このセクションは、新機能 – account-policy サービスの有効化を完了したことが前提となります。
次のコマンドは、RBAC ポリシー変数を SMF プロパティーとして表示します。
$ svcprop -p rbac account-policy rbac/console_user_profiles astring Console\ User rbac/default_auth_profiles astring rbac/default_authorizations astring rbac/default_limit_privileges astring rbac/default_privileges astring rbac/default_profiles astring Basic\ Solaris\ User使用例 35 すべてのログインへの権利プロファイルの追加
この例では、管理者は Site Console User 権利プロファイルを追加し、システムのユーザーによる Console User 権利プロファイルへのアクセスを削除します。この例は、管理者が 新機能 – account-policy サービスの有効化を完了したことが前提となります。
$ pfbash svccfg -s account-policy svc:/.../account-policy> setprop config/etc_security_policyconf/disabled = boolean svc:/.../account-policy> setprop rbac/console_user_profiles astring = "" svc:/.../account-policy> setprop rbac/default_profiles astring = "Site Console User, Basic Solaris User" svc:/.../account-policy> exit $ svcadm refresh account-policy
ユーザーから電源管理機能を削除する方法に、Site Console User 権利プロファイルの内容が示されています。
このセクションは、新機能 – account-policy サービスの有効化を完了したことが前提となります。
特定の状況で、システムから特権を削除できます。たとえば、リモートユーザーに対してそのユーザーが所有していないプロセスのステータスを確認できないようにしたり、パブリックシステムの特権を下げることでメリットを得られるようにしたりする場合があります。
次のコマンドは、ユーザーのセッションの外部にあるすべてのプロセスのファイルリンクおよび表示ができなくなるようにパブリックシステムを変更します。
$ pfbash svccfg -s account-policy svc:/.../account-policy> setprop config/etc_security_policyconf/disabled = boolean svc:/.../account-policy> setprop rbac/default_privileges = "basic,!file_link_any" svc:/.../account-policy> exit $ svcadm refresh account-policy
このセクションは、新機能 – account-policy サービスの有効化を完了したことが前提となります。
権利プロファイルによって多くのユーザーの権利を指定できます。これらは容易に保守でき、システムに適用できます。
$ pfbash svccfg -s account-policy svc:/.../account-policy> setprop config/etc_security_policyconf/disabled = boolean svc:/.../account-policy> setprop rbac/default_profiles = "Example Rights Profile" svc:/.../account-policy> exit $ svcadm refresh account-policy使用例 36 すべてのログインへの Editor Restrictions 権利プロファイルの割り当て
この例では、システムのエディタとなるすべてのユーザーに対し、編集前に認証を求める方法を示しています。
$ pfbash svccfg -s account-policy svc:/.../account-policy> setprop config/etc_security_policyconf/disabled = boolean svc:/.../account-policy> setprop rbac/default_profiles = "Editor Restrictions" svc:/.../account-policy> exit $ svcadm refresh account-policy
「Editor Restrictions」プロファイルは使用例 26, ゲストによるエディタサブプロセス生成の防止で作成されたものです。
使用例 37 Console User のみのログインの有効化この例では、管理者がネットワークの管理にのみ役立つシステムを作成します。管理者は、システムから Basic Solaris User 権利プロファイルとすべての承認を削除します。Console User 権利プロファイルは削除されません。
$ pfbash svccfg -s account-policy svc:/.../account-policy> setprop config/etc_security_policyconf/disabled = boolean svc:/.../account-policy> setprop rbac/default_authorizations = "" svc:/.../account-policy> setprop rbac/default_profiles = "" svc:/.../account-policy> exit $ svcadm refresh account-policy
承認、コマンド、または権利プロファイルが明示的に割り当てられているユーザーのみがこのシステムを使用できます。ログイン後、その承認ユーザーは管理責務を果たすことができます。承認されたユーザーがシステムコンソールの前に座っている場合、そのユーザーには Console User の権利があります。