RBAC 命令
本节列出了用于管理 RBAC 的命令,还提供了一个命令表,其中命令的访问可以由授权控制。
管理 RBAC 的命令
虽然可以手动编辑本地 RBAC 数据库,但是强烈建议不要进行此类编辑。以下命令可用于管理对具有 RBAC 的任务进行访问。
表 10-7 RBAC 管理命令
|
|
|
|
|
|
|
名称服务高速缓存守护进程,适用于高速缓存 user_attr、 prof_attr 和 exec_attr 数据库。使用 svcadm
命令重新启动守护进程。 |
|
|
|
由配置文件 shell 使用以执行在 exec_attr 数据库中指定的带有安全属性的命令。 |
|
系统安全策略的配置文件。列出授予的授权、授予的特权和其他安全信息。 |
|
|
|
|
|
|
|
|
|
|
|
将源安全属性数据库合并到目标数据库。用于需要将本地数据库合并到命名服务的情况。还用于未提供转换脚本的升级。 |
|
管理 exec_attr 数据库中的项。要求验证。 |
|
|
|
管理 prof_attr 和 exec_attr 数据库中的权限配置文件。要求验证。 |
|
|
|
|
|
向系统中添加用户帐户。 -R
选项将角色指定给用户帐户。 |
|
|
|
|
|
要求授权的命令
下表提供了在 Oracle Solaris 系统上如何使用授权限制命令选项的示例。有关授权的更多讨论,请参见授权命名和委托。
表 10-8 命令和关联的授权
|
|
|
所有选项所需的 solaris.jobs.user( at.allow 和 at.deny 文件都不存在时) |
|
所有选项所需的 solaris.jobs.admin |
|
所有选项所需的 solaris.device.cdrw,缺省情况下在 policy.conf 文件中授予 |
|
选项提交作业所需的
solaris.jobs.user( crontab.allow 和 crontab.deny 文件都不存在时) 选项列出或修改其他用户的 crontab 文件所需的 solaris.jobs.admin |
|
分配设备所需的 solaris.device.allocate(或在 device_allocate 文件中指定的其他授权) 将设备分配给其他用户(-F 选项)所需的 solaris.device.revoke(或在
device_allocate 文件中指定的其他授权) |
|
解除其他用户的设备分配所需的 solaris.device.allocate(或在 device_allocate 文件中指定的其他授权) 强制解除指定设备的分配(-F 选项)或所有设备的分配(-I 选项)所需的 solaris.device.revoke(或在 device_allocate 中指定的其他授权) |
|
列出其他用户的设备( -U 选项)所需的 solaris.device.revoke |
|
访问邮件子系统功能所需的
solaris.mail;查看邮件队列所需的 solaris.mail.mailq |
|