Commande chlprsacl

Objectif

Modifie les contrôles d'accès pour la liste de contrôle d'accès partagée des ressources les moins privilégiées (LP).

Syntaxe

Pour ajouter un ou plusieurs accès à la liste de contrôle d'accès partagée de ressources ou pour remplacer la liste de contrôle d'accès partagée de ressources par un ou plusieurs accès:

chlprsacl [ -a | -n hôte1[,hôte2,... ] ] [-o] [-h] [-TV] ID_1 perm1 [ID_2 perm2] …

Pour ajouter un ou plusieurs accès à la liste de contrôle d'accès partagée de ressources ou pour remplacer la liste de contrôle d'accès partagée de ressources par un ou plusieurs accès utilisant tous les mêmes droits:

chlprsacl [ -a | -n hôte1[,hôte2,... ] ] -l [-o] [-h] [-TV] ID_1 [ID_2... ] perm

Pour supprimer un ou plusieurs accès de la liste de contrôle d'accès partagée des ressources:

chlprsacl [ -a | -n hôte1[,hôte2,... ] ] -d [-h] [-TV] ID_1 [ID_2... ]

Pour ajouter ou supprimer des accès à la liste de contrôle d'accès partagée de la ressource ou pour remplacer la liste de contrôle d'accès partagée de la ressource par les accès spécifiés dans un fichier:

chlprsacl [ -a | -n hôte1[,hôte2,... ] ] [ -o | -d ] -f nom_fichier [-h] [-TV]

Pour définir la liste de contrôle d'accès partagée des ressources de sorte qu'aucune autorisation ne soit autorisée:

chlprsacl [ -a | -n hôte1[,hôte2,... ] ] -x [-h] [-TV]

Descriptif

La commande chlprsacl modifie la liste de contrôle d'accès (ACL) associée à la liste de contrôle d'accès partagée des ressources. Cette commande permet d'ajouter ou de supprimer un utilisateur de la liste de contrôle d'accès partagée des ressources. Cette liste de contrôle d'accès:

est utilisé pour contrôler les accès aux ressources LP lorsque la liste de contrôle d'accès de la ressource indique qu'elle (la liste de contrôle d'accès partagée de la ressource) a le contrôle
peut contrôler l'accès à une ou plusieurs ressources PL
peut se composer d'entrées de liste de contrôle d'accès qui définissent les droits d'accès aux ressources PL

Une liste de contrôle d'accès partagée de ressource existe sur chaque noeud pour la classe IBM.LPCommands .

La commande chlpracl permet d'indiquer que l'accès à une ressource LP est contrôlé par la liste de contrôle d'accès partagée de ressource. La commande chlpriacl permet d'indiquer que les accès aux ressources LP nouvellement créées sont contrôlés par la liste de contrôle d'accès partagée des ressources, en modifiant la liste de contrôle d'accès initiale des ressources.

Pour ajouter des accès à la liste de contrôle d'accès partagée de ressources, indiquez l'ID et les droits dont l'ID doit disposer. Plusieurs paires d'ID et de droits peuvent être spécifiées. Si vous souhaitez ajouter plusieurs ID et qu'ils possèdent tous les mêmes droits, utilisez l'indicateur -l pour indiquer que le format de la commande est une liste d'ID suivie d'un droit unique qui s'applique à tous les ID. Si vous utilisez l'indicateur -o , les ID et les droits spécifiés avec la commande écraseront les accès existants. Les accès définis précédemment dans la liste de contrôle d'accès sont supprimés.

Pour supprimer des accès de la liste de contrôle d'accès partagée des ressources, utilisez l'indicateur -d et spécifiez les ID à supprimer.

Utilisez l'indicateur -f pour indiquer que les accès sont spécifiés dans un fichier. Chaque ligne du fichier sera un ID et une autorisation pour cet ID. Si l'indicateur -d est utilisé avec l'indicateur -f , seul l'ID est requis sur chaque ligne. Tout ce qui suit le premier espace est ignoré.

Cette commande s'exécute sur n'importe quel noeud. Si vous souhaitez que cette commande s'exécute sur tous les noeuds d'un domaine, utilisez l'indicateur -a . Si vous souhaitez que cette commande s'exécute sur un sous-ensemble de noeuds d'un domaine, utilisez l'indicateur -n . Sinon, cette commande s'exécute sur le noeud local.

Indicateurs

-a

Modifie les listes de contrôle d'accès partagées de ressources sur tous les noeuds du domaine. Le paramètre de la variable d'environnement CT_MANAGEMENT_SCOPE détermine la portée du cluster. Si CT_MANAGEMENT_SCOPE n'est pas défini, le gestionnaire de ressources PL utilise les paramètres de portée dans l'ordre suivant:

Le domaine de gestion, s'il existe
Le domaine homologue, s'il existe
Portée locale

La commande chlprsacl s'exécute une fois pour la première portée valide trouvée par le gestionnaire de ressources LP. Par exemple, supposons qu'un domaine de gestion et un domaine homologue existent et que la variable d'environnement CT_MANAGEMENT_SCOPE n'est pas définie. Dans ce cas, chlprsacl –a s'exécute dans le domaine de gestion. Pour exécuter chlprsacl –a dans le domaine homologue, vous devez définir CT_MANAGEMENT_SCOPE sur 2.

