mkrole 命令
用途
创建新角色。
语法
描述
mkrole 命令创建新的角色。 Name 参数必须是一个唯一的角色名。 不能使用 All 或 default 关键字作为角色名。
可以使用系统管理界面工具 (SMIT) smit mkrole 快速路径来运行此命令。
如果系统配置为对角色数据库使用多个域,那么将在 /etc/nscontrol.conf 文件中的角色节的 secorder 属性指定的第一个域中创建新角色。 使用 -R 标志可在特定域中创建角色。
每个角色都必须有一个用于安全性决策的唯一的角色标识。 如果创建角色时未指定 id 属性,那么 mkrole 命令将自动向该角色指定一个唯一标识。
当系统以增强 (RBAC) 方式运行时,可以立即将在角色数据库中创建的角色分配给用户,但在使用 setkst 命令将数据库发送到内核安全表之前,不会将这些角色用于安全考虑。
标志
| 项 | 描述 |
|---|---|
| -R 加载模块 | 指定要用于创建角色的可装入模块。 |
参数
| 项 | 描述 |
|---|---|
| 属性=值 | 初始化角色属性。 请参阅 chrole 命令以获取有效的属性和值。 |
| 名称 | 指定唯一的角色名称字符串。 创建角色名的限制 指定的 Name 参数必须唯一,并且最大可以为 63 个单字节可打印字符。 要避免不一致性,将角色名限制为 POSIX 可移植的文件名称符集中的字符。 不能使用关键字 ALL 或 default 作为角色名。 此外,请不要在角色名字符串中使用以下字符:
限制: Name 参数不能包含任何空格,制表符或换行符。
|
安全性
mkrole 命令是特权命令。 您必须是具有以下权限的角色才能成功运行该命令。
| 项 | 描述 |
|---|---|
| aix.security.role.create | 运行命令所需。 |
RBAC 用户注意: 此命令可以执行特权操作。 只有特权用户才能执行特权限定的操作。 有关授权和权限的更多信息,请参阅安全中的特权命令数据库。 有关该命令的权限和授权列表,请参阅 "lssecattr命令或 "getcmdattr子命令。
访问的文件:
| 方式 | 文件 |
|---|---|
| rw | /etc/security/roles |
| R | /etc/security/user.roles |
审计事件:
| 事件 | 信息 |
|---|---|
| 创建角色 | 角色 |
示例
- 要创建ManageRoles角色并使该命令自动生成角色标识,请使用以下命令:
mkrole authorizations=aix.security.role ManageRoles - 要创建ManageRolesLDAP 中的角色,请使用以下命令:
mkrole -R LDAP authorizations=aix.security.role manageRoles
文件
| 项 | 描述 |
|---|---|
| /etc/security/roles | 包含角色属性。 |
| /etc/security/user.roles | 包含用户的角色属性。 |