Archivo de roles
Finalidad
Contiene la lista de roles válidos.
Descripción
El archivo /etc/security/roles contiene la lista de roles válidos. Este es un archivo ASCII que contiene una stanza para cada rol del sistema. Cada stanza se identifica mediante un nombre de rol seguido de un signo: (dos puntos) y contiene atributos con el formato Atributo = Valor. Cada par de atributos termina con un carácter de nueva línea al igual que cada stanza.
El archivo da soporte a una stanza predeterminada. Si un atributo no está definido, se utiliza el valor predeterminado para el atributo, excepto en el caso del atributo id . El atributo id debe especificarse y ser exclusivo para cada rol del archivo.
Una stanza contiene los atributos siguientes:
Atributo | Descripción |
---|---|
rolelist | Contiene una lista de roles implícitos en este rol y permite que un rol funcione como superrol. Si el atributo lista de rol contiene el valor de "role1,role2", asignandorolea un usuario también asigna los roles de role1 y role2 a ese usuario. |
Autorizaciones | Contiene la lista de autorizaciones adicionales adquiridas por el usuario para este rol específico. |
Grupos | Contiene la lista de grupos a los que debe pertenecer un usuario para poder utilizar eficazmente este rol. El usuario debe añadirse a cada grupo de esta lista para que este rol sea efectivo. |
pantallas | Contiene una lista de identificadores de pantalla SMIT que permiten correlacionar un rol con varias pantallas SMIT. El valor predeterminado para este atributo es * (todas las pantallas). |
msgcat | Contiene el nombre de archivo del catálogo de mensajes que contiene las descripciones de una línea de los roles del sistema. |
númmsj | Contiene el ID de mensaje que recupera esta descripción de rol del catálogo de mensajes. |
id | Especifica el ID numérico exclusivo del rol. Se trata de un atributo obligatorio cuando el sistema está en modalidad RBAC mejorada. Se utiliza internamente para las decisiones de seguridad. No modifique el ID de rol después de crear el rol. |
msjdflt | Contiene el texto de descripción de rol predeterminado si los catálogos de mensajes no están en uso. |
conjunto de mensajes | Contiene el conjunto de mensajes que contiene la descripción de rol en el catálogo de mensajes. |
modalidad_autorización | Especifica la modalidad de autenticación cuando se asume el rol utilizando el mandato Swrole cuando el sistema está en la modalidad de control de acceso basado en roles mejorado ( RBAC). Los valores siguientes son válidos:
|
Hostsenabledrole | Especifica los hosts que pueden descargar la definición de rol desde la tabla Rol de kernel utilizando el mandato setkst . Este atributo está destinado a utilizarse en un entorno de red en el que varios hosts compartan los atributos de rol. |
hostsdisabledrole | Especifica que los hosts no pueden descargar la definición de rol de la tabla Rol de kernel utilizando el mandato setkst . Este atributo está destinado a utilizarse en un entorno de red en el que varios hosts compartan los atributos de rol. |
Cambio del archivo de roles
No edite directamente el archivo /etc/security/roles . Utilice los mandatos siguientes para manipular la base de datos de roles:
- chrole
- lsrole
- mkrole
- rmrole
El mandato mkrole crea una entrada para cada rol nuevo en el archivo /etc/security/roles . Para cambiar los valores de atributo, utilice el mandato chrole . Para visualizar los atributos y sus valores, utilice el mandato lsrole . Para eliminar un rol, utilice el mandato rmrol .
Cuando el sistema está funcionando en modalidad RBAC ampliada, los cambios realizados en el archivo roles no afectan a las consideraciones de seguridad hasta que se envía toda la base de datos de roles a las tablas de seguridad del kernel mediante el mandato setkst o hasta que se reinicia el sistema.
Para escribir programas que afectan a atributos en el archivo /etc/security/roles , utilice las subrutinas listadas en Información relacionada.
Seguridad
El usuario root y el grupo de seguridad son propietarios de este archivo. Se otorga acceso de lectura y escritura al usuario root y acceso de lectura a los miembros del grupo de seguridad. El acceso para otros usuarios y grupos depende de la política de seguridad del sistema.
Ejemplos
Una stanza típica se parece al ejemplo siguiente para elManageAllUsersRol:
ManageAllUsers:
id = 110
dfltmsg = "Manage all users"
rolelist = ManageBasicUsers
authorizations = UserAdmin,RoleAdmin,PasswdAdmin,GroupAdmin
groups = security
screens = mkuser,rmuser,!tcpip
Archivos
Elemento | Descripción |
---|---|
/etc/security/roles | Contiene la lista de roles válidos. |
/etc/security/user.roles | Contiene la lista de roles para cada usuario. |
/etc/security/smitacl.group | Contiene las definiciones de ACL de grupo. |
/etc/security/smitacl.user | Contiene las definiciones de ACL de usuario. |