user_attr 数据库包含补充 passwd 和 shadow 数据库的用户和角色信息。attr 字段包含安全属性,qualifier 字段包含限定或限制安全属性对系统或系统组的影响的属性。
使用 roleadd、rolemod、useradd、usermod 和 profiles 命令可以设置 attr 字段中的安全属性。可以在本地和 LDAP 命名范围中设置这些属性。
对于用户,roles 关键字指定一个或多个已定义的角色。
对于角色,对 roleauth 关键字使用 user 值可允许角色使用用户口令而不是角色口令进行验证。缺省情况下,值为 role。
对于用户或角色,可设置以下属性:
access_times 关键字-指定日期和时间,用于指定应用程序和服务何时可以访问。有关更多信息,请参见 getaccess_times(3C) 手册页。
access_tz 关键字-指定解释 access_times 条目中的时间时使用的时区。有关更多信息,请参见 pam_unix_account(5) 手册页。
audit_flags 关键字-修改审计掩码。有关更多信息,请参见 audit_flags(5) 手册页。
auths 关键字-指定授权。有关更多信息,请参见 auths(1) 手册页。
auth_profiles 关键字-指定需要验证权限配置文件。有关参考信息,请参见 profiles(1) 手册页。
limitpriv 关键字-添加特权或者从缺省的限制特权集合中删除特权。
因为 defaultpriv 和 limitpriv 特权会指定给用户的初始进程,因此它们始终有效。有关更多信息,请参见 privileges(5) 手册页和如何实现特权。
idletime 关键字-设置没有键盘活动后系统仍处于可用状态的时间。如果为 idlecmd 指定值,请设置 idletime。
lock_after_retries 关键字-如果值为 yes,当重试次数超出 /etc/default/login 文件中允许的次数后,系统会锁定。有关更多信息,请参见 login(1) 手册页。
profiles 关键字-指定权限配置文件。有关更多信息,请参见 profiles(1) 手册页。
project 关键字-添加缺省项目。有关更多信息,请参见 project(4) 手册页。
只能为在 LDAP 命名范围中的用户和角色设置这些限定属性。这些限定符将用户或角色的属性指定(例如权限配置文件)限定为一个或多个系统。有关示例,请参见 useradd(1M) 和 user_attr(4) 手册页。
限定符包括 host 和 netgroup。
有关更多信息,请参见 user_attr(4) 手册页。要查看此数据库的内容,请使用 getent user_attr 命令。有关更多信息,请参见 getent(1M) 手册页和Chapter 6, 列出 Oracle Solaris 中的权限。