Commande chlpclacl

Objectif

Modifie les contrôles d'accès de la classe de ressources de privilèges minimum (LP) (IBM.LPCommands).

Syntaxe

Pour ajouter un ou plusieurs accès à la liste de contrôle d'accès de classe IBM.LPCommands ou pour remplacer la liste de contrôle d'accès de classe IBM.LPCommands par un ou plusieurs accès:

chlpclacl [ -a | -n hôte1[,hôte2,... ] ] [-o] [-h] [-TV] ID_1 perm1 [ID_2 perm2] …

Pour ajouter un ou plusieurs accès à la liste de contrôle d'accès de classe IBM.LPCommands ou pour remplacer la liste de contrôle d'accès de classe IBM.LPCommands par un ou plusieurs accès utilisant tous les mêmes droits:

chlpclacl [ -a | -n hôte1[,hôte2,... ] ] -l [-o] [-h] [-TV] ID_1 [ID_2... ] perm

Pour supprimer un ou plusieurs accès de la liste de contrôle d'accès de classe IBM.LPCommands :

chlpclacl [ -a | -n hôte1[,hôte2,... ] ] -d [-h] [-TV] ID_1 [ID_2... ]

Pour ajouter ou supprimer des accès à la liste de contrôle d'accès de classe IBM.LPCommands ou pour remplacer la liste de contrôle d'accès de classe IBM.LPCommands par les accès spécifiés dans un fichier:

chlpclacl [ -a | -n hôte1[,hôte2,... ] ] [ -o | -d ] -f nom_fichier [-h] [-TV]

Pour définir la liste de contrôle d'accès de la classe IBM.LPCommands afin de refuser tous les accès:

chlpclacl [ -a | -n hôte1[,hôte2,... ] ] -x [-h] [-TV]

Descriptif

La commande chlpclacl modifie la liste de contrôle d'accès (ACL) associée à la classe de ressources de droits d'accès minimum (LP) (IBM.LPCommands). Cette commande permet d'ajouter ou de supprimer un accès à la liste de contrôle d'accès de classe IBM.LPCommands . Cette liste de contrôle d'accès contrôle l'accès à des opérations de classe telles que la création de ressources PL et la suppression de ressources PL. Une liste de contrôle d'accès de classe existe sur chaque noeud pour la classe IBM.LPCommands .

Pour ajouter des accès à la liste de contrôle d'accès de classe IBM.LPCommands , indiquez l'ID et les droits dont l'ID doit disposer. Plusieurs paires d'ID et de droits peuvent être spécifiées. Si vous souhaitez ajouter plusieurs ID et qu'ils possèdent tous les mêmes droits, utilisez l'indicateur -l pour indiquer que le format de la commande est une liste d'ID suivie d'un droit unique qui s'applique à tous les ID. Si vous utilisez l'indicateur -o , les ID et les droits spécifiés avec la commande écraseront les accès existants. Les accès définis précédemment dans la liste de contrôle d'accès de classe sont supprimés.

Pour supprimer des accès de la liste de contrôle d'accès de classe IBM.LPCommands , utilisez l'indicateur -d et spécifiez les ID à supprimer.

Utilisez l'indicateur -f pour indiquer que les accès sont spécifiés dans un fichier. Chaque ligne du fichier sera un ID et une autorisation pour cet ID. Si l'indicateur -d est utilisé avec l'indicateur -f , seul l'ID est requis sur chaque ligne. Tout ce qui suit le premier espace est ignoré.

Cette commande s'exécute sur n'importe quel noeud. Si vous souhaitez que cette commande s'exécute sur tous les noeuds d'un domaine, utilisez l'indicateur -a . Si vous souhaitez que cette commande s'exécute sur un sous-ensemble de noeuds d'un domaine, utilisez l'indicateur -n . Sinon, cette commande s'exécute sur le noeud local.

Indicateurs

-a

Modifie les listes de contrôle d'accès aux classes IBM.LPCommands sur tous les noeuds du domaine. Le paramètre de la variable d'environnement CT_MANAGEMENT_SCOPE détermine la portée du cluster. Si CT_MANAGEMENT_SCOPE n'est pas défini, le gestionnaire de ressources PL utilise les paramètres de portée dans l'ordre suivant:

Le domaine de gestion, s'il existe
Le domaine homologue, s'il existe
Portée locale

La commande chlpclacl s'exécute une fois pour la première portée valide trouvée par le gestionnaire de ressources LP. Par exemple, supposons qu'un domaine de gestion et un domaine homologue existent et que la variable d'environnement CT_MANAGEMENT_SCOPE n'est pas définie. Dans ce cas, chlpclacl –a s'exécute dans le domaine de gestion. Pour exécuter chlpclacl –a dans le domaine homologue, vous devez définir CT_MANAGEMENT_SCOPE sur 2.