-d

Supprime l'entrée de liste de contrôle d'accès pour l'ID spécifié de la liste de contrôle d'accès partagée de la ressource.

--f nom_du_fichier

Indique que les accès sont spécifiés dans nom_fichier. Chaque ligne de ce fichier se compose d'un ID et de l'autorisation pour cet ID. Si l'indicateur -d est utilisé avec l'indicateur -f , seul l'ID est requis sur chaque ligne. Tout ce qui suit le premier espace est ignoré.

-l

Indique qu'il existe une liste d'ID suivie d'un droit unique utilisé pour tous les ID.

--n host1[host2,...]

Indique le noeud du domaine sur lequel la liste de contrôle d'accès partagée des ressources doit être modifiée. Par défaut, la liste de contrôle d'accès partagée des ressources est modifiée sur le noeud local. Cet indicateur est valide uniquement dans un domaine de gestion ou un domaine homologue. Si CT_MANAGEMENT_SCOPE n'est pas défini, la portée du domaine de gestion est d'abord choisie si elle existe, puis la portée du domaine homologue est choisie si elle existe, puis la portée locale est choisie, jusqu'à ce que la portée soit valide pour la commande. La commande s'exécute une seule fois pour la première portée valide trouvée.

-o

Indique que les entrées de liste de contrôle d'accès spécifiées écrasent toutes les entrées de liste de contrôle d'accès existantes pour la liste de contrôle d'accès partagée de ressource. Toutes les entrées de liste de contrôle d'accès de la liste de contrôle d'accès partagée de la ressource sont supprimées.

-x

Définit la liste de contrôle d'accès partagée des ressources pour refuser tous les accès aux ressources PL qui utilisent la liste de contrôle d'accès partagée des ressources. Toutes les entrées de liste de contrôle d'accès de la liste de contrôle d'accès partagée de la ressource sont supprimées.

-h

Ecrit l'instruction de syntaxe de la commande dans la sortie standard.

-T

Ecrit les messages de trace de la commande dans l'erreur standard.

-V

Ecrit les messages prolixes de la commande dans la sortie standard.

Paramètres

Id

Indique l'identité réseau de l'utilisateur. Si le même ID est répertorié plusieurs fois, le dernier droit spécifié est utilisé. Pour une description du mode de spécification de l'identité réseau, voir le fichier d'informations lpacl .

perm

Indique les droits autorisés pour ID. perm est spécifié sous la forme d'une chaîne d'un ou de plusieurs caractères, où chaque caractère représente une autorisation particulière. Les valeurs admises pour perm sont les suivantes:

r: Droit de lecture (comprend les droits q, l, eet v )
w: Droit d'accès en écriture (comprend les droits d, c, set o )
a: Droits d'administrateur
x: Droit d'exécution
q: Droit d'interrogation
l: Droits d'énumération
e: Droit d'accès aux événements
v: Valider le droit
d: Définir et annuler la définition des droits
c: Actualiser le droit
s: Définir les droits
o: Autorisation en ligne, hors ligne et réinitialisation
0: Aucun droit

Consultez le fichier d'informations lpacl pour obtenir une description de chaque droit d'accès et savoir comment il s'applique.

Security

Pour exécuter la commande chlprsacl , vous devez disposer des droits de lecture et d'administrateur dans la liste de contrôle d'accès aux classes de la classe de ressources IBM.LPCommands . Les droits sont spécifiés dans les listes de contrôle d'accès LP sur le système contacté. Voir le fichier d'informations lpacl pour obtenir des informations générales sur les listes de contrôle d'accès LP et le manuel RSCT-Guide d'administration pour obtenir des informations sur la modification des listes.

Statut de sortie

0: L'exécution de la commande a abouti.
1: Une erreur s'est produite avec RMC.
2: Une erreur s'est produite avec le script de l'interface de ligne de commande (CLI).
3: Un indicateur incorrect a été spécifié sur la ligne de commande.
4: Un paramètre incorrect a été indiqué sur la ligne de commande.
5: Une erreur s'est produite avec la connexion RMC basée sur une entrée de ligne de commande incorrecte.
6: La ressource est introuvable.

