角色文件
用途
包含有效角色的列表。
描述
/etc/security/roles 文件包含有效角色的列表。 这是一个 ASCII 文件,其中包含每个系统角色的节。 每个节由后跟一个: (冒号) 的角色名称标识,并包含格式为 属性 = 值的属性。 每个属性对都以换行符结束,每个节也是如此。
该文件支持缺省节。 如果未定义某个属性,那么将使用该属性的缺省值,但 标识 属性的情况除外。 对于文件中的每个角色,必须指定唯一的 标识 属性。
节中包含以下属性:
| 属性 | 描述 |
|---|---|
| rolelist | 包含此角色所暗示的角色的列表,并允许角色充当超级角色。 如果 角色列表 属性包含 "role1,role2" 的值,那么将分配role还会将 role1 和 role2 的角色分配给该用户。 |
| authorizations | 包含用户针对此特定角色获得的其他权限的列表。 |
| 组 | 包含用户为有效使用此角色而应该属于的组的列表。 必须将用户添加到此列表中的每个组,才能使此角色生效。 |
| 屏幕 | 包含允许将角色映射到各种 SMIT 屏幕的 SMIT 屏幕标识的列表。 此属性的缺省值为 * (所有屏幕)。 |
| msgcat | 包含消息目录的文件名,该目录包含系统角色的一行描述。 |
| 姆斯纽姆 | 包含从消息目录中检索此角色描述的消息标识。 |
| 标识 | 指定角色的唯一数字标识。 当系统处于增强的 RBAC 方式时,这是必需属性。 这在内部用于安全决策。 在创建角色后,请勿修改角色标识。 |
| dfltmsg | 包含缺省角色描述文本 (如果未在使用消息目录)。 |
| 消息集 | 包含包含消息目录中的角色描述的消息集。 |
| auth_mode | 当系统处于增强的基于角色的访问控制 ( RBAC) 方式时,如果您使用 斯沃 命令来承担角色,那么指定认证方式。 以下值是有效的:
|
| 霍森纳布尔德罗莱 | 使用 塞斯特 命令指定可从 "内核角色" 表下载角色定义的主机。 此属性旨在多个主机共享角色属性的网络环境中使用。 |
| 霍斯迪塞布尔德罗莱 | 指定主机无法通过使用 塞斯特 命令从 "内核角色" 表下载角色定义。 此属性旨在多个主机共享角色属性的网络环境中使用。 |
更改角色文件
请勿直接编辑 /etc/security/roles 文件。 请使用以下命令来处理角色数据库:
- 切角色
- lsrole
- mkrole
- Rmrole
mkrole 命令为 /etc/security/roles 文件中的每个新角色创建一个条目。 要更改属性值,请使用 切角色 命令。 要显示这些属性及其值,请使用 lsrole 命令。 要除去角色,请使用 Rmrole 命令。
当系统以增强的 RBAC 方式运行时,对 角色 文件所做的更改不会影响安全注意事项,直到通过 塞斯特 命令将整个角色数据库发送到内核安全表,或者直到系统重新引导为止。
要在 /etc/security/roles 文件中编写影响属性的程序,请使用 "相关信息" 中列出的子例程。
安全性
Root 用户和安全组都拥有此文件。 向 root 用户授予读和写访问权,并向安全组的成员授予读访问权。 对其他用户和组的访问权取决于系统的安全策略。
示例
典型节与以下示例类似:ManageAllUsers角色:
ManageAllUsers: id = 110
dfltmsg = "Manage all users"
rolelist = ManageBasicUsers
authorizations = UserAdmin,RoleAdmin,PasswdAdmin,GroupAdmin
groups = security
screens = mkuser,rmuser,!tcpip文件
| 项 | 描述 |
|---|---|
| /etc/security/roles | 包含有效角色的列表。 |
| /etc/security/user.roles | 包含每个用户的角色的列表。 |
| /etc/security/smitacl.group | 包含组 ACL 定义。 |
| /etc/security/smitacl.user | 包含用户 ACL 定义。 |