Verwenden von Rollen

Nachdem Sie die Rollen mit den Oracle Solaris-Standardberechtigungsprofilen eingerichtet und Benutzern zugewiesen haben, können die Rollen verwendet werden. Eine Rolle kann über die Befehlszeile angenommen werden. In der Solaris Management Console kann eine Rolle auch zur lokalen Systemverwaltung und über das Netzwerk angenommen werden.

So nehmen Sie eine Rolle in einem Terminalfenster an

Bevor Sie beginnen

Die Rolle muss Ihnen bereits zugewiesen sein. Der Name Service muss mit diesen Informationen aktualisiert werden.

1. In einem Terminalfenster können Sie feststellen, welche Rollen Sie annehmen können.

   % roles
   Comma-separated list of role names is displayed

2. Verwenden Sie den Befehl su, um eine Rolle anzunehmen.

   % su - rolename
   Password: <Type rolename password>
   $

   Nach Eingabe des Befehls su - rolename wird eine Profil-Shell für die Rolle angezeigt. Eine Profil-Shell erkennt die Sicherheitsattribute (Autorisierungen, Berechtigungen und festgelegte ID-Bits).

3. Stellen Sie sicher, dass Sie sich wirklich in einer Rolle befinden.

   $ /usr/ucb/whoami
   rolename

   Nun können Sie Rollenaufgaben in diesem Terminalfenster ausführen.

4. (Optional) Zeigen Sie die Fähigkeiten Ihrer Rolle an.

   Informationen zum Vorgang finden Sie unter So legen Sie die von einer Rolle ausführbaren privilegierten Befehle fest.

Beispiel 9-10 Annehmen der Rolle "Primary Administrator"

In dem folgenden Beispiel nimmt der Benutzer die Rolle "Primary Administrator" an. In der Standardkonfiguration entspricht diese Rolle dem Superuser. Die Rolle überprüft bei jedem Befehl, der in der Profil-Shell für die Rolle eingegeben wird, welche Berechtigungen dafür vorhanden sind.

% roles
sysadmin,oper,primaryadm
% su - primaryadm
Password: <Type primaryadm password>
$ /usr/ucb/whoami Prompt has changed to role prompt
primaryadm
$ ppriv $$
1200:   pfksh
flags = <none>
        E (Effective): all
        I (Inheritable): basic
        P (Permitted): all
        L (Limit): all

Informationen zu Berechtigungen finden Sie unter Berechtigungen (Übersicht).

Beispiel 9-11 Annehmen der root-Rolle

In dem folgenden Beispiel nimmt der Benutzer die root-Rolle an. Die Rolle wurde in So wandeln Sie den root-Benutzer in eine Rolle um erstellt.

% roles
root
% su - root
Password: <Type root password>
# /usr/ucb/whoami Prompt has changed to role prompt
root
$ ppriv $$
1200:   pfksh
flags = <none>
        E: all
        I: basic
        P: all
        L: all

Informationen zu Berechtigungen finden Sie unter Berechtigungen (Übersicht).

Beispiel 9-12 Annehmen der Rolle "System Administrator"

In dem folgenden Beispiel nimmt der Benutzer die Rolle "System Administrator" an. Im Unterschied zur Rolle "Primary Administrator" verfügt die Rolle "System Administrator" über grundlegende Berechtigungen im zugehörigen effektiven Satz.

% roles
sysadmin,oper,primaryadm
% su - sysadmin
Password: <Type sysadmin password>
$ /usr/ucb/whoami Prompt has changed to role prompt
sysadmin
$ ppriv $$
1200:   pfksh
flags = <none>
        E: basic
        I: basic
        P: basic
        L: all

Informationen zu Berechtigungen finden Sie unter Berechtigungen (Übersicht). Die Fähigkeiten der Rolle werden unter Berechtigungsprofil "System Administrator" kurz beschrieben.

So nehmen Sie eine Rolle in der Solaris Management Console an

Zum Ändern der Informationen in der Solaris Management Console-GUI sind administrative Fähigkeiten erforderlich. Mit einer Rolle erhalten Sie administrative Fähigkeiten. Zum Anzeigen von Informationen benötigen Sie die Autorisierung solaris.admin.usermgr.read. Das Berechtigungsprofil "Basic Solaris User" enthält diese Autorisierung.

Bevor Sie beginnen

Eine administrative Rolle, die die Eigenschaften von Benutzern oder Rollen ändern kann, muss Ihnen bereits zugewiesen sein. Beispielsweise kann die Rolle "Primary Administrator" die Eigenschaften von Benutzern oder Rollen ändern.

1. Starten Sie die Solaris Management Console.

   % /usr/sbin/smc &

   Ausführlichere Anweisungen finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Wählen Sie die Werkzeugleiste für Ihre Aufgabe aus.

   Navigieren Sie im entsprechenden Name Service-Bereich zur Werkzeugleiste mit dem Tool oder der Sammlung von Tools und klicken Sie auf das Symbol. Die Bereiche sind Dateien (lokal), NIS, NIS+ und LDAP. Wenn die entsprechende Werkzeugleiste im Navigationsfenster nicht angezeigt wird, wählen Sie im Menü "Console" (Konsole) den Befehl "Open Toolbox" (Werkzeugleiste öffnen) und laden die gewünschte Werkzeugleiste.

3. Wählen Sie das Tool, das Sie verwenden möchten.

   Navigieren Sie zu dem Tool oder der Sammlung und klicken Sie auf das Symbol. Die Tools zum Verwalten von RBAC-Elementen befinden sich im Tool "Users" (Benutzer), wie in der folgenden Abbildung gezeigt.

   
   
4. Geben Sie Ihren Benutzernamen und Ihr Passwort im Dialogfeld "Login: User Name" (Anmeldung: Benutzername) ein.
5. Authentifizieren Sie sich im Dialogfeld "Login: Role" (Anmeldung: Rolle).

   Das Optionsmenü "Role" im Dialogfeld zeigt die Rollen an, die Ihnen zugewiesen sind. Wählen Sie eine Rolle aus und geben Sie das entsprechende Passwort ein.