sstore-authorized-user (7)
名称
sstore-authorized-user - 统计信息存储授权用户
描述
sstore 授权用户有权访问给定名称空间节点和特权操作。此授权允许用户对名称空间节点或其任何非拓扑子孙节点执行特权操作,而无需 RBAC 授权执行该操作。有关 RBAC 授权的更多信息,请参见 sstore-security(7) 手册页。
例如,如果用户 foo 是对 //:class.event 执行 read_sensitive 操作的授权用户,但是未经 RBAC 授权读取敏感统计信息或事件,则 foo 可以读取 //:class.event 下的任何敏感事件,但是 foo 无法从名称空间的任何其他部分中读取敏感数据。
定义统计信息存储授权用户
可以通过授权和/或一组用户名指定 sstore 授权用户对名称空间节点执行操作。
通过用户名定义授权用户
为其定义授权用户的名称空间节点必须在元数据中包含以下信息:
"sau_op_name_username": user_name [,<user_name>]
op_name 的可能值如下:
-
all
-
read_sensitive
-
capture_sensitive
-
capture_expensive
-
write
-
update_res
-
delete
-
config
有关这些操作的更多信息,请参见 sstore-security(7) 手册页。
例如,要授权用户 user_bar 读取 //:class.app/solaris/foo 下的敏感统计信息或事件,应该通过在 //:class.app/solaris/foo 的元数据中添加以下键-值对来创建 sstore 授权用户:
"sau_read_sensitive_username": "user_bar"
通过
RBAC 授权定义授权用户
为其定义授权用户的名称空间节点应该在元数据中包含以下键-值对:
"sau_op_name_auth": RBAC auth
op_name 的可能值与用来通过用户名定义授权用户的值相同。
例如,要允许任何经过 solaris.sstore.apache.write RBAC 授权的用户对 //:class.apache 执行写入操作,请在 //:class.apache 的元数据中定义以下键-值对:
"sau_write_auth": "solaris.sstore.apache.write"
此键-值对定义允许经过 solaris.sstore.apache.write RBAC 授权的 Apache 进程在 //:class.apache 下提供统计信息。
另请参见
auths(1)、sstore(1)、libsstore(3LIB)、sstore.json(5)、ssid(7)、ssid-metadata(7)、sstore(7)、sstore-security(7)、sstoreadm(1)