Solaris利用Role設定特權給使用者

Solaris有支援Rose-Based Access Control(RBAC),
以增加權限控管的彈性,新增了角色(Role)的機制。

透過Role及授權,可以讓使用者擁有一般的權限,
但是在特殊情況下,使用者可以切換角色以取得更大的權限,
而不必讓使用者以root帳號來取得權限。

1、新增一個角色並設定角色密碼
   # roleadd -m -d /export/home/admin admin
   # passwd admin
 
2、授權給role,例如授權User Security這個Profile
   # rolemod -P "User Security" admin
 
3、將角色指派給使用者:
   # usermod -R admin user1
 
完成之後,以user1登入系統並切換到角色admin,
再試著更改root的密碼。
$ id
uid=102(user1) gid=100(users)
$ su - admin
Password:
$ id
uid=502(admin) gid=1(other)
$ passwd root
New Password:

詳細的權限可以從下列的檔案查詢:
/etc/security/auth_attr - 會列出及說明授權
/etc/security/prof_attr - 會列出執行設定檔及相關的授權
/etc/security/exec_attr - 會將執行屬性與執行設定檔連結
/etc/security/policy.conf - 提供安全性策略配置給使用者層次屬性