Commande chlpracl

Objectif

Modifie les contrôles d'accès pour une ressource de moindre privilège (LP).

Syntaxe

Pour ajouter un ou plusieurs accès à une liste de contrôle d'accès de ressource ou pour remplacer une liste de contrôle d'accès de ressource par un ou plusieurs accès:

chlpracl [ -a | -n hôte1[,hôte2,... ] ] [-o] [-r] [-h] [-TV] ressource ID_1 perm1 [ID_2 perm2] ...

Pour ajouter un ou plusieurs accès à une liste de contrôle d'accès de ressource ou pour remplacer une liste de contrôle d'accès de ressource par un ou plusieurs accès utilisant tous les mêmes droits:

chlpracl [ -a | -n hôte1[,hôte2,... ] ] -l [-o] [-r] [-h] [-TV] ressource ID_1 [ID_2... ] perm

Pour supprimer un ou plusieurs accès d'une liste de contrôle d'accès de ressource:

chlpracl [ -a | -n hôte1[,hôte2,... ] ] -d [-r] [-h] [-TV] ressource ID_1 [ID_2... ]

Pour ajouter des accès à une liste de contrôle d'accès à une ressource (ou en supprimer) ou pour remplacer une liste de contrôle d'accès à une ressource par les accès spécifiés dans un fichier:

chlpracl [ -a | -n hôte1[,hôte2,... ] ] [ -o | -d ] -f nom_fichier [-r] [-h] [-TV] ressource

Pour définir une liste de contrôle d'accès aux ressources de sorte qu'aucune autorisation ne soit autorisée, ou pour utiliser la liste de contrôle d'accès partagée des ressources:

chlpracl [ -a | -n hôte1[,hôte2,... ] ] { -b | -x } [-r] [-h] [-TV] ressource

Pour définir toutes les listes de contrôle d'accès aux ressources de sorte qu'aucune autorisation ne soit autorisée, ou pour utiliser la liste de contrôle d'accès partagée des ressources:

chlpracl [ -a | -n hôte1[,hôte2,... ] ] { -B │ -X } [-h] [-TV]

Descriptif

La commande chlpracl modifie la liste de contrôle d'accès (ACL) associée à une ressource de moindre privilège (LP). Cette commande permet d'ajouter ou de supprimer un accès à la liste de contrôle d'accès aux ressources. Cette liste de contrôle d'accès contrôle l'accès à des opérations de ressource telles que la liste des valeurs d'attribut et l'exécution de commandes LP. Une liste de contrôle d'accès de ressource existe pour chaque ressource LP.

Pour contrôler l'accès à la ressource LP, il existe trois types différents de listes de contrôle d'accès aux ressources:

ACL de ressource
ACL initiale de la ressource
ACL partagée de ressource

La commande chlpracl permet à la liste de contrôle d'accès de la ressource d'indiquer que la liste de contrôle d'accès partagée de la ressource doit être utilisée à sa place pour contrôler l'accès. Pour la description de ces listes de contrôle d'accès, voir le fichier d'informations lpacl .

Pour ajouter un accès à la liste de contrôle d'accès de la ressource, indiquez le nom de la ressource LP, l'ID et le droit dont l'ID doit disposer. Plusieurs paires d'ID et de droits peuvent être spécifiées. Si vous souhaitez ajouter plusieurs ID et qu'ils possèdent tous les mêmes droits, utilisez l'indicateur -l pour indiquer que le format de la commande est une liste d'ID suivie d'un droit unique qui s'applique à tous les ID. Si vous utilisez l'indicateur -o , les ID et les droits spécifiés avec la commande écraseront les accès existants. Les accès définis précédemment dans la liste de contrôle d'accès sont supprimés.

Pour supprimer des accès de la liste de contrôle d'accès de la ressource, utilisez l'indicateur -d et indiquez le nom de la ressource LP et les ID à supprimer.

Utilisez l'indicateur -f pour indiquer que les accès sont spécifiés dans un fichier. Chaque ligne du fichier sera un ID et une autorisation pour cet ID. Si l'indicateur -d est utilisé avec l'indicateur -f , seul l'ID est requis sur chaque ligne. Tout ce qui suit le premier espace est ignoré.

