役割の作成
役割を作成するには、Primary Administrator 権利プロファイルが割り当てられている役割になるか、root ユーザーとして実行する必要があります。役割の詳細は、RBAC の役割 と 推奨される役割の構成 を参照してください。
管理役割ツールを使用して役割を作成する方法
-
管理役割ツールを起動します。
管理役割ツールを実行して、Solaris 管理コンソールを起動します (コンソールツールで役割を引き受ける方法を参照)。次に、「ユーザーツールコレクション (User Tool Collection)」を開いて、「管理役割 (Administrative Roles)」アイコンをクリックします。
-
「管理役割を追加 (Add Administrative)」ウィザードが起動します。
「アクション (Action)」メニューから「管理役割を追加 (Add Administrative Role)」を選択して、「管理役割を追加 (Add Administrative)」ウィザードを起動します。
-
表示されるダイアログボックスのフィールドに入力します。入力が完了したら、「完了 (Finish)」をクリックします。
「次へ (Next)」および「戻る (Back)」ボタンを使用して、ダイアログボックスを移動します。「次へ (Next)」ボタンは、すべての必須フィールドに入力するまで有効になりません。最後に、入力されたデータを確認するダイアログボックスが表示されます。前のダイアログボックスに戻って入力を変更するか、「完了 (Finish)」をクリックして新しい役割を保存します。表 19–1 に、ダイアログボックスの要約を示します。
-
端末ウィンドウを開いてスーパーユーザーになり、ネームサービスキャッシュデーモンを起動して停止します。
新しい役割は、ネームサービスキャッシュデーモンを再起動するまで有効になりません。スーパーユーザーで、次のように入力します。
# /etc/init.d/nscd stop # /etc/init.d/nscd start
|
ダイアログボックス |
フィールド |
フィールドの説明 |
|---|---|---|
|
手順 1: 役割名を入力します (Step 1: Enter a role name) |
役割名 (Role Name) |
役割の短縮名 |
|
|
役割の正式名 (Full Name) |
正式名 |
|
|
備考欄 (Description) |
役割の説明 |
|
|
役割 ID 番号 (Role ID Number) |
役割の UID。自動的に増分する |
|
|
役割シェル (Role Shell) |
役割に使用できるプロファイルシェル: Administrator の C シェル、Administrator の Bourne シェル、または Administrator の Korn シェル |
|
|
役割メーリングリストの作成 (Create a role mailing list) |
この役割に割り当てられているユーザーのメーリングリストを作成する |
|
手順 2: 役割パスワードを入力します。(Step 2: Enter a role password) |
役割パスワード (Role Password) |
******** |
|
|
パスワードの確認 (Confirm Password) |
******** |
|
手順 3: 役割権利を選択します。(Step 3: Select role rights) |
有効な権利 / 許可された権利 (Available Rights / Granted Rights) |
役割の権利プロファイルの割り当てまたは削除を行う 同一のコマンドを複数回入力しても、エラーにはならない。ただし、権利プロファイルでは、同一のコマンドが複数回発生した場合、最初のコマンドに割り当てられた属性が優先され、後続の同一コマンドはすべて無視される。順番を変更するときは、上矢印または下矢印を使用する |
|
手順 4: ホームディレクトリを選択します。(Step 4: Select a home directory) |
サーバー (Server) |
ホームディレクトリのサーバー |
|
|
パス (Path) |
ホームディレクトリのパス |
|
手順 5: この役割にユーザーを割り当てます。(Step 5: Assign users to this role) |
追加 (Add) |
この役割を引き受けるユーザーを追加する。同じスコープ内でユーザーでなければならない |
|
|
削除 (Delete) |
この役割が割り当てられているユーザーを削除する |
コマンド行から役割を作成する方法
-
次のいずれかの役割の作成方法を選択します。
-
ローカルスコープの役割を作成する場合、roleadd コマンドを使用して、新しいローカル役割とその属性を指定する
-
また同じくローカルスコープの役割を作成する場合、user_attr ファイルを編集して、ユーザーに type=role を追加することもできる
この方法は、入力ミスが発生しやすいため、緊急時以外はできるだけ使用しない
-
ネームサービスの役割を作成する場合は、smrole コマンドを使用して、新しい役割とその属性を指定する
このコマンドは、スーパーユーザー、またはその他の役割を作成できる役割による認証を必要とする。smrole コマンドは、すべてのネームサービスに適用でき、Solaris 管理コンソールサーバーのクライアントとして動作する
-
-
ネームサービスキャッシュデーモンを起動して停止します。
新しい役割は、ネームサービスキャッシュデーモンを再起動するまで有効になりません。スーパーユーザーで次のように入力します。
# /etc/init.d/nscd stop # /etc/init.d/nscd start
例 19–1 smrole コマンドを使用してカスタムの Operator 役割を作成する
次のコマンドシーケンスは、smrole コマンドを使用して役割を作成します。この例では、新しい Operator 役割が作成され、標準の Operator 権利プロファイルと Media Restore 権利プロファイルが割り当てられます。
% su primaryadmin # /usr/sadm/bin/smrole add -H myHost -- -c "Custom Operator" -n oper2 -a johnDoe \ -d /export/home/oper2 -F "Backup/Restore Operator" -p "Operator" -p "Media Restore" Authenticating as user: primaryadmin Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password :: <primaryadmin パスワードを入力する> Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost Login to myHost as user primaryadmin was successful. Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful. Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password ::<oper2 パスワードを入力する> # /etc/init.d/nscd stop # /etc/init.d/nscd start |
新しく作成した役割およびその他の役割を表示するには、次のように smrole コマンドに list サブコマンドを指定します。
# /usr/sadm/bin/smrole list -- Authenticating as user: primaryadmin Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password :: <primaryadmin パスワードを入力する> Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost Login to myHost as user primaryadmin was successful. Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful. root 0 Super-User primaryadmin 100 Most powerful role sysadmin 101 Performs non-security admin tasks oper2 102 Backup/Restore Operator |
- © 2010, Oracle Corporation and/or its affiliates