chauth 命令
用途
更改用户定义的权限属性。
语法
描述
chauth 命令为 Name 参数所确定的权限修改属性。 此命令仅修改权限数据库中的现有用户定义的权限。 不能使用 chauth 命令修改系统定义的权限。 要更改用户定义的权限的属性,请使用 Attribute = Value 参数指定属性名和新值。 如果有任何指定属性或属性值无效,那么 chauth 命令不会修改权限。
重要信息:修改权限的标识可能会影响系统安全性,因为该标识的当前值可能会被一些进程和文件等使用。 通常,在确定不使用权限时,使用 id 属性来修改权限的标识。 chauth 命令仅允许将此标识设置为大于 10000 的未使用值。 将保留小于 10 000 的系统定义的权限的标识。
如果将系统配置为对权限数据库使用多个域,那么将根据 /etc/nscontrol.conf 文件中权限数据库节的 secorder 属性指定的顺序来执行权限修改。 仅修改第一个匹配的权限。 不修改从剩余域中复制的权限。 使用 -R 标志修改来自特定域的权限。
当系统以增强的 基于角色的访问控制 (RBAC) 方式运行时,在通过 setkst 命令将数据库发送到内核安全表之前,不会将对授权数据库所作的修改用于安全考虑。
标志
| 项目 | 描述 |
|---|---|
| -R 加载模块 | 指定用于修改权限的可装入模块。 |
属性
| 项目 | 描述 |
|---|---|
| 标识 | 指定用于标识权限的唯一整数。 该值是十进制整数,范围在 10001 到 32768 之间。 |
| dfltmsg | 指定在不使用消息目录的情况下使用的缺省描述。 该值是字符串。 |
| 消息猫 | 指定包含权限描述的消息目录文件名。 如果指定了 msgcat 属性,那么还必须指定 msgset 和 msgnum 属性。 该值是字符串。 如果指定的字符串前面包含有正斜杠(/),那么假设该值为绝对路径名。 否则,用户环境会按 topen 例程指定的那样定义目录搜索路径。 |
| 消息集 | 指定文件名中用来检索消息编号的消息集编号。 文件名是由 msgcat 属性指定的,而消息编号是由 msgnum 属性指定的。 该值是十进制整数。 |
| msgnum | 为文件和集合中的权限描述指定消息编号。 权限是由 msgcat 属性指定的,而集合编号是由 msgset 属性指定的。 该值是十进制整数。 |
参数
| 项目 | 描述 |
|---|---|
| 名称 | 指定要修改的权限。 |
安全性
chauth 命令是特权命令。 您必须是具有以下权限的角色才能成功运行该命令。
| 项目 | 描述 |
|---|---|
| aix.security.auth.change vios.security.auth.change | 运行此命令所需。 |
RBAC 用户和可信 AIX® 用户注意: 此命令可以执行特权操作。 只有特权用户才能执行特权限定的操作。 有关权限与特权的更多信息,请参阅安全性中的“特权限定的命令数据库”。 要获取与此命令相关联的特权和权限的列表,请参阅 lssecattr 命令或 getcmdattr 子命令。
访问的文件
| 项目 | 描述 |
|---|---|
| 文件 | 方式 |
| /etc/security/authorizations | rw |
示例
- 要更改用于提供授权描述的消息目录,请执行以下操作:custom授权,请使用以下命令:
chauth msgcat="custom_auths.cat" custom - 要更改用于指定授权描述的消息集和编号,请执行以下操作:custom.test授权,请使用以下命令:
chauth msgset=5 msgnum=24 custom.test - 要更改消息目录,请执行以下操作:custom.test在 LDAP 中进行授权,请使用以下命令:
chauth -R LDAP msgset=5 custom.test