承認
承認とは、制限された機能へのアクセス権を付与する、ユーザーの権利です。承認は、何が承認されていて、誰が承認を作成したかを示す固有の文字列です。
制限された機能をユーザーが実行できるかどうかは、一定の特権プログラムが承認を検査して判定します。たとえば、あるユーザーが別のユーザーの crontab ファイルを編集するには、solaris.jobs.admin 承認が必要です。
承認はすべて auth_attr データベースに格納されます。承認は、ユーザー (または役割) に直接割り当てることもできます。その場合は、承認を user_attr データベースに指定します。実行プロファイルに承認を割り当て、実行プロファイルをユーザーに割り当てることもできます。
auth_attr データベースのフィールドは次のようにコロンで区切ります。
authname:res1:res2:short_desc:long_desc:attr |
フィールドの意味は次のとおりです。
|
フィールド名 |
説明 |
|---|---|
|
authname |
承認を識別する固有の文字列。形式は prefix.[suffix] 。Solaris オペレーティング環境では、承認の接頭辞として Solaris を使用する。他のすべての承認には、承認を作成する組織のインターネットドメインを逆にしたもので始まる接頭辞を使用する (たとえば、com.xyzcompany)。接尾辞は、一般には機能分野と機能操作など、承認されるものを示す 接尾辞がない (つまり、authname が接頭辞と機能分野からなり、ピリオドで終わっている) 場合には、authname は、承認としてよりも、アプリケーションによって GUI の中でヘッダーとして使用される。たとえば、authname solaris.printmgr はヘッダーの例である authname が grant という単語で終わっている場合には、authname は grant 承認として使用され、ユーザーは関連する承認 (同じ接頭辞と機能分野をもつ承認) を他のユーザーに委譲できる。たとえば、authname solaris.printmgr.grant は grant 承認の例である。ユーザーは、solaris.printmgr.admin、solaris.printmgr.nobanner などの承認を他のユーザーに委譲できる |
|
res1 |
将来、使用される |
|
res2 |
将来、使用される |
|
short_desc |
GUI のスクロールリストの中など、ユーザーインタフェースに表示するのに適している承認の簡略名 |
|
long_desc |
詳しい記述。このフィールドには、承認の目的、承認が使用されるアプリケーション、この使用に関心があるユーザーのタイプなどを記述する。詳しい記述は、アプリケーションのヘルプテキストに表示できる |
|
attr |
承認の属性を記述するキーと値のペアをセミコロン (;) で区切ったリスト (省略可能)。ゼロまたは 1 つ以上のキーを指定できる キーワードは、HTML 形式のヘルプファイルを識別するのに役立つ。ヘルプファイルは、/usr/lib/help/auths/locale/C ディレクトリの index.html ファイルからアクセスできる |
一般的な値を使用した auth_attr データベースの例を次に示します。
auth_attr データベースと user_attr データベースの関係を次の例で示します。auth_attr データベースに定義されている solaris.system.date 承認が user_attr データベースのユーザー johndoe に割り当てられます。
- © 2010, Oracle Corporation and/or its affiliates