Archivo de roles

Editar en línea

Finalidad

Contiene la lista de roles válidos.

Descripción

El archivo /etc/security/roles contiene la lista de roles válidos. Este es un archivo ASCII que contiene una stanza para cada rol del sistema. Cada stanza se identifica mediante un nombre de rol seguido de un signo: (dos puntos) y contiene atributos con el formato Atributo = Valor. Cada par de atributos termina con un carácter de nueva línea al igual que cada stanza.

El archivo da soporte a una stanza predeterminada. Si un atributo no está definido, se utiliza el valor predeterminado para el atributo, excepto en el caso del atributo id . El atributo id debe especificarse y ser exclusivo para cada rol del archivo.

Una stanza contiene los atributos siguientes:

Atributo Descripción
rolelist Contiene una lista de roles implícitos en este rol y permite que un rol funcione como superrol. Si el atributo lista de rol contiene el valor de "role1,role2", asignandorolea un usuario también asigna los roles de role1 y role2 a ese usuario.
Autorizaciones Contiene la lista de autorizaciones adicionales adquiridas por el usuario para este rol específico.
Grupos Contiene la lista de grupos a los que debe pertenecer un usuario para poder utilizar eficazmente este rol. El usuario debe añadirse a cada grupo de esta lista para que este rol sea efectivo.
pantallas Contiene una lista de identificadores de pantalla SMIT que permiten correlacionar un rol con varias pantallas SMIT. El valor predeterminado para este atributo es * (todas las pantallas).
msgcat Contiene el nombre de archivo del catálogo de mensajes que contiene las descripciones de una línea de los roles del sistema.
númmsj Contiene el ID de mensaje que recupera esta descripción de rol del catálogo de mensajes.
id Especifica el ID numérico exclusivo del rol. Se trata de un atributo obligatorio cuando el sistema está en modalidad RBAC mejorada. Se utiliza internamente para las decisiones de seguridad. No modifique el ID de rol después de crear el rol.
msjdflt Contiene el texto de descripción de rol predeterminado si los catálogos de mensajes no están en uso.
conjunto de mensajes Contiene el conjunto de mensajes que contiene la descripción de rol en el catálogo de mensajes.
modalidad_autorización Especifica la modalidad de autenticación cuando se asume el rol utilizando el mandato Swrole cuando el sistema está en la modalidad de control de acceso basado en roles mejorado ( RBAC). Los valores siguientes son válidos:
  • NINGUNO -No es necesaria ninguna autenticación.
  • INVOCADOR -Debe especificar su propia contraseña al llamar al mandato Swrole . Es el valor predeterminado.
Hostsenabledrole Especifica los hosts que pueden descargar la definición de rol desde la tabla Rol de kernel utilizando el mandato setkst . Este atributo está destinado a utilizarse en un entorno de red en el que varios hosts compartan los atributos de rol.
hostsdisabledrole Especifica que los hosts no pueden descargar la definición de rol de la tabla Rol de kernel utilizando el mandato setkst . Este atributo está destinado a utilizarse en un entorno de red en el que varios hosts compartan los atributos de rol.
Para ver una stanza típica, consulte la stanza "Ejemplos".

Cambio del archivo de roles

No edite directamente el archivo /etc/security/roles . Utilice los mandatos siguientes para manipular la base de datos de roles:

  • chrole
  • lsrole
  • mkrole
  • rmrole

El mandato mkrole crea una entrada para cada rol nuevo en el archivo /etc/security/roles . Para cambiar los valores de atributo, utilice el mandato chrole . Para visualizar los atributos y sus valores, utilice el mandato lsrole . Para eliminar un rol, utilice el mandato rmrol .

Cuando el sistema está funcionando en modalidad RBAC ampliada, los cambios realizados en el archivo roles no afectan a las consideraciones de seguridad hasta que se envía toda la base de datos de roles a las tablas de seguridad del kernel mediante el mandato setkst o hasta que se reinicia el sistema.

Para escribir programas que afectan a atributos en el archivo /etc/security/roles , utilice las subrutinas listadas en Información relacionada.

Seguridad

El usuario root y el grupo de seguridad son propietarios de este archivo. Se otorga acceso de lectura y escritura al usuario root y acceso de lectura a los miembros del grupo de seguridad. El acceso para otros usuarios y grupos depende de la política de seguridad del sistema.

Ejemplos

Una stanza típica se parece al ejemplo siguiente para elManageAllUsersRol:

ManageAllUsers:
   id = 110
   dfltmsg = "Manage all users"
   rolelist = ManageBasicUsers
   authorizations = UserAdmin,RoleAdmin,PasswdAdmin,GroupAdmin
   groups = security
   screens = mkuser,rmuser,!tcpip

Archivos

Elemento Descripción
/etc/security/roles Contiene la lista de roles válidos.
/etc/security/user.roles Contiene la lista de roles para cada usuario.
/etc/security/smitacl.group Contiene las definiciones de ACL de grupo.
/etc/security/smitacl.user Contiene las definiciones de ACL de usuario.