Cette commande s'exécute sur n'importe quel noeud. Si vous souhaitez que cette commande s'exécute sur tous les noeuds d'un domaine, utilisez l'indicateur -a . Si vous souhaitez que cette commande s'exécute sur un sous-ensemble de noeuds d'un domaine, utilisez l'indicateur -n . Sinon, cette commande s'exécute sur le noeud local.

Indicateurs

-a

Modifie les listes de contrôle d'accès aux ressources pour ressource sur tous les noeuds du domaine. Le paramètre de la variable d'environnement CT_MANAGEMENT_SCOPE détermine la portée du cluster. Si CT_MANAGEMENT_SCOPE n'est pas défini, le gestionnaire de ressources PL utilise les paramètres de portée dans l'ordre suivant:

Le domaine de gestion, s'il existe
Le domaine homologue, s'il existe
Portée locale

La commande chlpracl s'exécute une fois pour la première portée valide trouvée par le gestionnaire de ressources LP. Par exemple, supposons qu'un domaine de gestion et un domaine homologue existent et que la variable d'environnement CT_MANAGEMENT_SCOPE n'est pas définie. Dans ce cas, chlpracl –a s'exécute dans le domaine de gestion. Pour exécuter chlpracl –a dans le domaine homologue, vous devez définir CT_MANAGEMENT_SCOPE sur 2.

-b

Ignore la liste de contrôle d'accès pour la ressource LP spécifiée. La liste de contrôle d'accès partagée de la ressource est utilisée pour le contrôle d'accès de cette ressource PL. Toutes les entrées de la liste de contrôle d'accès de la ressource sont supprimées.

-B

Ignore les listes de contrôle d'accès pour toutes les ressources PL. La liste de contrôle d'accès partagée des ressources est utilisée pour le contrôle d'accès de toutes les ressources PL. Toutes les entrées de liste de contrôle d'accès dans les listes de contrôle d'accès de ressource sont supprimées. Une liste de contrôle d'accès partagée de ressource existe pour chaque classe (ou noeud) IBM.LPCommands .

-d

Supprime l'entrée de liste de contrôle d'accès pour l'ID spécifié de la liste de contrôle d'accès de la ressource spécifiée.

--f nom_du_fichier

Indique que les accès sont spécifiés dans nom_fichier. Chaque ligne de ce fichier se compose d'un ID et de l'autorisation pour cet ID. Si l'indicateur -d est utilisé avec l'indicateur -f , seul l'ID est requis sur chaque ligne. Tout ce qui suit le premier espace est ignoré.

-l

Indique qu'il existe une liste d'ID suivie d'un droit unique utilisé pour tous les ID.

--n host1[host2,...]

Indique les noeuds du domaine sur lesquels la liste de contrôle d'accès de la ressource doit être modifiée. Par défaut, la liste de contrôle d'accès de la ressource est modifiée sur le noeud local. Cet indicateur est valide uniquement dans un domaine de gestion ou un domaine homologue. Si CT_MANAGEMENT_SCOPE n'est pas défini, la portée du domaine de gestion est d'abord choisie si elle existe, puis la portée du domaine homologue est choisie si elle existe, puis la portée locale est choisie, jusqu'à ce que la portée soit valide pour la commande. La commande s'exécute une seule fois pour la première portée valide trouvée.

-o

Indique que les accès à la liste de contrôle d'accès spécifiée écrasent toutes les entrées de liste de contrôle d'accès existantes pour la liste de contrôle d'accès de ressource spécifiée. Toutes les entrées de la liste de contrôle d'accès de la ressource sont supprimées.

-r

Indique que ressource est un descripteur de ressource RSCT "standard". Le descripteur de ressource doit être placé entre guillemets. La liste de contrôle d'accès de la ressource du descripteur de ressource est modifiée.

-x

Définit la liste de contrôle d'accès aux ressources pour la ressource PL spécifiée afin de refuser tous les accès à la ressource PL. Toutes les entrées de la liste de contrôle d'accès de la ressource sont supprimées.

-X

Définit la liste de contrôle d'accès aux ressources de toutes les ressources PL pour refuser tous les accès à la ressource PL. Toutes les entrées de liste de contrôle d'accès dans les listes de contrôle d'accès de ressource sont supprimées.

