comando de chlpriacl

Editar online

Propósito

Altera os controles de acesso para a ACL Inicial de Recurso de Menor Privilégio (LP).

Sintaxe

Para adicionar um ou mais acessos à ACL Inicial de Recurso ou para sobrescrever a ACL Inicial de Recurso com um ou mais acessos:

chlpriacl [ -a | -n host1[,host2,...] ] [-o] [-h] [-TV] ID_1 perm1 [ID_2 perm2] …

Para adicionar um ou mais acessos à ACL Inicial de Recurso ou para sobrescrever a ACL Inicial de Recurso com um ou mais acessos todos usando as mesmas permissões:

chlpriacl [ -a | -n host1[,host2,...] ] -l [-o] [-h] [-TV] ID_1 [ID_2...] permanente

Para excluir um ou mais acessos a partir da ACL Inicial de Recursos:

chlpriacl [ -a | -n host1[,host2,...] ] -d [-h] [-TV] ID_1 [ID_2...]

Para adicionar acessos a (ou remover acessos de) a ACL Inicial de Recurso ou para sobrescrever a ACL Inicial de Recurso, com os acessos especificados em um arquivo:

chlpriacl [ -a | -n host1[,host2,...] ]] [ -o | -d ] -f file_name [-h] [-TV]

Para configurar a ACL Inicial de Recursos para usar a ACL Shared Resource ou para que nenhuma permissão seja permitida:

chlpriacl [ -a | -n host1[,host2,...] ] { -b-x } [-h] [-TV]

Descrição

O comando chlpriacl altera a lista de controle de acesso (ACL) que está associada com a ACL inicial de Resource de menor privilégio (LP). Este comando permite que um usuário seja adicionado ou removido da ACL Inicial de Recursos. Esta ACL é usada para inicializar uma ACL de Recursos quando o recurso LP é criado. A ACL Inicial de Recursos pode consistir em entradas ACL que definem permissões para o recurso LP ou pode indicar que a ACL Compartilhado de Recursos deve ser usada para controlar o acesso em vez da ACL de Recursos. Uma ACL Inicial de Recurso existe em cada nó para a classe IBM.LPCommands .

Para adicionar acessos à ACL Inicial de Recursos, especifique o ID e a permissão que o ID deve ter. Mais de um par de ID e permissão pode ser especificado. Se você deseja adicionar vários IDs e todos eles terão a mesma permissão, use a sinalização -l para indicar que o formato do comando é uma lista de IDs seguidos por uma única permissão que se aplica a todos os IDs. Se você usar o sinalizador -o , os IDs e permissões especificados com o comando irão sobrescrever os acessos existentes. Os acessos previamente definidos na ACL são excluídos.

Para excluir acessos da ACL Inicial de Recursos, use a sinalização -d e especifique os IDs a serem excluídos.

Use a sinalização -f para indicar que os acessos são especificados em um arquivo. Cada linha do arquivo será um ID e permissão para esse ID. Se a sinalização -d for usada com a bandeira -f , apenas o ID é necessário em cada linha. Tudo depois do primeiro espaço é ignorado.

Este comando executa em qualquer nó. Se você deseja que este comando seja executado em todos os nós em um domínio, use a bandeira -a . Se você deseja que este comando seja executado em um subconjunto de nós em um domínio, use a bandeira -n . Caso contrário, este comando roda no nó local.

