の権利はすべてのプロセスに存在します。ユーザーと役割に権利を追加したり、権利を削除したりできます。権利には、ユーザープロセスの特権、ユーザーが実行するコマンドの特権または特別な ID、および特定アクションの実行のための承認が含まれます。権利割り当てに伴う管理作業の負担を軽減するため、 ではサービスと管理アクションに関する権利が権利プロファイルにまとめられています。個別の権利をユーザーと役割に割り当てる代わりに、権利プロファイルに権利を集めることができます。次に、その権利プロファイルをユーザーと役割に割り当てることができます。
役割により、ユーザーが実行できる管理タスクに auditadm などの名前が指定されます。管理アクションを実行するため、ユーザーはそのアクションの実行のために割り当てられている役割を引き受けます。役割はセキュリティーポリシーで必要とされることがあり、単純に便利です。役割を作成するか、または 7 つの役割とそのローカルホームディレクトリを作成する armor パッケージをインストールできます。役割の詳細については、スーパーユーザーモデルの代替としてのユーザー権利およびプロセス権利を参照してください。
権利をシステムに割り当て、そのシステムにログインしたすべてのユーザーにそれらの権利を付与できます。通常の場合、管理者はキオスクやほかのシステムの管理のみを目的としたシステムなどの特殊なシステムから権利を削除します。システムの権利を変更するための推奨される方法は、account-policy サービス管理機能 (SMF) サービスを有効にしてシステムのセキュリティー属性を SMF プロパティーとして変更することです。レガシー方式は、/etc ディレクトリ内の個々のファイルを編集することです。
SMF 内のセキュリティー属性を変更するには、ローカルファイルを編集する代わりに setprop コマンドを使用します。
example-11u4 $ pfbash svccfg -s account-policy:default \ setprop config/etc_security_policyconf/disabled = boolean: false example-11u4 $ svccfg -s svc:/system/account-policy:default \ setprop rbac/default_privileges astring: = "basic,!file_link_any"
前のコマンドはこのレガシー方式を置き換えます。
example-11u3 $ pfexec vim /etc/security/policy.conf PRIV_DEFAULT=basic,!file_link_any
詳細は、account-policy(8S) および システム全体の特権、承認、および権利プロファイルの変更を参照してください。