mkauth 命令

用途

创建用户定义的新授权。

语法

姆考特 [-R load_module] [属性 = 值 ...] 名称

描述

mkauth 命令在授权数据库中新建一个用户定义的授权。可以通过在 Name 参数中使用点（.）创建授权层次结构，以创建格式为 ParentAuth. SubParentAuth.SubSubParentAuth... 的授权。新授权创建之前，授权数据库中必须已经存在 Name 参数中的所有父元素。可以用于创建授权的最大父元素数为 8。

如果系统配置为对授权数据库使用多个域，那么在 /etc/nscontrol.conf 文件中的授权节内 secorder 属性指定的第一个域中创建新授权。使用 -R 标志可在特定域中创建授权。

可以在创建时通过 Attribute = Value 参数指定授权属性。您创建的每个授权的 id 授权属性都必须有一个值。如果不使用 mkauth 命令指定该值，该命令将自动为授权生成一个唯一的标识。如果指定标识，那么该值必须唯一且大于 10000。

限制: 为系统定义的授权保留小于 10000 的授权标识

当系统以增强的基于角色的访问控制 (RBAC) 方式运行时，在使用 setkst 命令将数据库发送到内核安全表之前，不会将对授权数据库所作的修改用于安全考虑。授权数据库中创建的授权可以立即分配给角色，但是在更新内核安全性表之前不会生效。

标志

项	描述
-R 加载模块	指定用于创建授权的可装入模块。

参数

项	描述
属性 = 值	初始化授权属性。有关有效的属性和值，请参阅 chauth 命令。
名称	指定唯一的授权名称字符串。创建授权名称的限制：指定的 Name 参数必须唯一，并且最大可以为 63 个单字节可打印字符。尽管 mkauth 命令支持多字节授权名称，但是授权名称的字符仍然限制在 POSIX 可移植文件名字符集以内。您指定的授权名称不能以`aix.`因为这是系统定义的权限的指定顶级父代，而 mkauth 命令仅创建用户定义的权限。授权名称不得以破折号（-）和加号（+）、 @ 、波浪号（~）开始，也不得包含任何空格、制表符或换行符。不能将关键字 ALL、default 、ALLOW_OWNER、ALLOW_GROUP、ALLOW_ALL 或星号（*）用作授权名称。此外，请不要在授权字符串中使用以下任何字符： :（冒号） "（引号） #（数字符号） ,（逗号） =（等号） \（反斜杠） /（正斜杠）你说什么 (问号) '（单引号） ˋ（抑音符）

项

描述

属性 = 值

初始化授权属性。有关有效的属性和值，请参阅 chauth 命令。

名称

指定唯一的授权名称字符串。

创建授权名称的限制：

指定的 Name 参数必须唯一，并且最大可以为 63 个单字节可打印字符。尽管 mkauth 命令支持多字节授权名称，但是授权名称的字符仍然限制在 POSIX 可移植文件名字符集以内。您指定的授权名称不能以aix.因为这是系统定义的权限的指定顶级父代，而 mkauth 命令仅创建用户定义的权限。

授权名称不得以破折号（-）和加号（+）、 @ 、波浪号（~）开始，也不得包含任何空格、制表符或换行符。不能将关键字 ALL、default 、ALLOW_OWNER、ALLOW_GROUP、ALLOW_ALL 或星号（*）用作授权名称。此外，请不要在授权字符串中使用以下任何字符：

:（冒号）
"（引号）
#（数字符号）
,（逗号）
=（等号）
\（反斜杠）
/（正斜杠）
你说什么 (问号)
'（单引号）
ˋ（抑音符）

安全性

mkauth 命令是特权命令。您必须是具有以下权限的角色才能成功运行该命令。

项	描述
aix.security.auth.create	运行命令所需。

访问的文件

项	描述
文件	方式
/etc/security/authorizations	rw

示例

创建顶级授权custom并让 mkauth 命令指定相应的标识值，使用以下命令:
```
mkauth custom
```
要创建custom.test子授权并分配标识和缺省描述，请使用以下命令:
```
mkauth id=12000 dfltmsg="Test Authorization" custom.test
```
要创建custom在 LDAP 中进行授权，请使用以下命令:
```
mkauth -R LDAP custom 
```