-d

Supprime l'entrée de liste de contrôle d'accès pour l'ID spécifié de la liste de contrôle d'accès de classe IBM.LPCommands .

--f nom_du_fichier

Indique que les accès sont spécifiés dans nom_fichier. Chaque ligne de ce fichier se compose d'un ID et de l'autorisation pour cet ID. Si l'indicateur -d est utilisé avec l'indicateur -f , seul l'ID est requis sur chaque ligne. Tout ce qui suit le premier espace est ignoré.

-l

Indique qu'il existe une liste d'ID suivie d'un droit unique utilisé pour tous les ID.

--n host1[host2,...]

Indique les noeuds du domaine sur lesquels la liste de contrôle d'accès aux classes IBM.LPCommands doit être modifiée. Par défaut, la liste de contrôle d'accès de classe IBM.LPCommands est modifiée sur le noeud local. Cet indicateur est valide uniquement dans un domaine de gestion ou un domaine homologue. Si CT_MANAGEMENT_SCOPE n'est pas défini, la portée du domaine de gestion est d'abord choisie si elle existe, puis la portée du domaine homologue est choisie si elle existe, puis la portée locale est choisie, jusqu'à ce que la portée soit valide pour la commande. La commande s'exécute une seule fois pour la première portée valide trouvée.

-o

Indique que les accès spécifiés écrasent les entrées de liste de contrôle d'accès existantes pour la liste de contrôle d'accès de classe IBM.LPCommands . Toutes les entrées de la liste de contrôle d'accès de la classe IBM.LPCommands sont supprimées.

-x

Définit la liste de contrôle d'accès de classe IBM.LPCommands pour refuser tous les accès aux attributs de classe et aux opérations de classe IBM.LPCommands . Toutes les entrées de la liste de contrôle d'accès de la classe IBM.LPCommands sont supprimées.

-h

Ecrit l'instruction de syntaxe de la commande dans la sortie standard.

-T

Ecrit les messages de trace de la commande dans l'erreur standard.

-V

Ecrit les messages prolixes de la commande dans la sortie standard.

Paramètres

Id

Indique l'identité réseau de l'utilisateur. Si le même ID est répertorié plusieurs fois, le dernier droit spécifié est utilisé. Pour une description de la manière de spécifier l'identité du réseau, voir la section User identities du fichier d'informations lpacl .

perm

Indique les droits autorisés pour ID. perm est spécifié sous la forme d'une chaîne d'un ou de plusieurs caractères, où chaque caractère représente une autorisation particulière. Les valeurs admises pour perm sont les suivantes:

r: Droit de lecture (comprend les droits q, l, eet v )
w: Droit d'accès en écriture (comprend les droits d, c, set o )
a: Droits d'administrateur
x: Droit d'exécution
q: Droit d'interrogation
l: Droits d'énumération
e: Droit d'accès aux événements
v: Valider le droit
d: Définir et annuler la définition des droits
c: Actualiser le droit
s: Définir les droits
o: Autorisation en ligne, hors ligne et réinitialisation
0: Aucun droit

Voir la section User permissions du fichier d'informations lpacl pour la description de ces droits.

Security

Pour exécuter la commande chlpclacl , vous devez disposer des droits de lecture et d'administrateur dans la liste de contrôle d'accès aux classes de la classe de ressources IBM.LPCommands . Les droits sont spécifiés dans les listes de contrôle d'accès LP sur le système contacté. Voir le fichier d'informations lpacl pour obtenir des informations générales sur les listes de contrôle d'accès LP et le manuel RSCT-Guide d'administration pour obtenir des informations sur la modification des listes.

Statut de sortie

0: L'exécution de la commande a abouti.
1: Une erreur s'est produite avec RMC.
2: Une erreur s'est produite avec le script de l'interface de ligne de commande (CLI).
3: Un indicateur incorrect a été spécifié sur la ligne de commande.
4: Un paramètre incorrect a été indiqué sur la ligne de commande.
5: Une erreur s'est produite avec la connexion RMC basée sur une entrée de ligne de commande incorrecte.
6: La ressource est introuvable.

Variables d'environnement

CT_CONTACT

Détermine le système sur lequel se produit la session avec le démon RMC (Resource Monitoring and Control). Lorsque CT_CONTACT est défini sur un nom d'hôte ou une adresse IP, la commande contacte le démon RMC sur l'hôte spécifié. Si CT_CONTACT n'est pas défini, la commande contacte le démon RMC sur le système local sur lequel la commande est exécutée. La cible de la session du démon RMC et la portée de la gestion déterminent les classes de ressources ou les ressources qui sont traitées.

