chlpclacl 命令

在线编辑

用途

更改最小特权 (LP) 资源类 (IBM.LPCommands) 的访问控制。

语法

要将一个或多个访问权添加到 IBM.LPCommands 类 ACL 或使用一个或多个访问权覆盖 IBM.LPCommands 类 ACL:

chlpclacl [ -a | -n host1[,host2,...] ] [-o] [-h] [-TV] ID_1 perm1 [ID_2 perm2] …

要将一个或多个访问权添加到 IBM.LPCommands 类 ACL ，或者使用一个或多个访问权覆盖 IBM.LPCommands 类 ACL ，所有访问权都使用相同的许可权:

chlpclacl [ -a | -n host1[,host2,...] ] -l [-o] [-h] [-TV] ID_1 [ID_2...] 性能

要从 IBM.LPCommands 类 ACL 中删除一个或多个访问权:

chlpclacl [ -a | -n host1[,host2,...] ] -d [-h] [-TV] ID_1 [ID_2...]

要使用文件中指定的访问权来添加对 IBM.LPCommands 类 ACL 的访问权 (或从中除去访问权) 或覆盖 IBM.LPCommands 类 ACL ，请执行以下操作:

chlpclacl [ -a | -n host1[,host2,...] ] [ -o | -d ] -f file_name [-h] [-TV]

要设置 IBM.LPCommands 类 ACL 以拒绝所有访问:

chlpclacl [ -a | -n host1[,host2,...] ] -x [-h] [-TV]

描述

chlpclacl 命令更改与最小特权 (LP) 资源类 (IBM.LPCommands) 关联的访问控制表 (ACL)。此命令允许在 IBM.LPCommands 类 ACL 中添加或除去访问权。此 ACL 控制对诸如创建 LP 资源和删除 LP 资源等的这种类操作的访问。 IBM.LPCommands 类的每个节点上都存在一个类 ACL。

要向 IBM.LPCommands 类 ACL 添加访问权，请指定标识及其要具有的许可权。可以指定多个标识/许可权对。如果要添加多个标识并且它们都具有相同的许可权，请使用 -l 标志来指示命令的格式是一个标识列表，后跟应用于所有标识的单个许可权。如果使用 -o 标志，那么使用该命令指定的标识和许可权将覆盖现有访问权。类 ACL 中先前定义的访问将被删除。

要从 IBM.LPCommands 类 ACL 中删除访问权，请使用 -d 标志并指定要删除的标识。

使用 -f 标志来指示在文件中指定了访问权。该文件的每一行将是一个标识和该标识的许可权。如果 -d 标志与 -f 标志一起使用，那么每行仅需要标识。将忽略第一个空格后的所有字符。

该命令可在任何节点上运行。如果希望此命令在域中的所有节点上运行，请使用 -a 标志。如果希望此命令在域中的节点子集上运行，请使用 -n 标志。否则，该命令在本地节点上运行。

标志

-a

更改域中所有节点上的 IBM.LPCommands 类 ACL。 CT_MANAGEMENT_SCOPE 环境变量的设置确定集群作用域。如果未设置 CT_MANAGEMENT_SCOPE ，那么 LP 资源管理器按以下顺序使用作用域设置:

管理域（如果存在）
对等域（如果存在）
本地作用域

chlpclacl 命令对 LP 资源管理器找到的第一个有效作用域运行一次。例如，假定存在管理域和对等域，并且未设置 CT_MANAGEMENT_SCOPE 环境变量。在这种情况下， chlpclacl –a 在管理域中运行。要在对等域中运行 chlpclacl –a ，必须将 CT_MANAGEMENT_SCOPE 设置为 2。

-d

从 IBM.LPCommands 类 ACL 中除去指定标识的 ACL 条目。

-f 文件名

指示在 file_name 中指定访问。该文件的每一行均由一个标识和该标识的许可权组成。如果 -d 标志与 -f 标志一起使用，那么每行仅需要标识。将忽略第一个空格后的所有字符。

-l

指示有一个标识列表，后跟用于所有标识的一个许可权。

-n主机1 [ ， host2 ， …]

指定域中应该更改 IBM.LPCommands 类 ACL 的节点。缺省情况下，会在本地节点上更改 IBM.LPCommands 类 ACL。此标志仅在管理域或对等域中有效。如果未设置 CT_MANAGEMENT_SCOPE ，那么首先选择管理域作用域 (如果存在) ，然后选择对等域作用域 (如果存在) ，然后选择本地作用域，直到作用域对命令有效为止。该命令对找到的第一个有效域运行一次。

-o

指示指定的访问权覆盖 IBM.LPCommands 类 ACL 的任何现有 ACL 条目。将删除 IBM.LPCommands 类 ACL 中的任何 ACL 条目。

-x

设置 IBM.LPCommands 类 ACL 以拒绝对 IBM.LPCommands 类属性和类操作的所有访问。将删除 IBM.LPCommands 类 ACL 中的任何 ACL 条目。

-h

将命令的用法语句写到标准输出。

-T

将命令的跟踪消息写到标准错误。

-V

将命令的详细消息写到标准输出。

参数

标识

指定用户的网络标识。如果多次列出同一个 ID，那么使用最后指定的许可权。有关如何指定网络身份的描述，请参阅 lpacl 信息文件的 User identities 部分。

