Fichier de rôles

Editer en ligne

Objectif

Contient la liste des rôles valides.

Descriptif

Le fichier /etc/security/roles contient la liste des rôles valides. Il s'agit d'un fichier ASCII qui contient une strophe pour chaque rôle système. Chaque section est identifiée par un nom de rôle suivi d'un signe deux-points (:) et contient des attributs au format Attribut = Valeur. Chaque paire d'attributs se termine par un caractère de retour à la ligne, de même que chaque section.

Le fichier prend en charge une section par défaut. Si un attribut n'est pas défini, la valeur par défaut de l'attribut est utilisée, sauf dans le cas de l'attribut ID . L'attribut ID doit être spécifié et unique pour chaque rôle dans le fichier.

Une section contient les attributs suivants:

Attribut Descriptif
rolelist Contient une liste de rôles impliqués par ce rôle et permet à un rôle de fonctionner en tant que superrôle. Si l'attribut liste de rôles contient la valeur "role1,role2", l'affectationroleà un utilisateur affecte également les rôles de role1 et role2 à cet utilisateur.
Autorisations Contient la liste des autorisations supplémentaires acquises par l'utilisateur pour ce rôle spécifique.
Groupes Contient la liste des groupes auxquels un utilisateur doit appartenir afin d'utiliser efficacement ce rôle. L'utilisateur doit être ajouté à chaque groupe de cette liste pour que ce rôle soit effectif.
écrans Contient une liste d'identificateurs d'écran SMIT qui permettent de mapper un rôle à différents écrans SMIT. La valeur par défaut de cet attribut est * (tous les écrans).
msgcat Contient le nom de fichier du catalogue de messages qui contient les descriptions de ligne unique des rôles système.
msgNum Contient l'ID de message qui extrait cette description de rôle du catalogue de messages.
id Indique l'ID numérique unique pour le rôle. Il s'agit d'un attribut obligatoire lorsque le système est en mode RBAC amélioré. Il est utilisé en interne pour les décisions de sécurité. Ne modifiez pas l'ID de rôle après avoir créé le rôle.
dfltmsg Contient le texte de description de rôle par défaut si les catalogues de messages ne sont pas utilisés.
msgset Contient l'ensemble de messages qui contient la description du rôle dans le catalogue de messages.
modèle_auth Indique le mode d'authentification lorsque vous assurez le rôle à l'aide de la commande Swrole lorsque le système est en mode de contrôle d'accès basé sur les rôles ( RBAC) amélioré. Les valeurs admises sont les suivantes :
  • AUCUN -Aucune authentification n'est nécessaire.
  • Auteur de l'appel -Vous devez entrer votre propre mot de passe lors de l'appel de la commande Swrole . Il s'agit de la valeur par défaut.
rôle d'hôte Indique les hôtes qui peuvent télécharger la définition de rôle à partir de la table des rôles du noyau à l'aide de la commande setkst . Cet attribut est conçu pour être utilisé dans un environnement en réseau, dans lequel les attributs de rôle sont partagés par plusieurs hôtes.
rôle d'hôte désactivé Indique que les hôtes ne peuvent pas télécharger la définition de rôle à partir de la table des rôles du noyau à l'aide de la commande setkst . Cet attribut est conçu pour être utilisé dans un environnement en réseau, dans lequel les attributs de rôle sont partagés par plusieurs hôtes.
Pour une section standard, voir la section "Exemples".

Modification du fichier de rôles

N'éditez pas directement le fichier /etc/security/roles . Utilisez les commandes suivantes pour manipuler la base de données de rôles:

  • chrole
  • lsrole
  • mkrole
  • rmrole

La commande mkrole crée une entrée pour chaque nouveau rôle dans le fichier /etc/security/roles . Pour modifier les valeurs d'attribut, utilisez la commande chrole . Pour afficher les attributs et leurs valeurs, utilisez la commande lsrole . Pour supprimer un rôle, utilisez la commande rmrole .

Lorsque le système fonctionne en mode RBAC amélioré, les modifications apportées au fichier rôles n'ont pas d'impact sur les considérations de sécurité tant que la base de données des rôles complète n'a pas été envoyée aux tables de sécurité du noyau via la commande setkst ou tant que le système n'a pas été réamorcé.

Pour écrire des programmes qui affectent les attributs dans le fichier /etc/security/roles , utilisez les sous-programmes répertoriés dans la section Informations connexes.

Security

Le superutilisateur et le groupe de sécurité sont propriétaires de ce fichier. L'accès en lecture et en écriture est accordé à l'utilisateur root et l'accès en lecture aux membres du groupe de sécurité. L'accès des autres utilisateurs et groupes dépend de la stratégie de sécurité du système.

Exemples

Une strophe typique ressemble à l'exemple suivant pour leManageAllUsersRôle :

ManageAllUsers:
   id = 110
   dfltmsg = "Manage all users"
   rolelist = ManageBasicUsers
   authorizations = UserAdmin,RoleAdmin,PasswdAdmin,GroupAdmin
   groups = security
   screens = mkuser,rmuser,!tcpip

Fichiers

Article Descriptif
/etc/security/roles Contient la liste des rôles valides.
/etc/security/user.roles Contient la liste des rôles de chaque utilisateur.
/etc/security/smitacl.group Contient les définitions de liste de contrôle d'accès de groupe.
/etc/security/smitacl.user Contient les définitions de liste de contrôle d'accès utilisateur.