AIX中基于角色的访问控制，第2部分

lsrole

lsrole 命令用于列出角色数据库中可供使用的角色定义。当系统运行于增强的 RBAC 模式时，出于系 统安全的考虑，角色数据库中的信息可能与 KST 中的信息有所不同。要查看 KST 中角色数据库的状态， 可以使用 lskst 命令。

chrole

更改或者修改一个现有的角色。当系统运行于增强的 RBAC 模式时，出于安全的考虑，在通过 setkst 命令将角色数据库发送到 KST 之前，对数据库所做的修改将不能使用。

swrole

swrole 命令可用于激活一个角色。激活一个角色也称为“交换”角色。用户只能激活已经 分配给他的那些角色。

setkst

更新增强的 RBAC 内核安全表。

RBAC 安全检查在内核级执行，因此如果对 RBAC 安全数据库进行了任何用户级更改，那么在将这些更 改用于 RBAC 安全检查之前，需要将它们更新到 KST 中。

lskst

列出内核安全表的内容。RBAC 安全数据库的内容与 KST 并不是始终相匹配的，因此 lskst 命令可用 于列出、或者比较 KST 和用户级 RBAC 安全数据库。

在前面的部分中，我们为 oper1 分配了 so 角色。这个 so 角色允许 oper1 用户执行 shutdown 和 reboot 命令，除此之外，还允许执行其他几个特权命令，包括 kill 命令。

可以考虑下面这个场景：在执行了一次审核之后，安全控制人员请求我们限制 oper1 用户的权限，以 便他只能执行 shutdown 和 reboot 命令，而不能执行其他的特权命令。因为不存在任何仅包括这两个命 令的预定义角色，所以我们必须创建一个用户定义的角色。

要创建用户定义的角色，请遵循下面的步骤：

1. 以 root 或者角色管理用户的身份登录。

我们将使用 smitty mkrole 快速路径。

此时将显示下面的条目字段：

角色名 (Role Name)

这是用户定义的角色将使用的名称。

这个用户定义的角色将用于执行关闭和重新启动操作，因此我们将其名称定义为 shutdown_reboot。

角色 ID (Role ID)

唯一的角色标识编号。如果将其保留为空白，那么将分配下一个可用的角色编号。建议的方法是，使 用下一个可用的角色编号。

授权 (Authorizations)

（编辑：济南站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!