Sinalizações

-a
Altera as ACLs Iniciais de Recursos em todos os nós do domínio. A configuração da variável de ambiente CT_MANAGEMENT_SCOPE determina o escopo do cluster. Se CT_MANAGEMENT_SCOPE não for configurado, o gerenciador de recursos LP usa configurações de escopo nesta ordem:
  1. O domínio de gestão, se ele existe
  2. O domínio peer, se ele existe
  3. escopo local
O comando chlpriacl é executado uma vez para o primeiro escopo válido que o gerenciador de recursos LP encontra. Por exemplo, suponha que um domínio de gerenciamento e um domínio de mesmo nível existam e a variável de ambiente CT_MANAGEMENT_SCOPE não esteja configurada. Neste caso, chlpriacl –a é executado no domínio de gerenciamento. Para executar chlpriacl –a no domínio peer, você deve configurar CT_MANAGEMENT_SCOPE para 2.
-b
Configura a ACL Inicial de Recursos para indicar que a ACL de Recursos é ignorada e que a ACL Shared Resource é usada para controle de acesso para o recurso LP. Quaisquer entradas ACL na ACL Inicial de Recurso são excluídas. Quando um novo recurso de LP é criado, a ACL Shared Resource é usada para ele.
-d
Remove a entrada ACL para o ID especificado a partir da ACL Inicial de Recurso.
--f nome_do_arquivo
Indica que os acessos são especificados em file_name. Cada linha deste arquivo consiste em um ID e a permissão para esse ID. Se a sinalização -d for usada com a bandeira -f , apenas o ID é necessário em cada linha. Tudo depois do primeiro espaço é ignorado.
-l
Indica que há uma lista de IDs seguida por uma única permissão que é usada para todos os IDs.
--n host1[host2,...]
Especifica o nó no domínio no qual a ACL Inicial de Recurso deve ser alterada. Por padrão, a ACL Inicial de Recurso é alterada no nó local. Esta sinalização é válida apenas em um domínio de gerenciamento ou um domínio de pares. Se CT_MANAGEMENT_SCOPE não for configurado, primeiro o escopo de domínio de gerenciamento será escolhido se ele existir, então o escopo de domínio de ponto será escolhido se ele existir e, então, o escopo local será escolhido, até que o escopo seja válido para o comando. O comando será executado uma vez para o primeiro escopo válido encontrado.
-o
Indica que as entradas de ACL especificadas sobrescrevem quaisquer entradas de ACL existentes para a ACL Inicial de Recurso. Quaisquer entradas ACL na ACL Inicial de Recurso são excluídas.
-x
Configura a ACL Inicial de Recursos para negar todos os acessos ao recurso LP. Quaisquer entradas ACL na ACL Inicial de Recurso são excluídas. Quando um novo recurso de LP é criado, todos os acessos serão negados a ele.
-h
Grava a instrução de uso do comando para saída padrão.
-T
Escreve as mensagens de rastreio do comando para erro padrão.
-V
Grava as mensagens verbosas do comando para a saída padrão.

Parâmetros

ID
Especifica a identidade de rede do usuário. Se o mesmo ID for listado mais de uma vez, a última permissão especificada será usada. Para uma descrição de como especificar a identidade da rede, consulte o arquivo de informações lpacl .
permanente
Especifica a permissão permitida para ID. perm é especificado como uma string de um ou mais caracteres, onde cada caractere representa uma permissão particular. Os valores válidos para perm são:
r
Permissão de leitura (consiste nas permissões q, l, ee v )
w
Permissão de gravação (consiste nas permissões d, c, se o )
a
Permissão de administrador
x
permissão de execução
q
Permissão de consulta
l
Enumerar permissão
e
Permissão de evento
v
Validar permissão
d
Definir e desdefinir permissão
c
Permissão de atualização
s
Permissão de conjunto
o
Permissão online, offline e reajuste
0
Sem permissão
Veja o arquivo de informações lpacl para uma descrição de cada permissão e como ela se aplica.

Segurança

Para executar o comando chlpriacl , você precisa de permissão de leitura e administrador na ACL Classe da classe de recursos IBM.LPCommands . As permissões são especificadas nas ACLs do LP no sistema contatado. Veja o arquivo de informações lpacl para informações gerais sobre ACLs de LP e o RSCT: Guia de Administração para obter informações sobre a modificação de eles.

Status de saída

0
O comando foi executado com sucesso.
1
Ocorreu um erro com a RMC.
2
Ocorreu um erro com o script da interface da linha de comandos (CLI).
3
Uma sinalização incorreta foi especificada na linha de comando.
4
Um parâmetro incorreto foi especificado na linha de comando.
5
Ocorreu um erro com RMC que foi baseado em entrada de linha de comandos incorreta.
6
O recurso não foi encontrado.

