user_attr データベース
user_attr データベースには、ユーザーと役割の情報が格納されます。これらの情報は、passwd および shadow データベースによって利用されます。user_attr データベースには、承認、権利プロファイル、割り当てられた役割など、さまざまなユーザー属性が格納されます。user_attr データベースの各フィールドは次のようにコロンで区切ります。
user:qualifier:res1:res2:attr
|
次の表で、これらのフィールドについて説明します。
|
フィールド名
|
説明
|
|
user
|
passwd データベースに指定されているユーザー名または役割名
|
|
qualifier
|
将来の使用に予約
|
|
res1
|
将来の使用に予約
|
|
res2
|
将来の使用に予約
|
|
attr
|
セミコロン (;) で区切られた、鍵と値のペアからなるリスト (省略可能)。ユーザーがコマンドを実行したときに適用されるセキュリティ属性を表す。有効な鍵は、type、auths、profiles、roles の 4 つ
-
type 鍵には、アカウントが通常ユーザーの場合は normal、役割の場合は role を設定する
-
auths 鍵には、auth_attr データベースの定義名から選択した承認名をコンマで区切って指定する。承認名には、ワイルドカードとしてアスタリスク (*) を使用できる。たとえば、solaris.device.* はすべての Solaris デバイスの承認を意味する
-
profiles 鍵には、prof_attr データベースに定義されている権利プロファイル名をコンマで区切って指定する。権利プロファイルの順序は、UNIX 検索パスと同様に動作する。実行するコマンドにどの属性が適用されるかは、そのコマンドが含まれている、リストの最初の権利プロファイルによって決まる (属性を使用する場合)
-
roles 鍵には、ユーザーに割り当てる役割名をコンマで区切って指定する。役割も同じ user_attr データベースに定義されることに注意する。役割の場合は、type 値に role が設定される。役割を他の役割に割り当てることはできない
|
次の例では、Operator 役割を標準的な user_attr データベースに定義して、それをユーザー johnDoe に割り当てる方法を示しています。役割とユーザーは、type キーワードによって識別されます。
% grep operator /etc/user_attr
johnDoe::::type=normal;roles=sysadmin,operator
operator::::profiles=Operator;type=role
|
