chrole 命令
用途
更改角色属性。
语法
乔尔 [-R load_module] 属性=值 ... 名称
描述
chrole 命令为 Name 参数标识的角色更改属性。 角色名必须已存在。 要更改属性,请使用 Attribute=Value 参数指定属性名和新值。
如果使用 chrole 命令指定单个不正确的属性或属性值,那么该命令不更改任何属性。
也可以使用系统管理界面工具 (SMIT) smit chrole 快速路径来运行此命令。
如果将系统配置为对角色数据库使用多个域,那么将根据 /etc/nscontrol.conf 文件中角色数据库节的 secorder 属性指定的顺序来执行角色修改。 仅修改第一个匹配的角色。 不修改从剩余域中复制的角色。 使用 -R 标志修改来自特定域的角色。
当系统以增强的 基于角色的访问控制 (RBAC) 方式运行时,在通过 setkst 命令将数据库发送到内核安全表之前,对角色数据库所作的修改不会用于安全考虑。
标志
| 项 | 描述 |
|---|---|
| -R 加载模块 | 指定用于修改角色的可装入模块。 |
属性
如果具有适当的权限,可以设置以下用户属性:
| 项 | 描述 |
|---|---|
| auditclasses | 角色的审计类列表。 Value 参数是类的逗号分隔列表,或者指示所有审计类的值 ALL。 |
| auth_mode | 指定在使用 swrole 命令时假定角色所需的认证。 您可以指定以下值:
|
| authorizations | 此角色所要求的除那些由 rolelist 属性中的角色定义的其他权限的列表。 Value 参数是权限名称的列表,由逗号分隔。 |
| dfltmsg | 包含在不使用消息目录的情况下使用的缺省角色描述文本。 |
| 组 | 用户应该属于的组的列表,目的是有效使用该角色。 此属性仅用于提供信息,并不自动使用户成为组列表的成员。 Value 参数是组名称的列表,由逗号分隔。 |
| hostsenabledrole | 指定可通过使用 setkst 命令将角色定义下载到“内核角色”表的主机。 此属性必须在多个主机共享角色属性的网络环境中使用。 |
| 主机禁用角色 | 指定不能使用 setkst 命令将角色定义下载到“内核角色”表的主机。 此属性旨在多个主机共享角色属性的网络环境中使用。 |
| 标识 | 指定角色的唯一数字标识。 必须指定 id 属性。 注:将角色指定给用户后,不要修改属性值。 |
| 消息猫 | 包含一行系统角色描述的消息编目的文件名。 Value 参数是一个字符串。 |
| msgnum | 将索引包含到描述角色的消息编目中。 Value 参数是一个整数。 |
| 消息集 | 包含消息目录中含有角色描述的消息集。 |
| rolelist | 列出此角色隐含的角色。
Value 参数是角色名的列表,由逗号分隔。 使用 -R 标志进行指定时,nscontrol.conf 文件中的角色节将由 -R 标志覆盖。 |
| 屏幕 | 列出允许角色映射到各种 SMIT 屏幕的 SMIT 屏幕标识。 Value 参数是 SMIT 屏幕标识的列表,由逗号分隔。 |
| 可见性 | 将角色的可视性状态指定到系统。 Value 参数是一个整数。 可能的值为:
|
安全性
chrole 命令是一个特权命令。 您必须是具有以下权限的角色才能成功运行该命令。
| 项 | 描述 |
|---|---|
| aix.security.role.change | 运行命令所需。 |
审计事件
| 事件 | 信息 |
|---|---|
| 角色变更 | 角色,属性 |
访问的文件
| 方式 | 文件 |
|---|---|
| rw | /etc/security/roles |
| R | /etc/security/user.roles |
RBAC 用户注意: 此命令可以执行特权操作。 只有特权用户才能执行特权限定的操作。 有关权限与特权的更多信息,请参阅安全性中的“特权限定的命令数据库”。 有关与该命令相关联的特权和权限的列表,请参阅 lssecattr 命令或 getcmdattr 子命令。
示例
- 要更改授权ManagePasswds角色到aix.security.passwd,请使用以下命令:
chrole authorizations=aix.security.passwd ManagePasswds - 要更改授权ManagePasswdsLDAP 中的角色aix.security.passwd,请使用以下命令:
chrole -R LDAP authorizations=aix.security.passwd ManagePasswds
文件
| 项 | 描述 |
|---|---|
| /etc/security/roles | 包含角色属性。 |
| /etc/security/user.roles | 包含用户的角色属性。 |