跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
以下数据库存储 RBAC 元素的数据:
policy.conf 数据库包含应用于所有用户的授权、特权和权限配置文件。有关更多信息,请参见policy.conf 文件。
RBAC 数据库的名称服务范围是在名称服务转换 svc:/system/name-service/switch 的 SMF 服务中定义的。此服务中针对 RBAC 数据库的属性有 auth_attr、password 和 prof_attr。password 属性设置 passwd 和 user_attr 数据库的命名服务优先级。prof_attr 属性设置 prof_attr 和 exec_attr 数据库的命名服务优先级。
在以下输出中,auth_attr、password 和 prof_attr 条目未列出。因此,RBAC 数据库使用的是 files 命名服务。
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files config/host astring "files ldap dns" config/printer astring "user files ldap"
user_attr 数据库包含补充 passwd 和 shadow 数据库的用户和角色信息。
以下安全属性可使用 roleadd、rolemod、useradd、usermod 和 profiles 命令进行设置:
对于用户,roles 关键字指定一个或多个已定义的角色。
对于角色,使用 roleauth 关键字的 user 值可允许角色使用用户口令而不是角色口令进行授权。缺省情况下,值为 role。
对于用户或角色,可设置以下属性:
audit_flags 关键字-修改审计掩码。有关参考信息,请参见 audit_flags(5) 手册页。
auths 关键字-指定授权。有关参考信息,请参见 auths(1) 手册页。
defaultpriv 关键字-添加特权或者从缺省基本特权集中删除特权。有关参考信息,请参见如何实现特权。
limitpriv 关键字-添加特权或者从缺省限制特权集中删除特权。有关参考信息,请参见如何实现特权。
这些特权始终有效,它们不是命令的属性。有关参考信息,请参见 privileges(5) 手册页和如何实现特权。
project 关键字-添加缺省项目。有关参考信息,请参见 project(4) 手册页。
lock_after_retries 关键字-如果值为 yes,当重试次数超出 /etc/default/login 文件中允许的次数后,系统会锁定。
profiles 关键字-指定权限配置文件。
有关更多信息,请参见 user_attr(4) 手册页。要查看此数据库的内容,请使用 getent user_attr 命令。有关更多信息,请参见 getent(1M) 手册页和如何查看所有已定义的安全属性。
所有授权都存储在 auth_attr 数据库中。可以将授权指定给用户、角色或权限配置文件。首选方法是将授权放置在权限配置文件中,将配置文件包括在角色的配置文件列表中,然后将角色指定给用户。
要查看此数据库的内容,请使用 getent auth_attr 命令。有关更多信息,请参见 getent(1M) 手册页和如何查看所有已定义的安全属性。
prof_attr 数据库存储指定给权限配置文件的名称、说明、帮助文件位置、特权以及授权。指定给权限配置文件的命令和安全属性存储在 exec_attr 数据库中。有关更多信息,请参见 exec_attr 数据库。
有关更多信息,请参见 prof_attr(4) 手册页。要查看此数据库的内容,请使用 getent exec_attr 命令。有关更多信息,请参见 getent(1M) 手册页和如何查看所有已定义的安全属性。
exec_attr 数据库定义需要安全属性才能成功运行的命令。这些命令是权限配置文件的一部分。具有安全属性的命令可以由为其指定了此配置文件的角色或用户运行。
有关更多信息,请参见 exec_attr(4) 手册页。要查看此数据库的内容,请使用 getent 命令。有关更多信息,请参见 getent(1M) 手册页和如何查看所有已定义的安全属性。
policy.conf 文件提供了向所有用户授予特定权限配置文件、特定授权和特定特权的方法。文件中的相关项由 key=value 对组成:
CONSOLE_USER=Console User-指 Console User(控制台用户)权限配置文件。此配置文件附带了一组便利的控制台用户授权。可以定制此配置文件。要查看此配置文件的内容,请参见权限配置文件。
以下示例显示了 policy.conf 数据库中的一些典型值:
# grep AUTHS /etc/security/policy AUTHS_GRANTED=solaris.device.cdrw # grep PROFS /etc/security/policy PROFS_GRANTED=Basic Solaris User # grep PRIV /etc/security/policy #PRIV_DEFAULT=basic #PRIV_LIMIT=all
有关特权的更多信息,请参见特权(概述)。