역할 파일
용도
올바른 역할 목록을 포함합니다.
설명
/etc/security/roles 파일에는 유효한 역할 목록이 포함되어 있습니다. 이 파일은 각 시스템 역할에 대한 스탠자를 포함하는 ASCII 파일입니다. 각 스탠자는 역할 이름 다음에: (콜론) 으로 식별되며 Attribute = Value양식의 속성을 포함합니다. 각 속성 쌍은 각 스탠자와 마찬가지로 줄 바꾸기 문자로 끝납니다.
파일은 기본 스탠자를 지원합니다. 속성이 정의되지 않은 경우, id 속성의 경우를 제외하고 속성의 기본값이 사용됩니다. id 속성을 지정해야 하며 파일의 각 역할에 대해 고유해야 합니다.
스탠자에는 다음 속성이 포함됩니다.
| 속성 | 설명 |
|---|---|
| rolelist | 이 역할이 내포하는 역할 목록을 포함하며 역할이 수퍼 역할로 작동할 수 있도록 합니다. rolelist 속성에 "role1,role2" 값이 포함된 경우,rolerole1 및 role2 의 역할을 해당 사용자에게 지정합니다. |
| authorizations | 이 특정 역할에 대해 사용자가 획득한 추가 권한 목록을 포함합니다. |
| 그룹 | 이 역할을 효과적으로 사용하기 위해 사용자가 속해야 하는 그룹 목록을 포함합니다. 이 역할을 적용하려면 이 목록의 각 그룹에 사용자를 추가해야 합니다. |
| 화면 | 역할이 다양한 SMIT 화면에 맵핑될 수 있도록 하는 SMIT 화면 ID의 목록을 포함합니다. 이 속성의 기본값은 * (모든 화면) 입니다. |
| 메시지 표시 (msgcat) | 시스템 역할의 한 행 설명을 포함하는 메시지 카탈로그의 파일 이름을 포함합니다. |
| 메시지 번호 | 메시지 카탈로그에서 이 역할 설명을 검색하는 메시지 ID를 포함합니다. |
| id | 역할에 대한 고유 숫자 ID를 지정합니다. 이는 시스템이 확장 RBAC 모드인 경우 필수 속성입니다. 이는 보안 의사결정을 위해 내부적으로 사용됩니다. 역할을 작성한 후에는 역할 ID를 수정하지 마십시오. |
| dfltmsg (dfltmsg) | 메시지 카탈로그를 사용하지 않는 경우 기본 역할 설명 텍스트를 포함합니다. |
| 메시지 세트 | 메시지 카탈로그의 역할 설명을 포함하는 메시지 세트를 포함합니다. |
| auth_mode | 시스템이 확장 역할 기반 액세스 제어 ( RBAC) 모드에 있을 때 swrole 명령을 사용하여 역할을 가정할 때 인증 모드를 지정합니다. 유효값은 다음과 같습니다.
|
| 호스트 가능한 드로일 (hostsenabledrole) | setkst 명령을 사용하여 커널 역할 테이블에서 역할 정의를 다운로드할 수 있는 호스트를 지정합니다. 이 속성은 여러 호스트에서 역할 속성을 공유하는 네트워크로 연결된 환경에서 사용되도록 의도되었습니다. |
| 호스트 사용 불가능한 제거 | 호스트가 setkst 명령을 사용하여 커널 역할 테이블에서 역할 정의를 다운로드할 수 없도록 지정합니다. 이 속성은 여러 호스트에서 역할 속성을 공유하는 네트워크로 연결된 환경에서 사용되도록 의도되었습니다. |
역할 파일 변경
/etc/security/roles 파일을 직접 편집하지 마십시오. 다음 명령을 사용하여 역할 데이터베이스를 조작하십시오.
- chrole
- lsrole
- mkrole
- rmrole
mkrole 명령은 /etc/security/roles 파일에 각 새 역할에 대한 항목을 작성합니다. 속성값을 변경하려면 chrole 명령을 사용하십시오. 속성 및 해당 값을 표시하려면 lsrole 명령을 사용하십시오. 역할을 제거하려면 rmrole 명령을 사용하십시오.
시스템이 향상된 RBAC 모드에서 작동 중인 경우, roles 파일에 대한 변경사항은 전체 역할 데이터베이스가 setkst 명령을 통해 커널 보안 테이블로 전송되거나 시스템이 재부팅될 때까지 보안 고려사항에 영향을 주지 않습니다.
/etc/security/roles 파일의 속성에 영향을 주는 프로그램을 작성하려면 관련 정보에 나열된 서브루틴을 사용하십시오.
보안
루트 사용자 및 보안 그룹이 이 파일을 소유합니다. 루트 사용자에게는 읽기 및 쓰기 액세스 권한이 부여되고 보안 그룹의 구성원에게는 읽기 액세스 권한이 부여됩니다. 다른 사용자 및 그룹에 대한 액세스는 시스템의 보안 정책에 따라 다릅니다.
예
일반적인 스탠자는 다음 예제와 유사합니다.ManageAllUsers역할:
ManageAllUsers: id = 110
dfltmsg = "Manage all users"
rolelist = ManageBasicUsers
authorizations = UserAdmin,RoleAdmin,PasswdAdmin,GroupAdmin
groups = security
screens = mkuser,rmuser,!tcpip파일
| 항목 | 설명 |
|---|---|
| /etc/security/roles | 올바른 역할 목록을 포함합니다. |
| /etc/security/user.roles | 각 사용자의 역할 목록을 포함합니다. |
| /etc/security/smitacl.group | 그룹 ACL 정의를 포함합니다. |
| /etc/security/smitacl.user | 사용자 ACL 정의를 포함합니다. |