chrole コマンド
目的
ロール属性を変更します。
構文
chrole [-R load_module] Attribute=Value ... Name
説明
chrole コマンドは、 Name パラメーターによって識別されるロールの属性を変更します。 このロール名は、既に存在するものでなければなりません。 属性を変更するには、属性名と新しい値に Attribute=Value パラメーターを付けて指定してください。
chrole コマンドで正しくない属性または属性値を 1 つ指定すると、コマンドは属性を変更しません。
このコマンドは、System Management Interface Tool (SMIT) smit chrole 高速パスを使用して実行することもできます。
ロール・データベースに対して複数のドメインを使用するようにシステムが構成されている場合、 /etc/nscontrol.conf ファイルのロール・データベース・スタンザの secorder 属性に指定された順序に従って、 ロールの変更が行われます。 最初に一致したロールのみが変更されます。 残りのドメインからの重複するロールは、変更されません。 特定のドメインからのロールを変更するには、-R フラグを使用します。
システムが拡張Role Based Access Control (RBAC) モードで作動している場合、 ロール・データベースに対して行われた変更は、 setkst コマンドを使用してデータベースがカーネル・セキュリティー・テーブルに送られるまで、 セキュリティー上の考慮事項として使用されません。
フラグ
項目 | 説明 |
---|---|
-R load_module | ロールの変更に使用するロード可能モジュールを指定します。 |
属性
適切な権限を持っている場合には、以下のユーザー属性を設定できます。
項目 | 説明 |
---|---|
auditclasses | ロールの監査クラスのリスト。 Value パラメーターは、コンマで区切られたクラスのリスト、あるいはすべての監査クラスを示す値 ALL です。 |
auth_mode | swrole コマンドが使用された場合にロールを引き受けるために必要な認証を指定します。
次の値を指定できます。
|
authorizations | rolelist 属性のロールで定義されている権限を超えた属性のロールに必要な追加権限のリスト。 Value パラメーターは、権限名のリストであり、権限名はそれぞれコンマで区切られています。 |
dfltmsg | メッセージ・カタログを使用していない場合に使用する、デフォルトのロール記述テキストが入っています。 |
groups | このロールを有効に使用するためにユーザーが属している必要のあるグループのリスト。この属性は、情報提供のみであり、当該ユーザーを自動的にグループの表示のメ ンバーにするものではありません。Value パラメーターは、グループ名の表示であり、グループ名はそれぞれコンマで区切られています。 |
hostsenabledrole | setkst コマンドを使用してロール定義をカーネル・ロール・テーブルにダウンロードできるホストを指定します。この属性は、ロール属性が複数のホストによって共用されるネットワーク環境で使用する必要があります。 |
hostsdisabledrole | setkst コマンドを使用してロール定義をカーネル・ロール・テーブルにダウンロードできないホストを指定します。 この属性は、ロール属性が複数のホストによって共用されるネットワーク環境で使用されることを目的としています。 |
id | ロールに対する固有の数字の ID を指定します。id 属性を指定する必要があります。
重要: ロールをユーザーに割り当てた後で、この属性値を変更しないでください。 |
msgcat | システム・ロールの 1 行の説明を保持するメッセージ・カタログのファイル名が入っています。 Value パラメーターは文字列です。 |
msgnum | ロールの記述用のメッセージ・カタログに入れる索引が入っています。 Value パラメーターは整数です。 |
msgset | メッセージ・カタログ内のロール記述を含むメッセージ設定が入っています。 |
rolelist | このロールが意味するロールを表示します。Value パラメーターは、ロール名のリストであり、ロール名はそれぞれコンマで区切られています。
-R フラグと一緒に指定されると、nscontrol.conf ファイル内のロール・スタンザは -R フラグによってオーバーライドされます。 |
screens | 各種の SMIT 画面にロールをマップできるようにする SMIT 画面 ID を表示します。Value パラメーターは、SMIT 画面 ID のリストであり、ID はそれぞれコンマで区切られています。 |
visibility | システムに対するロールの可視性状況を指定します。
Value パラメーターは整数です。使用できる値は、次のとおりです。
|
セキュリティー
項目 | 説明 |
---|---|
aix.security.role.change | コマンドを実行する場合に必要です。 |
監査イベント
イベント | 情報 |
---|---|
ROLE_Change | ロール、属性 |
アクセスするファイル
モード | ファイル |
---|---|
rw | /etc/security/roles |
r | /etc/security/user.roles |
RBAC ユーザーと Trusted AIX® ユーザーへの注意: このコマンドは特権命令を実行できます。特権命令を実行できるのは特権ユーザーのみです。 権限および特権の詳細情報については、「セキュリティー」の『特権コマンド・データベース』を参照してください。このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。
例
- ManagePasswds ロールの権限を aix.security.passwd に変更するには、
次のコマンドを使用します。
chrole authorizations=aix.security.passwd ManagePasswds
- LDAP の ManagePasswds ロールの権限を aix.security.passwd に変更するには、
次のコマンドを使用します。
chrole -R LDAP authorizations=aix.security.passwd ManagePasswds
ファイル
項目 | 説明 |
---|---|
/etc/security/roles | ロールの属性が入っています。 |
/etc/security/user.roles | ユーザーのロール属性が入っています。 |