执行此任务可通过 Sun Cluster 管理权限配置文件创建新的 RBAC 角色,并为该新角色分配用户。
要创建角色,您必须假定把具有主管理员权限的配置文件指定给该角色或以 root 用户运行。
启动管理角色工具。
要运行管理角色工具,请按照《System Administration Guide: Security Services》中的“How to Assume a Role in the Solaris Management Console”所述,启动 Solaris 管理控制台。然后,打开用户工具集合,并单击“管理角色”图标。
启动“添加管理角色”向导。
从“操作”菜单中选择“添加管理角色”启动“添加管理角色”向导以配置角色。
设置已分配了 Cluster 管理权限配置文件的角色。
使用“下一步”和“后退”按钮在对话框之间浏览。注意,只有填写了所有必需字段后,“下一步”按钮才会变为活动状态。在最后一个对话框中,您可以查看输入的数据,并可在此时使用“后退”按钮更改输入项,或单击“完成”保存新角色。以下列表汇总了对话框中的字段和按钮。
角色的简称。
名称的详细版本。
角色说明。
角色的 UID,它是自动增量的。
可用于角色的配置文件 shell:管理员的 C shell、管理员的 Bourne shell 或管理员的 Korn shell。
为分配给此角色的用户创建邮件列表。
分配或删除角色的权限配置文件。
注意,系统不会阻止您多次键入同一命令。在权限配置文件中第一次使用某条命令时分配给该命令的的属性具有优先权,随后所有使用该命令的操作都将被忽略。您可以使用上下箭头键更改顺序。
起始目录的服务器。
起始目录路径。
添加可以担任此角色的用户。必须处于同一范围。
删除为此角色分配的用户。
您需要先将此配置文件放入分配给角色的配置文件列表中。
将需要使用 Sun Cluster Manager 功能或 Sun Cluster 命令的用户添加到新创建的角色中。
使用 useradd(1M) 命令可向系统中添加用户帐户。-P 选项会为用户帐户分配一个角色。
添加完用户后,单击“完成”。
打开一个终端窗口,并使用 root 用户身份。
启动和停止名称服务缓存守护程序。
只有重新启动名称服务缓存守护进程之后,此新角色才能生效。成为 root 用户后,键入以下文本:
# /etc/init.d/nscd stop # /etc/init.d/nscd start |
成为超级用户或使用一个可提供 solaris.cluster.admin RBAC 授权的角色。
选择创建角色的方法:
对于本地范围内的角色,使用 roleadd(1M) 命令可以指定新的本地角色及其属性。
另外,如果是本地范围内的角色,编辑 user_attr(4) 文件可以添加 type=role 用户。
由于键入时容易出错,建议您仅在紧急情况下使用此方法。
对于名称服务中的角色,使用 smrole(1M) 命令可指定新的角色及其属性。
此命令需要由超级用户或能够创建其他角色的角色来验证。可以将 smrole 应用到所有名称服务。此命令作为 Solaris 管理控制台服务器的客户端运行。
启动和停止名称服务缓存守护程序。
重新启动名称服务缓存守护程序后,新角色才能生效。以 root 用户身份输入以下文本:
# /etc/init.d/nscd stop # /etc/init.d/nscd start |
下例说明如何使用 smrole 命令创建角色。在本示例中创建了操作员角色的新版本,此操作员角色分配有标准操作员权限配置文件和介质恢复权限配置文件。
% su primaryadmin # /usr/sadm/bin/smrole add -H myHost -- -c "Custom Operator" -n oper2 -a johnDoe \ -d /export/home/oper2 -F "Backup/Restore Operator" -p "Operator" -p "Media Restore" Authenticating as user: primaryadmin Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password :: <type primaryadmin password> Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost Login to myHost as user primaryadmin was successful. Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful. Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password ::<type oper2 password> # /etc/init.d/nscd stop # /etc/init.d/nscd start |
要查看新创建的角色(以及任何其他角色),请使用 smrole 命令以及 list 选项,如下所示:
# /usr/sadm/bin/smrole list -- Authenticating as user: primaryadmin Type /? for help, pressing <enter> accepts the default denoted by [ ] Please enter a string value for: password :: <type primaryadmin password> Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost Login to myHost as user primaryadmin was successful. Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful. root 0 Super-User primaryadmin 100 Most powerful role sysadmin 101 Performs non-security admin tasks oper2 102 Custom Operator |