comando chlpclacl

Propósito

Altera os controles de acesso para a classe de recursos de menor privilégio (LP) (IBM.LPCommands).

Sintaxe

Para adicionar um ou mais acessos à ACL IBM.LPCommands Class ACL ou para sobrescrever a ACL de Classe IBM.LPCommands com um ou mais acessos:

chlpclacl [ -a | -n host1[,host2,...] ] [-o] [-h] [-TV] ID_1 perm1 [ID_2 perm2] …

Para adicionar um ou mais acessos à ACL IBM.LPCommands Class ACL ou para sobrescrever a ACL de Classe IBM.LPCommands com um ou mais acessos todos usando as mesmas permissões:

chlpclacl [ -a | -n host1[,host2,...] ] -l [-o] [-h] [-TV] ID_1 [ID_2...] permanente

Para excluir um ou mais acessos a partir da ACL IBM.LPCommands Class:

chlpclacl [ -a | -n host1[,host2,...] ] -d [-h] [-TV] ID_1 [ID_2...]

Para adicionar acessos a (ou remover acessos de) a ACL de Classe IBM.LPCommands ou para sobrescrever a ACL de Classe IBM.LPCommands , com os acessos especificados em um arquivo:

chlpclacl [ -a | -n host1[,host2,...] ]] [ -o | -d ] -f file_name [-h] [-TV]

Para configurar a ACL de Classe IBM.LPCommands para negar todos os acessos:

chlpclacl [ -a | -n host1[,host2,...] ] -x [-h] [-TV]

Descrição

O comando chlpclacl altera a lista de controle de acesso (ACL) que está associada com a classe de recurso de menos privilégio (LP) (IBM.LPCommands). Este comando permite que um acesso seja adicionado ou removido da ACL de Classe IBM.LPCommands . Esta ACL controla o acesso a tais operações de classe como a criação de recursos LP e a exclusão de recursos LP. Uma ACL Classe existe em cada nó para a classe IBM.LPCommands .

Para adicionar acessos à ACL de Classe IBM.LPCommands , especifique o ID e a permissão que o ID deve ter. Mais de um par de ID e permissão pode ser especificado. Se você deseja adicionar vários IDs e todos eles terão a mesma permissão, use a sinalização -l para indicar que o formato do comando é uma lista de IDs seguidos por uma única permissão que se aplica a todos os IDs. Se você usar o sinalizador -o , os IDs e permissões especificados com o comando irão sobrescrever os acessos existentes. Os acessos previamente definidos na ACL Classe são excluídos.

Para excluir acessos da ACL de Classe IBM.LPCommands , use a sinalização -d e especifique os IDs a serem excluídos.

Use a sinalização -f para indicar que os acessos são especificados em um arquivo. Cada linha do arquivo será um ID e permissão para esse ID. Se a sinalização -d for usada com a bandeira -f , apenas o ID é necessário em cada linha. Tudo depois do primeiro espaço é ignorado.

Este comando executa em qualquer nó. Se você deseja que este comando seja executado em todos os nós em um domínio, use a bandeira -a . Se você deseja que este comando seja executado em um subconjunto de nós em um domínio, use a bandeira -n . Caso contrário, este comando roda no nó local.

Sinalizações

-a

Altera IBM.LPCommands ACLs de classe em todos os nós do domínio. A configuração da variável de ambiente CT_MANAGEMENT_SCOPE determina o escopo do cluster. Se CT_MANAGEMENT_SCOPE não for configurado, o gerenciador de recursos LP usa configurações de escopo nesta ordem:

O domínio de gestão, se ele existe
O domínio peer, se ele existe
escopo local

O comando chlpclacl é executado uma vez para o primeiro escopo válido que o gerenciador de recursos LP encontra. Por exemplo, suponha que um domínio de gerenciamento e um domínio de mesmo nível existam e a variável de ambiente CT_MANAGEMENT_SCOPE não esteja configurada. Neste caso, chlpclacl –a é executado no domínio de gerenciamento. Para executar chlpclacl –a no domínio peer, você deve configurar CT_MANAGEMENT_SCOPE para 2.