Variáveis de ambiente

CT_CONTACT
Determina o sistema onde ocorre a sessão com o daemon de monitoramento e controle de recursos (RMC). Quando CT_CONTACT é configurado para um nome de host ou endereço IP, o comando entra em contato com o daemon RMC no host especificado. Se CT_CONTACT não estiver configurado, o comando entra em contato com o daemon RMC no sistema local onde o comando está sendo executado. O alvo da sessão do daemon RMC e o escopo de gerenciamento determinam as classes de recursos ou recursos que são processados.
CT_IP_AUTHENT
Quando a variável de ambiente CT_IP_IP_AUTHENT existe, o daemon RMC usa a autenticação de rede baseada em IP para entrar em contato com o daemon RMC no sistema que é especificado pelo endereço IP ao qual a variável de ambiente CT_CONTACT está configurada. CT_IP_AUTHENT só tem significado se CT_CONTACT for configurado para um endereço IP; ele não depende do serviço de DNS (domain name system).
CT_MANAGEMENT_SCOPE
Determina o escopo de gerenciamento que é usado para a sessão com o daemon RMC no processamento dos recursos do gerenciador de recursos de menor privilégio (LP). O escopo de gerenciamento determina o conjunto de nós de destino possíveis onde os recursos podem ser processados. Os valores válidos são os seguintes:
0
Especifica o escopo local .
1
Especifica o escopo local .
2
Especifica o escopo domínio peer .
3
Especifica o escopo domínio de gerenciamento .
Se esta variável de ambiente não for configurada, o escopo local será usado, a menos que o sinalizador -a ou a sinalização -n seja especificado.

Especificações de implementação

Esse comando faz parte do conjunto de arquivos RSCT ( Reliable Scalable Cluster Technology ) para AIX.

Saída Padrão

Quando a sinalização -h é especificada, a instrução de uso deste comando é escrita para saída padrão. Quando a sinalização -V é especificada, as mensagens verbosas deste comando são gravadas na saída padrão.

Erro Padrão

Todas as mensagens de rastreio são escritas para erro padrão.

Exemplos

  1. Para dar ao usuário joe em nodeA executar permissão na ACL Inicial de Recurso em nodeA, execute um destes comandos em nodeA:
    chlpriacl joe@NODEID  x

chlpriacl joe@LOCALHOST  x
  2. nodeA e nodeB estão em um domínio de pares. Para dar ao usuário joe em nodeB executar permissão para a ACL Inicial de Recurso em nodeB, execute este comando em nodeA:
    chlpriacl -n nodeB joe@LOCALHOST  x
    Neste exemplo, especificar joe@NODEID em vez de joe@LOCALHOSTjoe em nodeA executar permissão para a ACL Inicial de Recurso em nodeB.
  3. Para dar ao usuário joe em nodeA executar permissão e bill em nodeA permissão de administrador e permissão de leitura para a ACL Inicial de Recurso em nodeA, execute este comando em nodeA:
    chlpriacl joe@LOCALHOST  x  bill@LOCALHOST  ra
  4. Para dar ao usuário joe em nodeA executar permissão para a ACL Inicial de Recursos no nodeA, sobrescrever as ACLs atuais para que este seja o único acesso permitido, execute este comando em nodeA:
    chlpriacl -o joe@LOCALHOST x
  5. Para dar aos usuários joe, bill, e jane em nodeA permissão de leitura e permissão de gravação para a ACL Inicial de Recurso em nodeA em nodeA, execute este comando em nodeA:
    chlpriacl -l joe@LOCALHOST  bill@LOCALHOST jane@LOCALHOST  rw
  6. Para excluir o acesso para joe em nodeA a partir da ACL Inicial de Recurso em nodeA, execute este comando em nodeA:
    chlpriacl -d  joe@LOCALHOST
  7. Para adicionar uma lista de acessos que estão em um arquivo chamado /mysecure/aclfile em nodeA para a ACL Inicial de Recurso em nodeA, execute este comando em nodeA:
    chlpriacl -f /mysecure/aclfile
    O conteúdo de /mysecure/aclfile em nodeA poderia ser:
    joe@LOCALHOST	  		x
bill@LOCALHOST		 	rw
jane@LOCALHOST		 	rwa
  8. Para configurar a ACL de Recurso Inicial em nodeA assim ele indica que a ACL Shared Resource em nodeA é usada para controlar acessos para recursos LP recém-criados em nodeA, execute este comando em nodeA:
    chlpriacl -b
  9. Para configurar a ACL de Recurso Inicial em nodeA para que ele negue todos os acessos para recursos de LP recém-criados em nodeA, execute este comando em nodeA:
    chlpriacl -x

Local

/opt/rsct/bin/chlpriacl
Contém o comando chlpriacl