lsrole コマンド

目的

ロールの属性を表示します。

構文

lsrole [-R load_module] [ -c | -f | -C] [ -a List ] { ALL | Name [ ,Name ] ... }

説明

lsrole コマンドは、ロールの属性を表示します。 このコマンドを使用すると、すべてのロールのすべての属性、または特定のロールのすべての属性をリストできます。 デフォルトのパラメーターはないので、すべてのロールの属性を表示するには、ALL キーワードを入力する必要があります。 デフォルトでは、lsrole コマンドはすべてのロール属性を表示します。 選択した属性を表示するには、-a List フラグを使用してください。 1 つ以上の属性を読み取れない場合、lsrole コマンドは可能な限り多くの情報をリストします。

デフォルトでは、lsrole コマンドは、各ロールの属性を 1 行に表示します。 属性情報は、Attribute=Value 定義として、 ブランク・スペースで区切って表示されます。 ロール属性をスタンザ・フォーマットでリストするには、-f フラグを使用します。 情報をコロンで区切られたレコードとしてリストするには、-c フラグを使用します。

このコマンドは、System Management Interface Tool (SMIT) smit lsrole 高速パスを使用して実行することができます。

システムがロール・データベースの複数のドメインを使用するように構成される場合は、Name パラメーターによって指定されたロールは、/etc/nscontrol.conf ファイルのロール・スタンザの secorder 属性によって指定された順序で、ドメインから検索されます。 重複エントリーが複数のドメイン内に存在する場合は、最初のエントリー・インスタンスのみがリストされます。特定のドメインからのロールをリストする場合は、-R フラグを使用します。

lsrole コマンドは、ロール・データベースで使用できるロール定義のみをリストします。システムが拡張 Role Based Access Control (RBAC) モードで作動している場合は、ロール・データベースの情報が、カーネル・セキュリティー・テーブル (KST) 内のシステムに関するセキュリティー考慮事項で使用される情報とは異なることがあります。KST 内のロール・データベースの状態を表示するには、lskst コマンドを使用します。

フラグ

項目 説明
-a List 表示する属性をリストします。List 変数に、 chrole コマンドで定義された任意の属性を組み込むことができます。 複数の属性を指定する場合は、各属性名をブランク・スペースで区切ります。空のリストを指定すると、ロール名だけが表示されます。 chrole コマンドで定義された属性に加えて、-a フラグを使用して以下の属性をリストすることもできます。
all_auths
指定されたロールのロール階層の全探索を行い、すべての権限を収集します。all_auths 属性は authorizations 属性とは異なります。これは、lsrole コマンドがその属性に関する指定されたロールの明示権限のみをリストするためです。
users
指定したロールの権限が付与されるユーザーを表示します。
description
ロールに関する dfltmsgmsgcatmsgset、および msgnum の各属性で示されたロールのテキスト記述を表示します。
-c ロール属性を、次のように、コロンで区切られたレコードとして表示します。 
# role:  attribute1:  attribute2:  ... 
  Role:  value1:      value2:      ...
-C ロール属性を、次のように、-c フラグの出力よりも解析が容易なコロンで区切られたレコードとして表示します。 
#role:attribute1:attribute2: ...
role:value1:value2: ...
role2:value1:value2: ...
コロンで区切られた各フィールドに示される属性に関する詳細を含むコメント行が、出力の前に置かれます。 -a フラグを指定すると、属性の順序が -a フラグで指定した順序と一致します。ロールが特定の属性の値を伴っていない場合は、そのフィールドは引き続き表示されますが、空のフィールドになります。各エントリーの最後のフィールドの末尾には、コロンではなく改行文字が付加されます。
-f それぞれのスタンザがロール名によって識別されたスタンザ・フォーマットで出力を表示します。Attribute=Value のそれぞれの対は、別々の行にリストされます。 
Role:
       attribute1=value
       attribute2=value
       attribute3=value
-R load_module ロールをリストするためのロード可能なモジュールを指定します。

セキュリティー

lsrole コマンドは特権コマンドです。 コマンドを正常に実行するには、以下の権限をもつロールを引き受ける必要があります。
項目 説明
aix.security.role.list コマンドを実行する場合に必要です。
RBAC ユーザーおよび Trusted AIX ユーザーへの注意: このコマンドは特権命令を実行できます。 特権命令を実行できるのは特権ユーザーのみです。 権限および特権についての詳細情報は、「セキュリティー」の『特権コマンド・データベース』を参照してください。 このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。

アクセスされるファイル:

モード ファイル
r /etc/security/roles

  1. ロール rolelist とロール ManageAllUsers のグループをコロン・フォーマットで表示するには、次のコマンドを使用します。
    lsrole -c -a rolelist groups ManageAllUsers
    次のような情報が表示されます。 
    # role: rolelist:groups
 ManageAllUsers: ManagerBasicUser:security
  2. LDAP からの ManageAllUsers ロールのすべての属性をリストするには、次のコマンドを使用します。 
    lsrole -R LDAP ManageAllUsers
    すべての属性情報が、各属性がブランク・スペースで区切られた状態で表示されます。

ファイル

項目 説明
/etc/security/roles ロールの属性が入っています。