chrole コマンド

目的

ロール属性を変更します。

構文

chrole [-R load_module] Attribute=Value ... Name

説明

chrole コマンドは、 Name パラメーターによって識別されるロールの属性を変更します。 このロール名は、既に存在するものでなければなりません。 属性を変更するには、属性名と新しい値に Attribute=Value パラメーターを付けて指定してください。

chrole コマンドで正しくない属性または属性値を 1 つ指定すると、コマンドは属性を変更しません。

このコマンドは、System Management Interface Tool (SMIT) smit chrole 高速パスを使用して実行することもできます。

ロール・データベースに対して複数のドメインを使用するようにシステムが構成されている場合、 /etc/nscontrol.conf ファイルのロール・データベース・スタンザの secorder 属性に指定された順序に従って、 ロールの変更が行われます。 最初に一致したロールのみが変更されます。 残りのドメインからの重複するロールは、変更されません。 特定のドメインからのロールを変更するには、-R フラグを使用します。

システムが拡張Role Based Access Control (RBAC) モードで作動している場合、 ロール・データベースに対して行われた変更は、 setkst コマンドを使用してデータベースがカーネル・セキュリティー・テーブルに送られるまで、 セキュリティー上の考慮事項として使用されません。

フラグ

項目 説明
-R load_module ロールの変更に使用するロード可能モジュールを指定します。

属性

適切な権限を持っている場合には、以下のユーザー属性を設定できます。

項目 説明
auditclasses ロールの監査クラスのリスト。 Value パラメーターは、コンマで区切られたクラスのリスト、あるいはすべての監査クラスを示す値 ALL です。
auth_mode swrole コマンドが使用された場合にロールを引き受けるために必要な認証を指定します。 次の値を指定できます。
NONE
認証は不要です。
INVOKER
ロールを引き受けるためには、swrole コマンドの呼び出し側がそれ自体のパスワードを入力する必要があります。 INVOKER 値がデフォルト値です。
authorizations rolelist 属性のロールで定義されている権限を超えた属性のロールに必要な追加権限のリスト。 Value パラメーターは、権限名のリストであり、権限名はそれぞれコンマで区切られています。
dfltmsg メッセージ・カタログを使用していない場合に使用する、デフォルトのロール記述テキストが入っています。
groups このロールを有効に使用するためにユーザーが属している必要のあるグループのリスト。この属性は、情報提供のみであり、当該ユーザーを自動的にグループの表示のメ ンバーにするものではありません。Value パラメーターは、グループ名の表示であり、グループ名はそれぞれコンマで区切られています。
hostsenabledrole setkst コマンドを使用してロール定義をカーネル・ロール・テーブルにダウンロードできるホストを指定します。この属性は、ロール属性が複数のホストによって共用されるネットワーク環境で使用する必要があります。
hostsdisabledrole setkst コマンドを使用してロール定義をカーネル・ロール・テーブルにダウンロードできないホストを指定します。 この属性は、ロール属性が複数のホストによって共用されるネットワーク環境で使用されることを目的としています。
id ロールに対する固有の数字の ID を指定します。id 属性を指定する必要があります。

重要: ロールをユーザーに割り当てた後で、この属性値を変更しないでください。

msgcat システム・ロールの 1 行の説明を保持するメッセージ・カタログのファイル名が入っています。 Value パラメーターは文字列です。
msgnum ロールの記述用のメッセージ・カタログに入れる索引が入っています。 Value パラメーターは整数です。
msgset メッセージ・カタログ内のロール記述を含むメッセージ設定が入っています。
rolelist このロールが意味するロールを表示します。Value パラメーターは、ロール名のリストであり、ロール名はそれぞれコンマで区切られています。

-R フラグと一緒に指定されると、nscontrol.conf ファイル内のロール・スタンザは -R フラグによってオーバーライドされます。
screens 各種の SMIT 画面にロールをマップできるようにする SMIT 画面 ID を表示します。Value パラメーターは、SMIT 画面 ID のリストであり、ID はそれぞれコンマで区切られています。
visibility システムに対するロールの可視性状況を指定します。 Value パラメーターは整数です。使用できる値は、次のとおりです。
1
ロールは、使用可能であり、表示され、しかも選択可能です。このロールに含まれている権限は、ユーザーに適用されます。 当該属性が存在しなかったり、値が入っていない場合、デフォルトの値は 1 です。
0
ロールは、使用可能で、存在するとおりに表示されますが、ビジュアル・インターフェースでは選択できません。このロールに含まれている権限は、ユーザーに適用されます。
-1
ロールは使用不可です。このロールに含まれている権限は、ユーザーに適用 されません

セキュリティー

chrole コマンドは特権コマンドです。 このコマンドを正常に実行するには、実行するユーザーが、次の権限を持つロールを引き受ける必要があります。
項目 説明
aix.security.role.change コマンドを実行する場合に必要です。

監査イベント

イベント 情報
ROLE_Change ロール、属性

アクセスするファイル

モード ファイル
rw /etc/security/roles
r /etc/security/user.roles

RBAC ユーザーと Trusted AIX® ユーザーへの注意: このコマンドは特権命令を実行できます。特権命令を実行できるのは特権ユーザーのみです。 権限および特権の詳細情報については、「セキュリティー」の『特権コマンド・データベース』を参照してください。このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。

  1. ManagePasswds ロールの権限を aix.security.passwd に変更するには、 次のコマンドを使用します。 
    chrole authorizations=aix.security.passwd ManagePasswds
  2. LDAP の ManagePasswds ロールの権限を aix.security.passwd に変更するには、 次のコマンドを使用します。 
    chrole -R LDAP authorizations=aix.security.passwd ManagePasswds

ファイル

項目 説明
/etc/security/roles ロールの属性が入っています。
/etc/security/user.roles ユーザーのロール属性が入っています。