-d

Remove a entrada ACL para o ID especificado a partir da ACL de classe IBM.LPCommands .

--f nome_do_arquivo

Indica que os acessos são especificados em file_name. Cada linha deste arquivo consiste em um ID e a permissão para esse ID. Se a sinalização -d for usada com a bandeira -f , apenas o ID é necessário em cada linha. Tudo depois do primeiro espaço é ignorado.

-l

Indica que há uma lista de IDs seguida por uma única permissão que é usada para todos os IDs.

--n host1[host2,...]

Especifica os nós no domínio em que a ACL de classe IBM.LPCommands deve ser alterada. Por padrão, a ACL de Classe IBM.LPCommands é alterada no nó local. Esta sinalização é válida apenas em um domínio de gerenciamento ou um domínio de pares. Se CT_MANAGEMENT_SCOPE não for configurado, primeiro o escopo de domínio de gerenciamento será escolhido se ele existir, então o escopo de domínio de ponto será escolhido se ele existir e, então, o escopo local será escolhido, até que o escopo seja válido para o comando. O comando será executado uma vez para o primeiro escopo válido encontrado.

-o

Indica que os acessos especificados sobrescrevem quaisquer entradas de ACL existentes para a ACL de Classe IBM.LPCommands . Quaisquer entradas ACL na ACL de Classe IBM.LPCommands são excluídas.

-x

Configura a ACL de classe IBM.LPCommands para negar todos os acessos aos atributos de classe IBM.LPCommands e operações de classe. Quaisquer entradas ACL na ACL de Classe IBM.LPCommands são excluídas.

-h

Grava a instrução de uso do comando para saída padrão.

-T

Escreve as mensagens de rastreio do comando para erro padrão.

-V

Grava as mensagens verbosas do comando para a saída padrão.

Parâmetros

ID

Especifica a identidade de rede do usuário. Se o mesmo ID for listado mais de uma vez, a última permissão especificada será usada. Para uma descrição de como especificar a identidade da rede, veja a seção User identities do arquivo de informações lpacl .

permanente

Especifica a permissão permitida para ID. perm é especificado como uma string de um ou mais caracteres, onde cada caractere representa uma permissão particular. Os valores válidos para perm são:

r: Permissão de leitura (consiste nas permissões q, l, ee v )
w: Permissão de gravação (consiste nas permissões d, c, se o )
a: Permissão de administrador
x: permissão de execução
q: Permissão de consulta
l: Enumerar permissão
e: Permissão de evento
v: Validar permissão
d: Definir e desdefinir permissão
c: Permissão de atualização
s: Permissão de conjunto
o: Permissão online, offline e reajuste
0: Sem permissão

Veja a seção User permissions do arquivo de informações lpacl para descrições dessas permissões.

Segurança

Para executar o comando chlpclacl , você precisa de permissão de leitura e administrador na ACL Classe da classe de recursos IBM.LPCommands . As permissões são especificadas nas ACLs do LP no sistema contatado. Veja o arquivo de informações lpacl para informações gerais sobre ACLs de LP e o RSCT: Guia de Administração para obter informações sobre a modificação de eles.

Status de saída

0: O comando foi executado com sucesso.
1: Ocorreu um erro com a RMC.
2: Ocorreu um erro com o script da interface da linha de comandos (CLI).
3: Uma sinalização incorreta foi especificada na linha de comando.
4: Um parâmetro incorreto foi especificado na linha de comando.
5: Ocorreu um erro com RMC que foi baseado em entrada de linha de comandos incorreta.
6: O recurso não foi encontrado.

Variáveis de ambiente

CT_CONTACT

Determina o sistema onde ocorre a sessão com o daemon de monitoramento e controle de recursos (RMC). Quando CT_CONTACT é configurado para um nome de host ou endereço IP, o comando entra em contato com o daemon RMC no host especificado. Se CT_CONTACT não estiver configurado, o comando entra em contato com o daemon RMC no sistema local onde o comando está sendo executado. O alvo da sessão do daemon RMC e o escopo de gerenciamento determinam as classes de recursos ou recursos que são processados.

