系统管理指南:安全性服务

使用角色

使用缺省的 Solaris 权限配置文件设置角色并将其指定给用户后,便可以使用这些角色。可以通过命令行来承担角色。在 Solaris Management Console 中,还可使用角色以本地方式和通过网络来管理系统。

Procedure如何在终端窗口中承担角色

开始之前

必须已为您指定了角色,并且必须使用该信息更新名称服务。

  1. 在终端窗口中,确定可以承担的角色。


    % roles
    
    Comma-separated list of role names is displayed
    
  2. 使用 su 命令承担角色。


    % su rolename
    
    Password: <键入 rolename 的口令>
    
    $

    带有角色名的 su 命令会将 shell 更改为该角色的配置文件 shell。配置文件 shell 可识别安全性属性(授权、特权和集 ID 位)。

  3. 验证您现在是否已承担某种角色。


    $ /usr/ucb/whoami
    
    rolename
    

    您现在可在此终端窗口中执行角色任务。

  4. (可选的)查看角色的功能。

    有关过程,请参见如何确定角色可以运行的特权命令


示例 9–8 承担主管理员角色

在以下示例中,用户承担主管理员角色。在缺省配置中,该角色与超级用户等效。然后,该角色会查看哪些特权可供在角色的配置文件 shell 中键入的任何命令使用。


% roles

sysadmin,oper,primaryadm

% su primaryadm

Password: <键入 primaryadm 口令>

$ /usr/ucb/whoami 提示符更改为角色提示符

primaryadm

$ ppriv $$

1200:   pfksh

flags = <none>

        E (Effective): all

        I (Inheritable): basic

        P (Permitted): all

        L (Limit): all

有关特权的信息,请参见权限(概述)



示例 9–9 承担 root 角色

在以下示例中,用户承担 root 角色。该角色是在如何使 root 用户成为角色中创建的。


% roles

root

% su root

Password: <键入 root 的口令>

# /usr/ucb/whoami 提示符更改为角色提示符

root

$ ppriv $$

1200:   pfksh

flags = <none>

        E: all

        I: basic

        P: all

        L: all

有关特权的信息,请参见权限(概述)



示例 9–10 承担系统管理员角色

在以下示例中,用户承担系统管理员的角色。与主管理员角色相反,系统管理员角色在其有效集中具有基本的特权集。


% roles

sysadmin,oper,primaryadm

% su sysadmin

Password: <键入 sysadmin 的口令>

$ /usr/ucb/whoami 提示符更改为角色提示符

sysadmin

$ ppriv $$

1200:   pfksh

flags = <none>

        E: basic

        I: basic

        P: basic

        L: all

有关特权的信息,请参见权限(概述)。有关该角色功能的简短说明,请参见系统管理员权限配置文件


Procedure如何在 Solaris Management Console 中承担角色

要在 Solaris Management Console GUI 中更改信息,需要具有管理功能。角色可为您提供管理功能。如果要查看信息,则必须具有 solaris.admin.usermgr.read 授权。基本 Solaris 用户权限配置文件包括此授权。

开始之前

必须已为您指定了可以更改用户或角色属性的管理角色。例如,主管理员角色可更改用户或角色的属性。

  1. 启动 Solaris Management Console。


    % /usr/sbin/smc &
    

    有关详细说明,请参见《系统管理指南:基本管理》中的“使用 RBAC 和 Solaris 管理工具(任务图)”

  2. 根据任务选择工具箱。

    导航至包含相应名称服务范围内的工具或集合的工具箱,然后单击该图标。这些范围包括文件(本地)、NIS、NIS+ 和 LDAP。如果导航窗格中未显示相应的工具箱,请从“控制台”菜单中选择“打开工具箱”并装入相关的工具箱。

  3. 选择要使用的工具。

    导航到该工具或集合,然后单击相应图标。用于管理 RBAC 元素的工具位于“用户”工具中,如下图所示:

    标题为 "Management Tools" 的窗口在左侧显示“导航”窗格,在右侧显示“工具”窗格,并在下方显示具有“关联说明”的“信息”窗格。
  4. 在“登录:用户名”对话框中键入用户名和口令。

  5. 在“登录:角色”对话框中对自身进行验证。

    该对话框中的“角色”选项菜单显示了为您指定的角色。请选择角色并键入角色口令。