CT_IP_AUTHENT

Lorsque la variable d'environnement CT_IP_AUTHENT existe, le démon RMC utilise l'authentification réseau IP pour contacter le démon RMC sur le système spécifié par l'adresse IP à laquelle la variable d'environnement CT_CONTACT est définie. CT_IP_AUTHENT n'a de signification que si CT_CONTACT est défini sur une adresse IP ; il ne repose pas sur le service DNS (Domain Name System).

CT_PORT_GESTION

Détermine la portée de gestion utilisée pour la session avec le démon RMC lors du traitement des ressources du gestionnaire de ressources de droits d'accès minimal (LP). La portée de gestion détermine l'ensemble de noeuds cible possibles où les ressources peuvent être traitées. Les valeurs admises sont les suivantes :

0: Indique la portée locale .
1: Indique la portée locale .
2: Indique la portée du domaine homologue .
3: Indique la portée du domaine de gestion .

Si cette variable d'environnement n'est pas définie, la portée locale est utilisée, sauf si l'indicateur -a ou l'indicateur -n est spécifié.

Caractéristiques de mise en oeuvre

Cette commande fait partie du jeu de fichiers Reliable Scalable Cluster Technology (RSCT) pour AIX.

Sortie standard

Lorsque l'indicateur -h est spécifié, l'instruction de syntaxe de cette commande est écrite dans la sortie standard. Lorsque l'indicateur -V est spécifié, les messages prolixes de cette commande sont écrits dans la sortie standard.

Erreur standard

Tous les messages de trace sont écrits dans l'erreur standard.

Exemples

Pour accorder à l'utilisateur joe sur nodeA le droit d'accès en écriture à la classe IBM.LPCommands afin qu'il puisse créer des ressources LP sur nodeA, exécutez l'une des commandes suivantes sur nodeA:
```
chlpclacl joe@NODEID w

chlpclacl joe@LOCALHOST w
```
nodeA et nodeB se trouvent dans un domaine homologue. Pour accorder à l'utilisateur joe sur nodeB le droit d'accès en écriture à la classe IBM.LPCommands afin qu'il puisse créer des ressources LP sur nodeB, exécutez la commande suivante sur nodeA:
```
chlpclacl -n nodeB joe@LOCALHOST  w
```
Dans cet exemple, la spécification de joe@NODEID au lieu de joe@LOCALHOST donne à joe sur nodeA le droit d'accès en écriture à la classe IBM.LPCommands sur nodeB.
Pour accorder à l'utilisateur joe sur nodeA un droit d'accès en écriture à la classe IBM.LPCommands et à bill sur nodeA un droit d'accès en écriture à la classe IBM.LPCommands sur nodeA, exécutez la commande suivante sur nodeA:
```
chlpclacl joe@LOCALHOST w bill@LOCALHOST wa
```
Pour accorder à l'utilisateur joe sur nodeA le droit d'administrateur sur la classe IBM.LPCommands sur nodeA, en écrasant la liste de contrôle d'accès aux classes IBM.LPCommands actuelle de sorte qu'il s'agit du seul accès autorisé, exécutez la commande suivante sur nodeA:
```
chlpclacl -o joe@LOCALHOST a
```
Pour accorder aux utilisateurs joe, billet jane sur nodeA des droits d'accès en lecture et en écriture à la classe IBM.LPCommands sur nodeA, exécutez la commande suivante sur nodeA:
```
chlpclacl -l joe@LOCALHOST  bill@LOCALHOST  jane@LOCALHOST  rw
```
Pour supprimer l'accès pour joe sur nodeA de la classe IBM.LPCommands sur nodeA, exécutez la commande suivante sur nodeA:
```
chlpclacl -d  joe@LOCALHOST
```
Pour ajouter une liste d'accès qui se trouvent dans un fichier nommé /mysecure/aclfile sur nodeA à la classe IBM.LPCommands sur nodeA, exécutez la commande suivante sur nodeA:
```
chlpclacl -f /mysecure/aclfile  
```
Le contenu de /mysecure/aclfile sur nodeA peut être:
```
joe@LOCALHOST	  		w
bill@LOCALHOST		 	wa
jane@LOCALHOST		 	rw
```
Pour refuser tous les accès à la classe IBM.LPCommands sur nodeA, exécutez la commande suivante sur nodeA:
```
chlpclacl -x
```

Emplacement

/opt/rsct/bin/chlpclacl: Contient la commande chlpclacl