RBAC 命令 - Oracle Solaris 管理：安全服务

跳过导航链接
退出打印视图
	Oracle Solaris 管理：安全服务 Oracle Solaris 11 Information Library (简体中文)

第 1 部分安全性概述

1. 安全性服务（概述）

第 2 部分系统、文件和设备安全性

2. 管理计算机安全性（概述）

3. 控制对系统的访问（任务）

4. 病毒扫描服务（任务）

5. 控制对设备的访问（任务）

6. 使用基本审计报告工具（任务）

7. 控制对文件的访问（任务）

第 3 部分角色、权限配置文件和特权

8. 使用角色和特权（概述）

9. 使用基于角色的访问控制（任务）

10. Oracle Solaris 中的安全属性（参考）

权限配置文件

查看权限配置文件的内容

搜索指定安全属性的顺序

Authorizations（授权）

授权命名约定

授权粒度示例

授权中的委托授权

RBAC 数据库和命名服务

user_attr 数据库

auth_attr 数据库

prof_attr 数据库

exec_attr 数据库

policy.conf 文件

管理 RBAC 的命令

要求授权的选定命令

用于处理特权的管理命令

包含特权信息的文件

特权和审计

防止特权升级

传统应用程序和特权模型

第 4 部分加密服务

11. 加密框架（概述）

12. 加密框架（任务）

13. 密钥管理框架

第 5 部分验证服务和安全通信

14. 网络服务验证（任务）

16. 使用 SASL

17. 使用安全 Shell（任务）

18. 安全 Shell（参考）

第 6 部分Kerberos 服务

19. Kerberos 服务介绍

20. 规划 Kerberos 服务

21. 配置 Kerberos 服务（任务）

22. Kerberos 错误消息和故障排除

23. 管理 Kerberos 主体和策略（任务）

24. 使用 Kerberos 应用程序（任务）

25. Kerberos 服务（参考）

第 7 部分在 Oracle Solaris 中审计

26. 审计（概述）

27. 规划审计

28. 管理审计（任务）

29. 审计（参考）

RBAC 命令

本节列出了用于管理 RBAC 的命令，还提供了一个命令表，其中命令的访问可以由授权控制。

管理 RBAC 的命令

以下命令检索和设置 RBAC 信息。

表 10-1 RBAC 管理命令

命令的手册页	说明
`auths`(1)	显示用户的授权。
`getent`(1M)	用于列出 `user_attr`、`prof_attr` 和 `exec_attr` 数据库内容的接口。
`nscd`(1M)	名称服务高速缓存守护进程，适用于高速缓存 `user_attr`、`prof_attr` 和 `exec_attr` 数据库。使用 `svcadm` 命令重新启动守护进程。
`pam_roles`(5)	PAM 的角色帐户管理模块。检查承担角色的授权。
`pfexec`(1)	由配置文件 shell 使用以执行在 `exec_attr` 数据库中指定的具有安全属性的命令。
`policy.conf`(4)	系统安全策略的配置文件。列出授予的授权、授予的特权和其他安全信息。
`profiles`(1)	显示某个指定用户的权限配置文件。创建或修改本地系统或 LDAP 网络中的权限配置文件。
`roles`(1)	显示指定用户可以承担的角色。
`roleadd`(1M)	向本地系统或 LDAP 网络中添加角色。
`roleadd`(1M)	向本地系统或 LDAP 网络中添加角色。
`rolemod`(1M)	修改本地系统或 LDAP 网络中角色的属性。
`userattr`(1)	显示指定给用户或角色帐户的特定权限的值。
`useradd`(1M)	向系统或 LDAP 网络中添加用户帐户。`-R` 选项将角色指定给用户帐户。
`userdel`(1M)	从系统或 LDAP 网络中删除用户登录。
`usermod`(1M)	修改系统上的用户帐户属性。

要求授权的选定命令

下表提供了在 Oracle Solaris 系统上如何使用授权限制命令选项的示例。有关授权的更多讨论，请参见Authorizations（授权）。

表 10-2 命令和关联的授权

命令的手册页	授权要求
`at`(1)	所有选项所需的 `solaris.jobs.user`（`at.allow` 和 `at.deny` 文件都不存在时）
`atq`(1)	所有选项所需的 `solaris.jobs.admin`
`cdrw`(1)	所有选项所需的 `solaris.device.cdrw`，缺省情况下在 `policy.conf` 文件中授予
`crontab`(1)	选项提交作业所需的 `solaris.jobs.user`（`crontab.allow` 和 `crontab.deny` 文件都不存在时）选项列出或修改其他用户的 `crontab` 文件所需的 `solaris.jobs.admin`
`allocate`(1)	分配设备所需的 `solaris.device.allocate`（或在 `device_allocate` 文件中指定的其他授权）将设备分配给其他用户（`-F` 选项）所需的 `solaris.device.revoke`（或在 `device_allocate` 文件中指定的其他授权）
`deallocate`(1)	解除其他用户的设备分配所需的 `solaris.device.allocate`（或在 `device_allocate` 文件中指定的其他授权）强制解除指定设备的分配（`-F` 选项）或所有设备的分配（`-I` 选项）所需的 `solaris.device.revoke`（或在 `device_allocate` 中指定的其他授权）
`list_devices`(1)	列出其他用户的设备（`-U` 选项）所需的 `solaris.device.revoke`
`roleadd`(1M)	创建角色需要 `solaris.user.manage`。设置初始口令需要 `solaris.account.activate`。设置口令策略（如帐户锁定和口令生命期）需要 `solaris.account.setpolicy`。
`roledel`(1M)	删除口令需要 `solaris.passwd.assign` 授权。
`rolemod`(1M)	更改口令需要 `solaris.passwd.assign` 授权。更改口令策略（如帐户锁定和口令生命期）需要 `solaris.account.setpolicy`。
`sendmail`(1M)	访问邮件子系统功能所需的 `solaris.mail`；查看邮件队列所需的 `solaris.mail.mailq`
`useradd`(1M)	创建用户需要 `solaris.user.manage`。设置初始口令需要 `solaris.account.activate`。设置口令策略（如帐户锁定和口令生命期）需要 `solaris.account.setpolicy`。
`userdel`(1M)	删除口令需要 `solaris.passwd.assign` 授权。
`usermod`(1M)	更改口令需要 `solaris.passwd.assign` 授权。更改口令策略（如帐户锁定和口令生命期）需要 `solaris.account.setpolicy`。

版权所有 © 2002, 2012, Oracle 和/或其附属公司。保留所有权利。法律声明

上一页

下一页