使用 RBAC 和 Solaris 管理工具（任务列表）

此任务列表介绍您需要执行的任务（如果您要使用 RBAC 安全功能执行管理任务，而不使用超级用户帐户）。

以下几节提供有关使用 Solaris Management Console 和 RBAC 安全功能的概述信息和分步说明。

如果是第一个登录控制台的用户

如果您是第一个登录控制台的管理员，请以用户（您自己）的身份启动控制台。然后以超级用户身份登录。此方法提供对所有控制台工具的完全访问权限。

下面是一些常见步骤，具体情况取决于您是否使用 RBAC：

• 不使用 RBAC－如果您选择不使用 RBAC，可继续以超级用户身份工作。所有其他管理员都还将需要 root 访问权限以执行其作业。

• 使用 RBAC－您将需要执行以下操作：

  • 如果还没有帐户，请设置您的用户帐户。

  • 创建名为主管理员的角色。

  • 向所创建的角色指定主管理员权限。

  • 向该角色指定用户帐户。

    有关创建主管理员角色的分步说明，请参见如何创建第一个角色（主管理员）。

    有关 RBAC 如何运行的概述，请参见 《系统管理指南：安全性服务》中的第 9  章 "使用基于角色的访问控制（任务）"。

创建主管理员角色

管理员角色是特殊的用户帐户。允许承担角色的用户执行一组预定义的管理任务。

允许主管理员角色像超级用户那样执行所有的管理功能。

如果您是超级用户或者是承担主管理员角色的用户，则可以定义允许其他管理员执行的任务。使用 "Add Administrative Role"（添加管理角色）向导，可以创建角色，授予角色权限，然后指定允许哪些用户承担该角色。权限是一个已命名的命令或授权集合，这些命令或授权是使用某些特定应用程序所需的。使用权限，可以在应用程序中执行特定的功能。管理员可以授予或拒绝授予使用权限。

下表介绍了创建“主管理员”角色时提示您输入的信息。

表 2-2 使用 Solaris Management Console 添加角色时的字段说明

有关 RBAC 的详细信息以及如何使用角色创建更安全环境的说明，请参见 《系统管理指南：安全性服务》中的"基于角色的访问控制（概述）"。

如何创建第一个角色（主管理员）

此过程介绍如何创建主管理员角色并将其指定给用户帐户。此过程假设用户帐户已经创建。

1. 以自己的身份启动控制台。

   % /usr/sadm/bin/smc &

   有关启动控制台的其他信息，请参见如何以超级用户或角色身份启动控制台。

   控制台联机帮助提供有关为自己创建用户帐户的更多信息。

2. 在 "Navigation"（导航）窗格中单击 "This Computer"（本计算机）图标。
3. 单击 "System Configuration"（系统配置）->"Users"（用户）->"Administrative Roles"（管理角色）。
4. 单击 "Action"（操作）->"Add Administrative Role"（添加管理角色）。

   将打开 "Add Administrative Role"（添加管理角色）向导。

5. 使用 "Add Administrative Role"（添加管理角色）向导，按照以下操作步骤来创建主管理员角色。
   1. 标识角色名，包括角色的全名、说明、角色 ID 号、角色 shell 以及是否希望创建角色邮件列表。单击 "Next"（下一步）。
   2. 设置并确认角色口令，然后单击 "Next"（下一步）。
   3. 从 "Available Rights"（可用的权限）列中选择 "Primary Administrator"（主管理员）权限并将其添加到 "Granted Rights"（授予的权限）列中。
   4. 单击 "Next"（下一步）。
   5. 选择角色的起始目录，然后单击 "Next"（下一步）。
   6. 将自己指定给可以承担角色的用户列表，然后单击 "Next"（下一步）。

   如有必要，请参见表 2-2，了解角色字段说明。

6. 单击 "Finish"（完成）。

如何承担主管理员角色

在创建了主管理员角色之后，您将需要以自己的身份登录控制台，然后承担主管理员角色。承担角色即会拥有角色的所有属性（包括权限）。同时，放弃自己所有的用户属性。

1. 启动控制台。

   % /usr/sadm/bin/smc &

   有关启动控制台的信息，请参见如何以超级用户或角色身份启动控制台。

2. 用自己的用户名和口令登录。

   将显示一个允许承担的角色的列表。

3. 登录到主管理员角色并提供角色口令。