RBAC コマンド
このセクションでは、RBAC の管理に使用するコマンドを一覧します。承認を使用してアクセス権を制御できるコマンドについても説明します。
RBAC を管理するコマンド
ローカルの RBAC データベースは手動で編集できますが、そのような編集はできるだけ避けてください。RBAC を使用したタスクへのアクセスを管理するために、次のコマンドが使用できます。
表 10-7 RBAC 管理コマンド
|
|
|
|
|
|
|
ネームサービスキャッシュデーモン。 user_attr、 prof_attr、および exec_attr データベースをキャッシュするときに使用します。 svcadm コマンドを使用してデーモンを再起動します。 |
|
PAM 用の役割アカウント管理モジュール。役割になる承認があるかを検査します。 |
|
プロファイルシェルによって使用されます。 exec_attr データベースに指定されているセキュリティー属性を使用してコマンドを実行します。 |
|
システムのセキュリティーポリシーの構成ファイル。与えられている承認、与えられている特権、およびその他のセキュリティー情報を一覧表示します。 |
|
|
|
指定したユーザーが引き受けられる役割を表示します。 |
|
|
|
|
|
ローカルシステム上の役割のプロパティーを変更します。 |
|
2 つのセキュリティー属性データベースをマージします。ローカルデータベースをネームサービスにマージするときに使用します。変換スクリプトを使用しないでアップグレードするときも使用します。 |
|
exec_attr データベースのエントリを管理します。認証を必要とします。 |
|
ユーザーアカウントの一括操作を管理します。認証を必要とします。 |
|
prof_attr
および exec_attr データベースの権利プロファイルを管理します。認証を必要とします。 |
|
役割アカウントの役割とユーザーを管理します。認証を必要とします。 |
|
ユーザーのエントリを管理します。認証を必要とします。 |
|
ユーザーアカウントをシステムに追加します。ユーザーのアカウントに役割を割り当てるには、 -R オプションを使用します。 |
|
|
|
システム上のユーザーのアカウントプロパティーを変更します。 |
|
承認を必要とするコマンド
次の表では、承認を使用して Oracle Solaris システムのコマンドオプションを制限する方法を示します。承認の詳細については、「承認の命名と委託」を参照してください。
表 10-8 コマンドおよび関連する承認
|
|
|
solaris.jobs.user がすべてのオプションで必要です ( at.allow ファイルおよび at.deny ファイルがない場合) |
|
solaris.jobs.admin がすべてのオプションで必要です |
|
solaris.device.cdrw がすべてのオプションで必要です。 policy.conf ファイルにデフォルトで与えられます |
|
ジョブを送信するオプションの場合は、 solaris.jobs.user
が必要です ( crontab.allow および crontab.denyファイルがない場合) ほかのユーザーの crontab ファイルを一覧表示または変更する場合は、solaris.jobs.admin が必要です |
|
デバイスを割り当てる場合は、 solaris.device.allocate (または、 device_allocate ファイルに指定されている別承認) が必要です ほかのユーザーにデバイスを割り当てる場合 (F
オプション) は、 solaris.device.revoke (または、 -device_allocate ファイルに指定されている別承認) が必要です |
|
ほかのユーザーのデバイスの割り当てを解除する場合は、 solaris.device.allocate (または、 device_allocate ファイルに指定されている別承認) が必要です 指定したデバイス (-F オプション)
またはすべてのデバイス (-I オプション) の割り当てを強制的に解除する場合は、solaris.device.revoke (または、 device_allocate に指定されている別承認) が必要です |
|
ほかのユーザーのデバイスを一覧表示する場合 ( U オプション) は、 -solaris.device.revoke が必要です |
|
メールサブシステム機能にアクセスする場合は、 solaris.mail が必要。メールキューを表示する場合は、 solaris.mail.mailq
が必要です |
|