Variables d'environnement

CT_CONTACT

Détermine le système sur lequel se produit la session avec le démon RMC (Resource Monitoring and Control). Lorsque CT_CONTACT est défini sur un nom d'hôte ou une adresse IP, la commande contacte le démon RMC sur l'hôte spécifié. Si CT_CONTACT n'est pas défini, la commande contacte le démon RMC sur le système local sur lequel la commande est exécutée. La cible de la session du démon RMC et la portée de la gestion déterminent les classes de ressources ou les ressources qui sont traitées.

CT_IP_AUTHENT

Lorsque la variable d'environnement CT_IP_AUTHENT existe, le démon RMC utilise l'authentification réseau IP pour contacter le démon RMC sur le système spécifié par l'adresse IP à laquelle la variable d'environnement CT_CONTACT est définie. CT_IP_AUTHENT n'a de signification que si CT_CONTACT est défini sur une adresse IP ; il ne repose pas sur le service DNS (Domain Name System).

CT_PORT_GESTION

Détermine la portée de gestion utilisée pour la session avec le démon RMC lors du traitement des ressources du gestionnaire de ressources de droits d'accès minimal (LP). La portée de gestion détermine l'ensemble de noeuds cible possibles où les ressources peuvent être traitées. Les valeurs admises sont les suivantes :

0: Indique la portée locale .
1: Indique la portée locale .
2: Indique la portée du domaine homologue .
3: Indique la portée du domaine de gestion .

Si cette variable d'environnement n'est pas définie, la portée locale est utilisée, sauf si l'indicateur -a ou l'indicateur -n est spécifié.

Caractéristiques de mise en oeuvre

Cette commande fait partie du jeu de fichiers Reliable Scalable Cluster Technology (RSCT) pour AIX.

Sortie standard

Lorsque l'indicateur -h est spécifié, l'instruction de syntaxe de cette commande est écrite dans la sortie standard. Lorsque l'indicateur -V est spécifié, les messages prolixes de cette commande sont écrits dans la sortie standard.

Erreur standard

Tous les messages de trace sont écrits dans l'erreur standard.

Exemples

Pour accorder à l'utilisateur joe sur nodeA le droit d'exécution dans la liste de contrôle d'accès partagé de ressource sur nodeA, exécutez l'une des commandes suivantes sur nodeA:
```
chlprsacl joe@NODEID  x

chlprsacl joe@LOCALHOST  x 
```
nodeA et nodeB se trouvent dans un domaine homologue. Pour accorder à l'utilisateur joe sur nodeB le droit d'exécution sur la liste de contrôle d'accès partagée des ressources sur nodeB, exécutez la commande suivante sur nodeA:
```
chlprsacl -n nodeB joe@LOCALHOST  x
```
Dans cet exemple, la spécification de joe@NODEID au lieu de joe@LOCALHOST donne à joe sur nodeA le droit d'exécution sur la liste de contrôle d'accès partagée de ressource sur nodeB.
Pour accorder à l'utilisateur joe sur nodeA le droit d'exécution et à bill sur nodeA le droit d'administrateur et le droit de lecture sur la liste de contrôle d'accès aux ressources partagées sur nodeA, exécutez la commande suivante sur nodeA:
```
chlprsacl joe@LOCALHOST  x  bill@LOCALHOST  ra	
```
Pour accorder à l'utilisateur joe sur nodeA le droit d'exécution sur la liste de contrôle d'accès partagée des ressources sur nodeA, en écrasant les listes de contrôle d'accès en cours de sorte qu'il s'agit du seul accès autorisé, exécutez la commande suivante sur nodeA:
```
chlprsacl -o joe@LOCALHOST x
```
Pour accorder aux utilisateurs joe, billet jane sur nodeA des droits d'accès en lecture et en écriture à la liste de contrôle d'accès aux ressources partagées sur nodeA sur nodeA, exécutez la commande suivante sur nodeA:
```
chlprsacl -l joe@LOCALHOST  bill@LOCALHOST jane@LOCALHOST  rw
```
Pour supprimer l'accès à joe sur nodeA à partir de la liste de contrôle d'accès partagé de ressource sur nodeA, exécutez la commande suivante sur nodeA:
```
chlprsacl -d  joe@LOCALHOST
```
Pour ajouter une liste d'accès qui se trouvent dans un fichier nommé /mysecure/aclfile sur nodeA à la liste de contrôle d'accès partagé de ressource sur nodeA, exécutez la commande suivante sur nodeA:
```
chlprsacl -f /mysecure/aclfile 
```
Le contenu de /mysecure/aclfile sur nodeA peut être:
```
joe@LOCALHOST	  		x
bill@LOCALHOST		 	rw
jane@LOCALHOST		 	rwa
```
Pour définir la liste de contrôle d'accès partagée des ressources sur nodeA de sorte qu'elle refuse tous les accès pour les ressources LP qui l'utilisent sur nodeA, exécutez la commande suivante sur nodeA:
```
chlprsacl -x
```

Emplacement

/opt/rsct/bin/chlprsacl: Contient la commande chlprsacl