lpacl 情報
目的
Resource Monitoring and Control (RMC) サブシステムによって提供されるアクセス制御を使用して最小特権 (LP) コマンド・リソース・クラスとそのリソースを保護することについての一般情報を提供します。
説明
RMC は、アクセス制御リスト (ACL) を介してそのすべてのリソースおよびリソース・クラスへのアクセスを制御します。これには 2 種類の ACL 実装を使用します。RMC が使用する実装は、どのクラスが関係しているかによって決まります。これらの実装間の主な相違点は、1) ACL が表示され、変更されるメカニズム、および 2) ACL が個別のリソースに関連付けられているかどうかです。
- ctrmc.acls ファイルのリソース・クラス・スタンザによって定義された ACL を介して。
これらの ACL は ctrmc.acls ファイルを調べることにより表示できます。 これらの ACL は、chrmcacl コマンドを使用して変更できます。 あるクラスまたはクラス内のすべてのリソースに適用される ACL を定義するには、スタンザを使用します。
RMC は、そのリソースとリソース・クラスのすべて (ただし、IBM.LPCommands リソース・クラスおよびそのリソースを除く) についてこのメソッドを使用します。
- RMC サブシステム内のリソースおよびリソース・クラスに関連付けられた ACL を介して。
これらの ACL は、LP コマンドを使用して表示および変更することができます。クラスに適用される ACL、およびクラスの個別のリソースに適用される ACL を定義できます。
RMC は、IBM.LPCommands リソース・クラスおよびそのリソースにこのメソッドを使用します。
このセクションでは、IBM.LPCommands リソース・クラスおよびそのリソースに固有な ACL についての情報を提供します。
- chlpcmd
- LP リソースの読み取りまたは書き込み属性値を変更します。
- lphistory
- 現行の RMC セッション中にすでに実行された特定の数の LP コマンドをリストまたはクリアします。
- lslpcmd
- ドメイン内の 1 つ以上のノードの LP リソースに関する情報をリストします。
- mklpcmd
- 新規 LP リソースを RMC に定義し、ユーザー・アクセス権を指定します。
- rmlpcmd
- RMC サブシステムから 1 つ以上の LP リソースを削除します。
- runlpcmd
- LP リソースを実行します。
- chlpclacl
- Class ACL を変更します
- chlpracl
- Resource ACL を変更します
- chlpriacl
- Resource Initial ACL を変更します
- chlprsacl
- Resource Shared ACL を変更します
- lslpclacl
- Class ACL をリストします
- lslpracl
- Resource ACL をリストします
- lslpriacl
- Resource Initial ACL をリストします
- lslprsacl
- Resource Shared ACL をリストします
- mklpcmd
- 新規 LP リソースを RMC に定義し、ユーザー・アクセス権を指定します
セキュリティー
- Class ACL、Resource Initial ACL、および Resource Shared ACL を変更する LP コマンドを使用するには、IBM.LPCommands クラスの照会アクセス権および管理者アクセス権を持っている必要があります。
- LP リソースの Resource ACL を変更する LP コマンドを使用するには、LP リソースの照会アクセス権および管理者アクセス権を持っている必要があります。
- Class ACL、Resource Initial ACL、および Resource Shared ACL をリストする LP コマンドを使用するには、IBM.LPCommands クラスの照会アクセス権を持っている必要があります。
- LP リソースの Resource ACL をリストする LP コマンドを使用するには、LP リソースの照会アクセス権を持っている必要があります。
実装上の固有な条件
この情報は、高信頼性スケーラブル・クラスター・テクノロジー (RSCT) (Reliable Scalable Cluster Technology (RSCT)) ファイルセットに含まれます。
Location
- /opt/rsct/man/lpacl.7
例
- LP コマンドの管理者であるための lpadmin ID を定義したいとします。この ID は、LP ACL を変更するための権限を持っています。また、この ID に、LP リソースを作成、削除、および変更することができる読み取りと書き込みのアクセス権も与えたいとします。この設定を構成するには、root でマップされた ID を使用して、管理サーバーで以下のコマンドを実行します。
これらのコマンドは、管理サーバーで lpadmin ID が、IBM.LPCommands クラスおよび Resource Initial ACL に対する管理者、読み取り、および書き込みの各アクセス権を持っているものとして定義します。Resource Initial ACL は、LP リソースが作成されるときに、Resource ACL を初期化するために使用されます。したがって、LP リソースが作成されると、lpadmin ID はそのリソースに対する管理者、読み取り、および書き込みの各アクセス権を持っています。chlpclacl lpadmin@LOCALHOST rwa chlpriacl lpadmin@LOCALHOST rwa
- これで、lpadmin ID は、必要とされる LP コマンドを定義する LP リソースを作成できるようになりました。LP リソースへのアクセスは、mklpcmd コマンドまたは chlpracl コマンドを使用して定義することができます。リソースが作成されると、Resource Initial ACL が Resource ACL にコピーされます。chlpracl コマンドを使用して Resource ACL を変更して、joe が SysCmd1 という名前のリソースについて runlpcmd コマンドを使用できるようにするには、lpadmin ID が管理サーバーでこのコマンドを次のように実行します。
このコマンドは、joe に管理サーバーで SysCmd1 リソースに対する実行アクセス権を与え、彼が runlpcmd コマンドを使用できるようにします。chlpracl SysCmd1 joe@LOCALHOST x
- この例では、lpadmin ID のみが、LP リソースを作成、削除、および変更するためのアクセス権を持っています。chlpclacl コマンドを使用して、他のユーザーが LP リソースを作成および削除することができるようにします。この場合、それらのユーザーはクラスへの書き込みアクセス権を持っている必要があります。IBM.LPCommands クラスのリソースをリストできるようにするには、読み取り許可が必要です。Resource ACL での読み取り許可により、ユーザーはその LP リソースを表示できます。Resource ACL での書き込み許可により、ユーザーはその LP リソースを変更できます。joe が SysCmd1 という名前の LP リソースを表示できるようにするには、lpadmin ID が管理サーバーで次のコマンドを実行します。
chlpracl SysCmd1 joe@LOCALHOST r
- ピア・ドメイン内にはいくつかのノードがあります。nodeB には SysCmdB1 と呼ばれる LP リソースがあり、それに対して joe は実行アクセス権を必要としています。さらに、joe は、ノード nodeA、nodeB、および nodeD からも実行アクセス権を持つ必要があります。nodeB で chlpracl コマンドを実行する場合、nodeB の場合は joe@LOCALHOST を使用できるが、nodeA および nodeD の場合はノード ID を判別する必要があります。ノード ID を取得するには、次のように入力します。
次の出力が表示されます。lsrpnode -i
次に、joe に上述したようなアクセス権を与えるためには、nodeB で次のように実行します。Name OpState RSCTVersion NodeNum NodeID nodeA Online 3.1.0.0 2 48ce221932ae0062 nodeB Online 3.1.0.0 1 7283cb8de374d123 nodeC Online 3.1.0.0 4 b3eda8374bc839de nodeD Online 3.1.0.0 5 374bdcbe384ed38a nodeE Online 3.1.0.0 2 ba74503cea374110 nodeF Online 3.1.0.0 1 4859dfbd44023e13 nodeG Online 3.1.0.0 4 68463748bcc7e773
chlpracl SysCmd1 -l joe@LOCALHOST joe@0x48ce221932ae0062 ¥ joe@0x374bdcbe384ed38a x