管理者は、特権付きコマンドを実行する権利を要求し、多くの場合、そのコマンドを実行する承認を要求します。権利プロファイルは簡便なバンドルで、特権付きコマンド、承認、場合によっては補助権利プロファイルも提供します。
どの権利プロファイルを割り当てるのが最適かを判断する方法は複数あります。権利プロファイルの名前はその機能を示しているので、プロファイル名を一覧表示して、機能領域を検索できます。コマンド名から開始して、どの権利プロファイルにそのコマンドが含まれているかを判断することもできます。
対象のコマンドを含む権利プロファイルの名前がわかっている場合は、その権利プロファイル内の権利を確認するときに、管理者にその特定のプロファイルを割り当てるかどうかを判断できます。個々の特権または承認を管理者に割り当てないでください。詳細は、権利の割り当てにおける考慮事項を参照してください。
管理権利を割り当てたあとで、管理コマンドの実行前に 割り当てられている管理権利の使用を参照するように管理者に伝えてください。
権利プロファイルまたはコマンド名で開始することにより、割り当てる権利を検索できます。この手順は、権利プロファイルを使用して検索する方法を示します。使用例 1ではコマンドを使用して検索する方法を示しています。
$ profiles -a | more ... Administrative Command History Administrator Message Edit Audit Configuration ...
次の例では、ゾーンの管理に関する権利プロファイルを検索します。
$ profiles -a | grep -i zone Zone Security Zone Configuration Zone Management Zone Migration Zone Cold Migration
引き続きゾーンの例で、ゾーンをセキュリティー保護する権利を割り当てます。
$ profiles -p "Zone Security" info
name=Zone Security
desc=Zones Virtual Application Environment Security
auths=solaris.zone.*,solaris.auth.delegate
cmd=/usr/sbin/txzonemgr
cmd=/usr/sbin/zonecfg
cmd=/usr/lib/rad/module/mod_zonemgr.so.1
この出力は、割り当て対象者が、solaris.zone の文字列から始まるすべての承認と、solaris.auth.delegate 承認を持っていることを示しています。割り当て対象者は、txzonemgr および zonecfg コマンドを実行でき、RAD コマンド mod_zonemgr.so.1 モジュールを使用できます。
コマンドに割り当てる権利の詳細は、次のステップに進んでください。solaris.zone 承認の説明については、Step 5を参照してください。
$ getent exec_attr | grep "^Zone Security" Zone Security:solaris:cmd:RO::/usr/sbin/txzonemgr:uid=0 Zone Security:solaris:cmd:RO::/usr/sbin/zonecfg:uid=0 Zone Security:solaris:cmd:RO::/usr/lib/rad/module/mod_zonemgr.so.1:uid=0
この出力は、割り当て対象者の UID ではなく、0 の UID でコマンドが実行することを示しています。RO はこの権利プロファイルが読み取り専用であることを示します。
$ getent auth_attr | grep solaris.zone solaris.zone.:RO::Zone Management:: solaris.zone.clonefrom:RO::Clone another Zone:: solaris.zone.login:RO::Zone Login:: solaris.zone.manage:RO::Zone Deployment:: solaris.zone.config:RO::Modify the Persistent Zone Configuration:: solaris.zone.liveconfig:RO::Inspect and Modify the Live Zone Configuration:: solaris.zone.migrate:RO::Zone Migration:: solaris.zone.migrate.cold:RO::Zone Cold Migration:: $ getent auth_attr | grep solaris.auth.delegate solaris.auth.delegate:RO::Assign owned authorizations::
この例では、管理者は、pfctl コマンドをネットワーク管理者に割り当てようと考えているが、割り当て対象者にはパケットフィルタ (PF) ファイアウォールの処理に必要とするそのほかの権利がわかっていません。
管理者は、特権付きコマンドデータベース exec_attr で pfctl コマンドを検索します。
$ getent exec_attr | grep pfctl Network Firewall Management:solaris:cmd:RO::/usr/sbin/pfctl:privs=sys_ip_config
この出力は、pfctl コマンドがネットワークファイアウォール管理権利プロファイルの一部であり、sys_ip_config 特権で実行することを示しています。
管理者は、権利プロファイルの内容を確認します。
$ profiles -p "Network Firewall Management" info
name=Network Firewall Management
desc=Firewall Administration
auths=solaris.smf.value.network.firewall,solaris.smf.manage.network.firewall
cmd=/usr/sbin/pfconf
cmd=/usr/sbin/pfctl
この出力は、ネットワークファイアウォール管理プロファイルが、ファイアウォールの SMF プロパティーを変更することを割り当て対象者に承認し、pfconf コマンドも含んでいることを示しています。
管理者は、特権付きコマンドデータベースで pfconf コマンドを検索します。
$ getent exec_attr | grep pfconf Network Firewall Management:solaris:cmd:RO::/usr/sbin/pfconf:privs=sys_ip_config
管理者は、選択したプロファイルにある承認の定義を確認します。
$ getent auth_attr | grep firewall solaris.smf.manage.network.firewall:RO::Manage Network Firewall:: solaris.smf.value.network.firewall:RO::Change Network Firewall Configuration:: solaris.smf.manage.firewall:RO::Manage Firewall Service:: solaris.smf.value.firewall.config:RO::Change Service Firewall Config::
割り当て対象者が必要とするすべての機能が権利プロファイルに含まれる場合、管理者は、その権利プロファイルをユーザーに割り当てたり、役割を作成してその役割をユーザーに割り当てたりします。例については、役割の作成および 使用例 12を参照してください。
割り当て対象者がさらに多くのネットワーク機能を必要とする場合、管理者は確認を続けます。
管理者は、すべてのネットワークプロファイルを一覧表示し、別のプロファイルを選択して、検索を繰り返します。
$ profiles -a | grep ^Network Network Autoconf Admin Network Autoconf User Network ILB Network Dot1x Management Network LLDP Network VRRP Network DLMP Network Management Network Observability Network TCP Key Management Network Security Network Wifi Management Network Wifi Security Network Link Security Network IPsec Management Network Firewall Management
管理者は、権利プロファイルと承認の作成の指示に従って、カスタムネットワーキング権利プロファイルを作成することもできます。