如何使用 GUI 创建和指定角色
您可以以超级用户身份,也可以使用主管理员角色来创建新角色。 在此过程中,新角色的创建者会承担主管理员的角色。
开始之前
-
您已在站点上创建可承担角色的用户。如果尚未创建这些用户,请按照《系统管理指南:基本管理》中的“使用 RBAC 和 Solaris 管理工具(任务图)”的说明进行创建。
-
已按照《系统管理指南:基本管理》中的“使用 RBAC 和 Solaris 管理工具(任务图)”的过程,为您指定了主管理员角色。
-
启动 Solaris Management Console。
# /usr/sbin/smc &
有关登录说明,请参见如何在 Solaris Management Console 中承担角色。
-
单击“管理角色”图标。
-
从“操作”菜单中选择“添加管理角色”。
-
填写一系列对话框中的字段以创建新角色。
提示 –Solaris Management Console 中的所有工具都会在页面底部或向导面板的左侧显示信息。您可随时选择“帮助”,以查找有关在此界面中执行任务的其他信息。
-
提示 –填写角色的属性后,最后一个对话框将提示您为该角色指定一个用户。
-
# svcadm restart system/name-service-cache
有关更多信息,请参见 svcadm(1M) 和 nscd(1M) 手册页。
示例 9–1 为系统管理员权限配置文件创建角色
在本示例中,新角色可以执行与安全无关的系统管理任务。该角色是通过执行上述过程创建的,其参数如下:
-
角色名称:sysadmin
-
角色全名:System Administrator
-
角色说明: Performs non-security admin tasks
-
权限配置文件:System Administrator
此权限配置文件位于该角色具有的配置文件列表的顶部。
示例 9–2 为操作员权限配置文件创建角色
操作员权限配置文件可以管理打印机并将系统备份到脱机介质。您可能希望将该角色指定给各个班次上的某个用户。为此,可在“步骤 1:进入‘角色名’对话框”中选择角色邮件列表选项。该角色是通过执行上述过程创建的,其参数如下:
-
角色名称: operadm
-
全名: Operator
-
描述: Backup operator
-
权限配置文件: Operator
此权限配置文件必须位于该角色中具有的配置文件列表的顶部。
示例 9–3 为与安全相关的权限配置文件创建角色
缺省情况下,仅有主管理员配置文件包含与安全相关的命令和权限。如果要创建功能不如主管理员强大,但可处理某些与安全相关的任务的角色,则必须创建该角色。
在以下示例中,该角色可保护设备。该角色是通过执行上述过程创建的,其参数如下:
在以下示例中,该角色可确保系统和主机在网络上的安全。该角色是通过执行上述过程创建的,其参数如下:
示例 9–4 为具有有限范围的权限配置文件创建角色
许多权限配置文件的范围都是有限的。在本示例中,该角色的唯一任务是管理 DHCP。该角色是通过执行上述过程创建的,其参数如下:
-
角色名称: dhcpmgt
-
全名: DHCP Management
-
描述: Manages Dynamic Host Config Protocol
-
权限配置文件: DHCP Management
示例 9–5 修改用户的角色指定
在本示例中,将向现有用户添加角色。您可以修改用户的角色指定,方法是在 Solaris Management Console 的“用户”工具中单击“用户帐户”图标,双击相应用户,然后按照联机帮助的说明将角色添加到该用户的功能。
故障排除
-
角色的权限配置文件是否按功能从高到低的顺序在 GUI 中列出?
例如,如果 All 权限配置文件位于列表顶部,则不会运行具有安全性属性的命令。包含具有安全性属性的命令的配置文件在列表中必须位于 All 权限配置文件的前面。
-
角色的权限配置文件中的命令是否具有相应的安全性属性?
例如,如果策略为 suser,则某些命令会要求 uid=0,而不是要求 euid=0。
-
是否在相应的名称服务范围中定义了权限配置文件?角色是否在定义权限配置文件的名称服务范围内运行?
-
名称服务高速缓存 svc:/system/name-service-cache 是否已重新启动?
nscd 守护进程可以具有很长的生存时间间隔。通过重新启动此守护进程,可使用当前数据更新该名称服务。
- © 2010, Oracle Corporation and/or its affiliates