RBAC 命令
本节列出了用于管理 RBAC 的命令,还提供了一个命令表,其中命令的访问可以由授权控制。
管理 RBAC 的命令
以下命令检索和设置 RBAC 信息。
表 10-1 RBAC 管理命令
|
|
|
|
|
用于列出 user_attr、 prof_attr 和 exec_attr 数据库内容的接口。 |
|
名称服务高速缓存守护进程,适用于高速缓存 user_attr、 prof_attr 和 exec_attr 数据库。使用 svcadm
命令重新启动守护进程。 |
|
|
|
由配置文件 shell 使用以执行在 exec_attr 数据库中指定的具有安全属性的命令。 |
|
系统安全策略的配置文件。列出授予的授权、授予的特权和其他安全信息。 |
|
显示某个指定用户的权限配置文件。创建或修改本地系统或 LDAP 网络中的权限配置文件。 |
|
|
|
|
|
|
|
|
|
|
|
向系统或 LDAP 网络中添加用户帐户。 -R 选项将角色指定给用户帐户。 |
|
|
|
|
|
要求授权的选定命令
下表提供了在 Oracle Solaris 系统上如何使用授权限制命令选项的示例。有关授权的更多讨论,请参见Authorizations(授权)。
表 10-2 命令和关联的授权
|
|
|
所有选项所需的 solaris.jobs.user( at.allow 和 at.deny 文件都不存在时) |
|
所有选项所需的 solaris.jobs.admin |
|
所有选项所需的 solaris.device.cdrw,缺省情况下在 policy.conf 文件中授予 |
|
选项提交作业所需的
solaris.jobs.user( crontab.allow 和 crontab.deny 文件都不存在时) 选项列出或修改其他用户的 crontab 文件所需的 solaris.jobs.admin |
|
分配设备所需的 solaris.device.allocate(或在 device_allocate 文件中指定的其他授权) 将设备分配给其他用户(-F 选项)所需的 solaris.device.revoke(或在
device_allocate 文件中指定的其他授权) |
|
解除其他用户的设备分配所需的 solaris.device.allocate(或在 device_allocate 文件中指定的其他授权) 强制解除指定设备的分配(-F 选项)或所有设备的分配(-I 选项)所需的 solaris.device.revoke(或在 device_allocate 中指定的其他授权) |
|
列出其他用户的设备( -U 选项)所需的 solaris.device.revoke |
|
创建角色需要
solaris.user.manage。设置初始口令需要 solaris.account.activate。设置口令策略(如帐户锁定和口令生命期)需要 solaris.account.setpolicy。 |
|
删除口令需要 solaris.passwd.assign 授权。 |
|
更改口令需要 solaris.passwd.assign 授权。更改口令策略(如帐户锁定和口令生命期)需要 solaris.account.setpolicy。 |
|
访问邮件子系统功能所需的 solaris.mail;查看邮件队列所需的 solaris.mail.mailq |
|
创建用户需要 solaris.user.manage。设置初始口令需要 solaris.account.activate。设置口令策略(如帐户锁定和口令生命期)需要
solaris.account.setpolicy。 |
|
删除口令需要 solaris.passwd.assign 授权。 |
|
更改口令需要 solaris.passwd.assign 授权。更改口令策略(如帐户锁定和口令生命期)需要 solaris.account.setpolicy。 |
|