-h

Ecrit l'instruction de syntaxe de la commande dans la sortie standard.

-T

Ecrit les messages de trace de la commande dans l'erreur standard.

-V

Ecrit les messages prolixes de la commande dans la sortie standard.

Paramètres

ressource

Indique le nom de la ressource PL pour laquelle la liste de contrôle d'accès de la ressource est modifiée.

Id

Indique l'identité réseau de l'utilisateur. Si le même ID est répertorié plusieurs fois, le dernier droit spécifié est utilisé. Pour une description du mode de spécification de l'identité réseau, voir le fichier d'informations lpacl .

perm

Indique les droits autorisés pour ID. perm est spécifié sous la forme d'une chaîne d'un ou de plusieurs caractères, où chaque caractère représente une autorisation particulière. Les valeurs admises pour perm sont les suivantes:

r: Droit de lecture (comprend les droits q, l, eet v )
w: Droit d'accès en écriture (comprend les droits d, c, set o )
a: Droits d'administrateur
x: Droit d'exécution
q: Droit d'interrogation
l: Droits d'énumération
e: Droit d'accès aux événements
v: Valider le droit
d: Définir et annuler la définition des droits
c: Actualiser le droit
s: Définir les droits
o: Autorisation en ligne, hors ligne et réinitialisation
0: Aucun droit

Consultez le fichier d'informations lpacl pour obtenir une description de chaque droit d'accès et savoir comment il s'applique.

Security

Pour exécuter la commande chlpracl , vous devez:

droit de lecture dans la liste de contrôle d'accès aux classes de la classe de ressources IBM.LPCommands .
droits de lecture et d'administrateur dans la liste de contrôle d'accès aux ressources.
Comme alternative, la liste de contrôle d'accès de la ressource peut diriger l'utilisation de la liste de contrôle d'accès partagée de la ressource si ces droits existent dans la liste de contrôle d'accès partagée de la ressource.

Les droits sont spécifiés dans les listes de contrôle d'accès LP sur le système contacté. Voir le fichier d'informations lpacl pour obtenir des informations générales sur les listes de contrôle d'accès LP et le manuel RSCT-Guide d'administration pour obtenir des informations sur la modification des listes.

Statut de sortie

0: L'exécution de la commande a abouti.
1: Une erreur s'est produite avec RMC.
2: Une erreur s'est produite avec le script de l'interface de ligne de commande (CLI).
3: Un indicateur incorrect a été spécifié sur la ligne de commande.
4: Un paramètre incorrect a été indiqué sur la ligne de commande.
5: Une erreur s'est produite avec la connexion RMC basée sur une entrée de ligne de commande incorrecte.
6: La ressource est introuvable.

Variables d'environnement

CT_CONTACT

Détermine le système sur lequel se produit la session avec le démon RMC (Resource Monitoring and Control). Lorsque CT_CONTACT est défini sur un nom d'hôte ou une adresse IP, la commande contacte le démon RMC sur l'hôte spécifié. Si CT_CONTACT n'est pas défini, la commande contacte le démon RMC sur le système local sur lequel la commande est exécutée. La cible de la session du démon RMC et la portée de la gestion déterminent les classes de ressources ou les ressources qui sont traitées.

CT_IP_AUTHENT

Lorsque la variable d'environnement CT_IP_AUTHENT existe, le démon RMC utilise l'authentification réseau IP pour contacter le démon RMC sur le système spécifié par l'adresse IP à laquelle la variable d'environnement CT_CONTACT est définie. CT_IP_AUTHENT n'a de signification que si CT_CONTACT est défini sur une adresse IP ; il ne repose pas sur le service DNS (Domain Name System).

CT_PORT_GESTION

Détermine la portée de gestion utilisée pour la session avec le démon RMC lors du traitement des ressources du gestionnaire de ressources de droits d'accès minimal (LP). La portée de gestion détermine l'ensemble de noeuds cible possibles où les ressources peuvent être traitées. Les valeurs admises sont les suivantes :

0: Indique la portée locale .
1: Indique la portée locale .
2: Indique la portée du domaine homologue .
3: Indique la portée du domaine de gestion .