CT_IP_AUTHENT

Quando a variável de ambiente CT_IP_IP_AUTHENT existe, o daemon RMC usa a autenticação de rede baseada em IP para entrar em contato com o daemon RMC no sistema que é especificado pelo endereço IP ao qual a variável de ambiente CT_CONTACT está configurada. CT_IP_AUTHENT só tem significado se CT_CONTACT for configurado para um endereço IP; ele não depende do serviço de DNS (domain name system).

CT_MANAGEMENT_SCOPE

Determina o escopo de gerenciamento que é usado para a sessão com o daemon RMC no processamento dos recursos do gerenciador de recursos de menor privilégio (LP). O escopo de gerenciamento determina o conjunto de nós de destino possíveis onde os recursos podem ser processados. Os valores válidos são os seguintes:

0: Especifica o escopo local .
1: Especifica o escopo local .
2: Especifica o escopo domínio peer .
3: Especifica o escopo domínio de gerenciamento .

Se esta variável de ambiente não for configurada, o escopo local será usado, a menos que o sinalizador -a ou a sinalização -n seja especificado.

Especificações de implementação

Esse comando faz parte do conjunto de arquivos RSCT ( Reliable Scalable Cluster Technology ) para AIX.

Saída Padrão

Quando a sinalização -h é especificada, a instrução de uso deste comando é escrita para saída padrão. Quando a sinalização -V é especificada, as mensagens verbosas deste comando são gravadas na saída padrão.

Erro Padrão

Todas as mensagens de rastreio são escritas para erro padrão.

Exemplos

Para dar ao usuário joe em nodeA escrever permissão para a classe IBM.LPCommands para que ele possa criar recursos de LP em nodeA, execute um destes comandos em nodeA:
```
chlpclacl joe@NODEID w

chlpclacl joe@LOCALHOST w
```
nodeA e nodeB estão em um domínio de pares. Para dar ao usuário joe em nodeB escrever permissão para a classe IBM.LPCommands para que ele possa criar recursos de LP em nodeB, execute este comando em nodeA:
```
chlpclacl -n nodeB joe@LOCALHOST  w
```
Neste exemplo, especificar joe@NODEID em vez de joe@LOCALHOST dá joe em nodeA escrever permissão para a classe IBM.LPCommands em nodeB.
Para dar ao usuário joe em nodeA escrever permissão para a classe IBM.LPCommands e bill em nodeA permissão de administrador e permissão de gravação para a classe IBM.LPCommands em nodeA, execute este comando em nodeA:
```
chlpclacl joe@LOCALHOST w bill@LOCALHOST wa
```
Para dar ao usuário joe em nodeA a permissão do administrador para a classe IBM.LPCommands em nodeA, sobrescrever a ACL da classe IBM.LPCommands atual para que este seja o único acesso permitido, execute este comando em nodeA:
```
chlpclacl -o joe@LOCALHOST a
```
Para dar aos usuários joe, bill, e jane em nodeA permissões de leitura e gravação para a classe IBM.LPCommands em nodeA, execute este comando em nodeA:
```
chlpclacl -l joe@LOCALHOST  bill@LOCALHOST  jane@LOCALHOST  rw
```
Para excluir o acesso para joe em nodeA a partir da classe IBM.LPCommands em nodeA, execute este comando em nodeA:
```
chlpclacl -d  joe@LOCALHOST
```
Para adicionar uma lista de acessos que estão em um arquivo chamado /mysecure/aclfile em nodeA para a classe IBM.LPCommands em nodeA, execute este comando em nodeA:
```
chlpclacl -f /mysecure/aclfile  
```
O conteúdo de /mysecure/aclfile em nodeA poderia ser:
```
joe@LOCALHOST	  		w
bill@LOCALHOST		 	wa
jane@LOCALHOST		 	rw
```
Para negar todos os acessos para a classe IBM.LPCommands em nodeA, execute este comando em nodeA:
```
chlpclacl -x
```

Local

/opt/rsct/bin/chlpclacl: Contém o comando chlpclacl