「役割」は、特権付きアプリケーションを実行できる特別な種類のユーザーアカウントです。役割は、ユーザーアカウントと同じ方法で作成され、ホームディレクトリ、グループ割り当て、パスワードなどを持ちます。権利プロファイルと承認により、役割に管理権利が提供されます。役割は、ほかの役割やその役割を引き受けるユーザーから権利を継承することはできません。役割によりスーパーユーザー特権が割り振られるため、セキュリティーが強化された管理を実施できます。
各役割は、複数のユーザーに割り当てることができます。同じ役割になるすべてのユーザーは、同じ役割のホームディレクトリを持ち、同じ環境で動作し、同じファイルへのアクセス権を持ちます。ユーザーは、役割を引き受けるにはコマンド行で su コマンドを実行し、役割名と役割のパスワードを入力します。管理者は、ユーザーが、そのユーザーのパスワードを指定することによって認証できるようにシステムを構成できます。Example 3–16 を参照してください。
役割は直接ログインすることはできません。ユーザーがまずログインし、続いて役割を引き受けます。役割を引き受けたあとで別の役割を引き受けるには、まず現在の役割を終了する必要があります。
また、権利プロファイルはユーザーの環境に権利を追加しますが、役割はユーザーに対し、その役割を引き受けることができるほかのユーザーと共有するクリーンな実行環境を提供します。ユーザーが役割に切り替わっても、ユーザーの承認または権利プロファイルはすべて役割には適用されません。
passwd、shadow、および user_attr データベースに、静的な役割情報が格納されます。ユーザーは役割のアクションを監査できるので、この監査を実行すべきです。
役割の設定についての詳細は、次のセクションを参照してください。
Oracle Solaris では root は役割であるため、匿名の root ログインが回避されます。プロファイルシェルコマンド pfexec が監査されると、監査トレールにはログインユーザーの実 UID、ユーザーが引き受けている役割、および実行された特権付き操作が含まれています。特権付き操作についてシステムを監査するには、管理アクションの監査を参照してください。