使用 Oracle Solaris Cluster 管理权限配置文件创建和分配 RBAC 角色

使用此任务可创建一个具有 Oracle Solaris Cluster 管理权限配置文件的新 RBAC 角色，并将用户分配到此新角色。

如何使用管理角色工具创建角色

开始之前

要创建角色，必须承担分配有主管理员权限配置文件的角色，或以 root 用户身份运行。

1. 启动管理角色工具。

   要运行管理角色工具，请按照《System Administration Guide: Security Services》中的"How to Assume a Role in the Solaris Management Console"中所述，启动 Solaris Management Console。打开 "User Tool Collection"（用户工具集），并单击 "Administrative Roles"（管理角色）图标。

2. 启动 "Add Administrative Role"（增加管理角色）向导。

   从 "Action"（动作）菜单中选择 "Add Administrative Role"（增加管理角色），启动用于配置角色的 "Add Administrative Role"（增加管理角色）向导。

3. 设置一个分配有群集管理权限配置文件的角色。

   使用 "Next"（下一步）和 "Back"（上一步）按钮在对话框之间导航。注意，只有在填完所有必填字段之后 "Next"（下一步）按钮才会处于活动状态。在最后一个对话框中您可以查看输入的数据，此时可以使用 "Back"（上一步）按钮更改输入内容或单击 "Finish"（完成）保存新角色。以下列表汇总了对话框字段和按钮。

   角色名称

   角色的简短名称。

   全名

   名称的完整形式。

   描述

   角色的描述。

   角色 ID 号

   自动递增的角色 UID。

   角色 shell

   可用于角色的配置文件 shell：管理员的 C、管理员的 Bourne 或管理员的 Korn shell。

   创建角色邮件列表

   为分配到此角色的用户创建邮件列表。

   可用权限/已授予权限

   分配或删除角色的权限配置文件。

   注意，系统不会阻止您多次键入相同的命令。在权限配置文件中分配给第一个出现的命令的属性具有优先权，其后出现的所有命令都会被忽略。可使用向上和向下方向键来更改顺序。

   服务器

   主目录服务器。

   路径

   主目录路径。

   添加

   添加可以承担此角色的用户。必须位于同一范围中。

   删除

   删除分配到此角色的用户。

   ---

   注 - 您需要将此配置文件放置在分配给角色的配置文件列表的最前面。

   ---

4. 向新创建的角色添加需要使用 Oracle Solaris Cluster Manager 功能或 Oracle Solaris Cluster 命令的用户。

   使用 useradd(1M) 命令可向系统中添加用户帐户。-P 选项可将角色分配到用户帐户。

5. 单击 "Finish"（完成）。
6. 打开终端窗口并成为 root 用户。
7. 启动和停止名称服务缓存守护进程。

   重新启动名称服务缓存守护进程后，新角色才能生效。成为 root 用户后，键入以下文本：

   # /etc/init.d/nscd stop
   # /etc/init.d/nscd start

如何从命令行创建角色

1. 成为超级用户或承担可提供 solaris.cluster.admin RBAC 授权的角色。
2. 选择创建角色的方法：

   • 对于本地范围内的角色，请使用 roleadd(1M) 命令指定新的本地角色及其属性。

   • 另外，对于本地范围内的角色，也可以编辑 user_attr(4) 文件来添加 type=role 的用户。

     只有在紧急情况下才能使用此方法。

   • 对于名称服务中的角色，请使用 smrole(1M) 命令来指定新角色及其属性。

     此命令需要由超级用户或能够更改用户配置文件的角色来执行才能通过验证。可以将 smrole 应用于所有名称服务。此命令将作为 Solaris Management Console 服务器的客户机运行。

3. 启动和停止名称服务缓存守护进程。

   重新启动名称服务缓存守护进程后，新角色才能生效。以 root 用户身份键入以下文本：

   # /etc/init.d/nscd stop
   # /etc/init.d/nscd start

示例 2-1 使用 smrole 命令创建定制操作员角色

以下命令序列演示了如何使用 smrole 命令创建角色。在本示例中创建了操作员角色的新版本，此操作员角色分配有标准操作员权限配置文件和介质恢复权限配置文件。

% su primaryadmin 
# /usr/sadm/bin/smrole add -H myHost -- -c "Custom Operator" -n oper2 -a johnDoe \
-d /export/home/oper2 -F "Backup/Restore Operator" -p "Operator" -p "Media Restore"

Authenticating as user: primaryadmin

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <type primaryadmin password>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadmin was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password ::<type oper2 password>

# /etc/init.d/nscd stop
# /etc/init.d/nscd start

要查看新创建的角色（以及任何其他角色），请将 smrole 命令与 list 选项配合使用，如下所示：

# /usr/sadm/bin/smrole list --
Authenticating as user: primaryadmin

Type /? for help, pressing <enter> accepts the default denoted by [ ]
Please enter a string value for: password :: <type primaryadmin password>

Loading Tool: com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost
Login to myHost as user primaryadmin was successful.
Download of com.sun.admin.usermgr.cli.role.UserMgrRoleCli from myHost was successful.
root                    0               Super-User
primaryadmin            100             Most powerful role
sysadmin                101             Performs non-security admin tasks
oper2                   102             Custom Operator