角色是一种特殊类型的用户帐户,通过此帐户可运行特权应用程序。角色的创建方式与用户帐户的常规创建方式相同。角色具有起始目录、组指定和口令等。权限配置文件和授权可为角色分配管理权限。角色无法从其他角色或从承担该角色的用户继承权限。通过角色分配超级用户特权,可以实现更安全的管理制度。
可以将一种角色指定给多个用户。所有可以承担相同角色的用户都具有同一个角色起始目录,在同一环境中运行,并且可访问相同文件。用户可以通过在命令行运行 su 命令并提供角色名称和角色口令来承担角色。管理员可以将系统配置为允许用户通过提供用户的口令来验证。请参见Example 3–16。
角色无法直接登录。用户需要首先登录,然后承担角色。承担了一种角色后,如果不先退出当前角色,将无法承担其他角色。
权限配置文件将权限添加到用户环境,角色也同样会为用户提供一个干净的执行环境,此环境与其他可以承担该角色的用户共享。如果用户切换到某个角色,用户的授权或权限配置文件都不会应用于该角色。
passwd、shadow 和 user_attr 数据库存储静态角色信息。您可以而且应该审计角色的操作。
在 Oracle Solaris 中 root 是一种角色,这阻止了匿名 root 登录。如果审计配置文件 shell 命令 pfexec,则审计迹会包含登录用户的实际 UID、用户承担的角色以及执行过的特权操作。要审计系统的特权操作,请参见审计管理操作。