mkrole コマンド
目的
新規ロールを作成します。
構文
mkrole [-R load_module] Attribute=Value [ Attribute=Value ... ] Name
説明
mkrole コマンドは、新規ロールを作成します。 Name パラメーターは固有のロール名でなければなりません。 ロール名にキーワード ALL または default を使用できません。
このコマンドは、System Management Interface Tool (SMIT) smit mkrole 高速パスを使用して実行することができます。
システムがロール・データベースの複数のドメインを使用するように構成される場合は、新しいロールは、/etc/nscontrol.conf ファイルのロール・スタンザの secorder 属性によって指定された最初のドメイン内に作成されます。 特定のドメイン内にロールを作成する場合は、-R フラグを使用します。
すべてのロールには、セキュリティー決定に使用される固有のロール ID がなければなりません。ロールの作成時に id 属性が指定されない場合は、mkrole コマンドは自動的に固有の ID をロールに割り当てます。
システムが拡張 (RBAC) モードで作動している場合は、ロール・データベースで作成されるロールは、各ユーザーに直ちに割り当てることはできますが、データベースが setkst コマンドを使用してカーネル・セキュリティー・テーブルに送信されるまで、セキュリティーに関する考慮事項には使用されません。
フラグ
項目 | 説明 |
---|---|
-R load_module | ロールの作成に使用するロード可能なモジュールを指定します。 |
パラメーター
項目 | 説明 |
---|---|
Attribute=Value | ロール属性を初期化します。 有効な属性と値については chrole コマンドのセクションを参照してください。 |
Names | 固有のロール名文字列を指定します。 ロール名の作成に関する制限 ユーザーが指定する Name パラメーターは、固有のものである必要があり、最大 63 個の 1 バイト印刷可能文字を指定できます。矛盾が生じないようにするために、ロール名には POSIX 移植可能ファイル名文字セットのみを使用してください。
キーワード ALL または default をロール名に使用することはできません。
また、ロール名の文字列には次の文字を使用しないでください。
制約事項: Name パラメーターには、スペース、タブ、または改行文字を含めることはできません。
|
セキュリティー
mkrole コマンドは特権コマンドです。
コマンドを正常に実行するには、以下の権限をもつロールを引き受ける必要があります。
項目 | 説明 |
---|---|
aix.security.role.create | コマンドを実行する場合に必要です。 |
RBAC ユーザーおよび Trusted AIX ユーザーへの注意: このコマンドは特権命令を実行できます。 特権命令を実行できるのは特権ユーザーのみです。 権限および特権についての詳細情報は、「セキュリティー」の『特権コマンド・データベース』を参照してください。 このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。
アクセスされるファイル:
モード | ファイル |
---|---|
rw | /etc/security/roles |
r | /etc/security/user.roles |
監査イベント:
イベント | 情報 |
---|---|
ROLE_Create | ロール |
例
- ManageRoles ロールを作成し、コマンドにロール ID を自動的に生成させるには、次のコマンドを使用します。
mkrole authorizations=aix.security.role ManageRoles
- LDAP 内の ManageRoles ロールを作成するには、次のコマンドを使用します。
mkrole -R LDAP authorizations=aix.security.role manageRoles
ファイル
項目 | 説明 |
---|---|
/etc/security/roles | ロールの属性が入っています。 |
/etc/security/user.roles | ユーザーのロール属性が入っています。 |