权限配置文件是一种角色属性。如果 prof_attr 数据库不包含满足您需求的权限配置文件,则应创建或更改权限配置文件。要了解有关权限配置文件的更多信息,请参见RBAC 权限配置文件。
要创建或更改权限配置文件,您必须已承担主管理员的角色或已切换到超级用户。
使用以下方法之一更改角色的属性。
使用 Solaris Management Console 中的“用户”工具。
要启动该控制台,请参见如何在 Solaris Management Console 中承担角色。请按照左侧窗格中的说明在“权限”中创建或更改权限配置文件。有关更详细的信息,请参见联机帮助。
使用此命令可以添加、修改、列出或删除权限配置文件。此命令可在文件以及 NIS、NIS+ 或 LDAP 等分布式名称服务中运行。smprofile 命令将作为 Solaris Management Console 服务器的客户机运行。
$ /usr/sadm/bin/smprofile -D domain-name \ -r admin-role -l <Type admin-role password> \ add | modify -- -n profile-name \ -d description -m help-file -p supplementary-profile |
要管理的域的名称。
可以修改角色的管理角色的名称。管理角色必须具有 solaris.role.assign 授权。如果要修改已承担的角色,则该角色必须具有 solaris.role.delegate 授权。
admin-role 的口令输入提示。
验证选项和子命令选项之间必需的分隔符。
新配置文件的名称。
配置文件的简短说明。
已创建并放置在 /usr/lib/help/profiles/locale/C 目录中的 HTML 帮助文件的名称。
此权限配置文件中包括的现有权限配置文件的名称。您可以指定多个 -p supplementary-profile 选项。
有关更多命令选项,请参见 smprofile(1M) 手册页。
在以下示例中,网络管理权限配置文件充当网络安全权限配置文件的补充配置文件。包含网络安全配置文件的角色现在可以配置网络和主机,而且还可以运行与安全相关的命令。
$ /usr/sadm/bin/smprofile -D nisplus:/example.host/example.domain \ -r primaryadm -l <Type primaryadm password> \ modify -- -n "Network Security" \ -d "Manage network and host configuration and security" \ -m RtNetConfSec.html -p "Network Management" |
运行此命令之前,管理员创建了一个新的帮助文件 RtNetConfSec.html,并将其放置在 /usr/lib/help/profiles/locale/C 目录中。
下表列出了名为“生成管理员”的假设的权限配置文件的样例数据。此权限配置文件包括子目录 /usr/local/swctrl/bin 中的命令。这些命令的有效 UID 为 0。生成管理员权限配置文件适用于管理软件开发的生成和版本控制的管理员。
选项卡 |
字段 |
示例 |
---|---|---|
一般 |
名称 |
生成管理员 |
|
说明 |
用于管理软件生成和版本控制。 |
|
帮助文件名称 |
BuildAdmin.html |
命令 |
添加目录 |
单击“添加目录”,在对话框中键入 /usr/local/swctrl/bin,然后单击“确定”。 |
|
命令遭拒/许可的命令 |
将 /usr/local/swctrl/bin 移动到“许可的命令”列。 |
|
设置安全性属性 |
选择 /usr/local/swctrl/bin,单击“设置安全性属性”,然后将“有效 UID”设置为 root。 |
授权 |
排除的授权/包括的授权 |
无授权。 |
辅助权限 |
排除的权限/包括的权限 |
无补充权限配置文件。 |
角色的权限配置文件是否按功能从高到低的顺序在 GUI 中列出?
例如,如果 All 权限配置文件位于列表顶部,则不会运行具有安全性属性的命令。包含具有安全性属性的命令的配置文件在列表中必须位于 All 权限配置文件的前面。
角色的权限配置文件中是否多次列出了某个命令?如果是这样,第一个命令实例是否具有所需的全部安全性属性?
例如,某个命令可以要求该命令特定选项的特权。为使要求特权的选项成功运行,列表中的最高权限配置文件的第一个命令实例必须具有指定的特权。
角色的权限配置文件中的命令是否具有相应的安全性属性?
例如,如果策略为 suser,则某些命令要求 uid=0 而非 euid=0 才能成功运行。
名称服务高速缓存 svc:/system/name-service-cache 是否已重新启动?
nscd 守护进程可以具有很长的生存时间间隔。通过重新启动此守护进程,可使用当前数据更新该名称服务。