性能

指定允许 ID 拥有的许可权。 perm 指定为由一个或多个字符组成的字符串，其中每个字符表示一个特定的许可权。 perm 的有效值有：

r: 读许可权 (由 q， l， e和 v 许可权组成)
w: 写许可权 (由 d， c， s和 o 许可权组成)
a: 管理员许可权
x: 执行许可权
q: 查询许可权
l: 枚举许可权
e: 事件许可权
v: 验证许可权
d: 定义和取消定义许可权
c: 刷新许可权
s: 设置许可权
o: 联机、脱机和重置许可权
0: 无许可权

请参阅 lpacl 信息文件的 User permissions 部分，以获取这些许可权的描述。

安全性

要运行 chlpclacl 命令，您需要在 IBM.LPCommands 资源类的类 ACL 中具有读许可权和管理员许可权。许可权在所连接系统的 LP ACL 中指定。请参阅 lpacl 信息文件，以获取有关 LP ACL 和 RSCT: Administration Guide 的常规信息，以获取有关修改它们的信息。

退出状态

0: 命令已成功运行。
1: RMC 发生错误。
2: 命令行接口 (CLI) 脚本发生错误。
3: 在命令行上指定了不正确的标志。
4: 在命令行上指定了不正确的参数。
5: 发生了一个由于不正确的命令行输入而导致的 RMC 错误。
6: 未找到资源。

环境变量

CT_CONTACT

确定与资源监视和控制 (RMC) 守护程序发生会话的系统。当 CT_CONTACT 设置为主机名或 IP 地址时，该命令将联系指定主机上的 RMC 守护程序。如果未设置 CT_CONTACT ，那么该命令将与运行该命令的本地系统上的 RMC 守护程序联系。 RMC 守护程序会话的目标和管理作用域确定了处理的资源类或资源。

CT_IP_AUTHENT

如果 CT_IP_AUTHENT 环境变量存在，那么 RMC 守护程序会使用基于 IP 的网络认证来联系由 IP 地址（CT_CONTACT 环境变量设置为该 IP 地址）指定的系统上的 RMC 守护程序。仅当 CT_CONTACT 设置为 IP 地址时，CT_IP_AUTHENT 才有意义；但它并不依赖域名系统 (DNS) 服务。

CT_MANAGEMENT_SCOPE

确定在处理最低特权 (LP) 资源管理器的资源时用于 RMC 守护程序会话的管理作用域。管理作用域确定可在其中处理资源的可能的目标节点集。有效值为：

0: 指定本地作用域。
1: 指定本地作用域。
2: 指定对等域作用域。
3: 指定管理域作用域。

如果未设置此环境变量，那么将使用 local 作用域，除非指定了 -a 标志或 -n 标志。

实现细节

此命令是 AIX®的 Reliable Scalable Cluster Technology (RSCT) 文件集的一部分。

标准输出

当指定 -h 标志时，此命令的用法语句将写入标准输出。当指定 -V 标志时，此命令的详细消息将写入标准输出。

标准错误

所有跟踪消息都写到标准错误。

示例

要授予用户 joe on nodeA 对 IBM.LPCommands 类的写许可权，以便他可以在 nodeA上创建 LP 资源，请在 nodeA上运行下列其中一个命令:
```
chlpclacl joe@NODEID w

chlpclacl joe@LOCALHOST w
```
nodeA 和 nodeB 位于对等域中。要授予用户 joe on nodeB 对 IBM.LPCommands 类的写许可权，以便他可以在 nodeB上创建 LP 资源，请在 nodeA上运行以下命令:
```
chlpclacl -n nodeB joe@LOCALHOST  w
```
在此示例中，指定 joe@NODEID 而不是 joe@LOCALHOST 会授予 joe on nodeA 对 nodeB上的 IBM.LPCommands 类的写许可权。
要授予用户 joe on nodeA 对 IBM.LPCommands 类和 bill on nodeA 管理员许可权以及对 nodeA上的 IBM.LPCommands 类的写许可权，请在 nodeA上运行以下命令:
```
chlpclacl joe@LOCALHOST w bill@LOCALHOST wa
```
要授予用户 joe on nodeA 对 nodeA上的 IBM.LPCommands 类的管理员许可权，覆盖当前 IBM.LPCommands 类 ACL 以便这是允许的唯一访问权，请在 nodeA上运行以下命令:
```
chlpclacl -o joe@LOCALHOST a
```
要授予用户 joe， bill和 jane on nodeA 对 nodeA上的 IBM.LPCommands 类的读和写许可权，请在 nodeA上运行以下命令:
```
chlpclacl -l joe@LOCALHOST  bill@LOCALHOST  jane@LOCALHOST  rw
```
要从 nodeA上的 IBM.LPCommands 类中删除 nodeA 上 joe 的访问权，请在 nodeA上运行以下命令:
```
chlpclacl -d  joe@LOCALHOST
```
要将 nodeA 上名为 /mysecure/aclfile 的文件中的访问列表添加到 nodeA上的 IBM.LPCommands 类，请在 nodeA上运行以下命令:
```
chlpclacl -f /mysecure/aclfile  
```
nodeA 上的 /mysecure/aclfile 的内容可以是:
```
joe@LOCALHOST	  		w
bill@LOCALHOST		 	wa
jane@LOCALHOST		 	rw
```
要拒绝对 nodeA上的 IBM.LPCommands 类的所有访问，请在 nodeA上运行以下命令:
```
chlpclacl -x
```

位置

/opt/rsct/bin/chlpclacl: 包含 chlpclacl 命令