 和 `at.deny` 文件都不存在时）
atq(1)	所有选项所需的 `solaris.jobs.admin`
cdrw(1)	所有选项所需的 `solaris.device.cdrw`，缺省情况下在 `policy.conf` 文件中授予
crontab(1)	选项提交作业所需的 `solaris.jobs.user`（`crontab.allow` 和 `crontab.deny` 文件都不存在时）选项列出或修改其他用户的 `crontab` 文件所需的 `solaris.jobs.admin`
allocate(1)	分配设备所需的 `solaris.device.allocate`（或在 `device_allocate` 文件中指定的其他授权）将设备分配给其他用户（`-F` 选项）所需的 `solaris.device.revoke`（或在 `device_allocate` 文件中指定的其他授权）
deallocate(1)	解除其他用户的设备分配所需的 `solaris.device.allocate`（或在 `device_allocate` 文件中指定的其他授权）强制解除指定设备（`-F` 选项）或所有设备的分配（`-I` 选项）所需的 `solaris.device.revoke`（或在 `device_allocate` 中指定的其他授权）
list_devices(1)	列出其他用户的设备（`-U` 选项）所需的 `solaris.device.revoke`
sendmail(1M)	访问邮件子系统功能所需的 `solaris.mail`；查看邮件队列所需的 `solaris.mail.mailq`