Si cette variable d'environnement n'est pas définie, la portée locale est utilisée, sauf si l'indicateur -a ou l'indicateur -n est spécifié.

Caractéristiques de mise en oeuvre

Cette commande fait partie du jeu de fichiers Reliable Scalable Cluster Technology (RSCT) pour AIX.

Sortie standard

Lorsque l'indicateur -h est spécifié, l'instruction de syntaxe de cette commande est écrite dans la sortie standard. Lorsque l'indicateur -V est spécifié, les messages prolixes de cette commande sont écrits dans la sortie standard.

Erreur standard

Tous les messages de trace sont écrits dans l'erreur standard.

Exemples

Pour donner à l'utilisateur joe sur nodeA la possibilité d'exécuter la commande LP lpcommand1 sur nodeA, exécutez l'une des commandes suivantes sur nodeA:
```
chlpracl lpcommand1 joe@NODEID  x

chlpracl lpcommand1 joe@LOCALHOST  x 
```
nodeA et nodeB se trouvent dans un domaine homologue. Pour donner à l'utilisateur joe sur nodeB la possibilité d'exécuter la commande LP lpcommand1 sur nodeB, exécutez cette commande sur nodeA:
```
chlpracl -n nodeB lpcommand1 joe@LOCALHOST  x
```
Dans cet exemple, la spécification de joe@NODEID au lieu de joe@LOCALHOST donne à joe sur nodeA la possibilité d'exécuter la commande LP lpcommand1 sur nodeB.
Pour accorder à l'utilisateur joe sur nodeA le droit d'exécution sur la commande LP lpcommand1 et bill sur nodeA le droit d'administrateur et le droit d'écriture sur la même ressource sur nodeA, exécutez la commande suivante sur nodeA:
```
chlpracl lpcommand1 joe@LOCALHOST  x  bill@LOCALHOST  wa
```
Pour accorder à l'utilisateur joe sur nodeA le droit d'administrateur sur la commande LP lpcommand1 sur nodeA, en écrasant les listes de contrôle d'accès en cours pour lpcommand1 de sorte qu'il s'agit du seul accès autorisé, exécutez cette commande sur nodeA:
```
chlpracl -o lpcommand1 joe@LOCALHOST x
```
Pour donner aux utilisateurs joe, billet jane sur nodeA la possibilité d'exécuter la commande LP lpcommand1 sur nodeA, exécutez cette commande sur nodeA:
```
chlpracl lpcommand1 -l joe@LOCALHOST  bill@LOCALHOST  jane@LOCALHOST  x
```
Pour supprimer l'accès pour joe sur nodeA à partir des listes de contrôle d'accès de la commande LP lpcommand1 sur nodeA, exécutez cette commande sur nodeA:
```
chlpracl -d lpcommand1 joe@LOCALHOST
```
Pour ajouter une liste d'accès qui se trouvent dans un fichier nommé /mysecure/aclfile sur nodeA à la commande LP lpcommand1 sur nodeA, exécutez cette commande sur nodeA:
```
chlpracl -f /mysecure/aclfile lpcommand1  
```
Le contenu de /mysecure/aclfile sur nodeA peut être:
```
joe@LOCALHOST	  		x
bill@LOCALHOST                   ax
jane@LOCALHOST		 	wx
```
Pour ignorer la liste de contrôle d'accès à la ressource pour la commande LP lpcommand1 sur nodeAet utiliser la liste de contrôle d'accès à la ressource partagée pour contrôler l'accès à celle-ci, exécutez la commande suivante sur nodeA:
```
chlpracl -b lpcommand1 	
```
Pour ignorer les listes de contrôle d'accès aux ressources pour toutes les ressources LP sur nodeAet utiliser la liste de contrôle d'accès aux ressources partagées pour contrôler les accès, exécutez la commande suivante sur nodeA:
```
chlpracl -B 	
```
Pour refuser tous les accès à la commande LP lpcommand1 sur nodeA, exécutez cette commande sur nodeA:
```
chlpracl -x lpcommand1
```

Emplacement

/opt/rsct/bin/chlpracl: Contient la commande chlpracl