[ Страница назад | Страница вперед | Содержание | Индекс | Библиотека | Юридическая информация | Поиск ]

Принципы управления системой: Операционная система и устройства


Обзорная информация о правах доступа

Права доступа представляют собой пользовательские атрибуты. Для выполнения определенных заданий пользователю необходимы права доступа. Например, пользователь с правами доступа администратора может создать пользователя-администратора с помощью команды mkuser. Пользователь, не обладающий такими правами доступа, создать администратора не может.

Существует два типа прав доступа:

Основные права доступа Позволяют пользователю выполнять определенные команды. Например, основные права доступа администратора ролей позволяют пользователю выполнять команду chrole. Если команда будет запущена пользователем, не имеющим таких прав доступа, то команда прервет работу, не изменив определения ролей.
Дополнительные права доступа Расширяют возможности пользователя. Например, права доступа администратора расширяют возможности пользователей, входящих в группу security. Не имея таких прав доступа, с помощью команды mkuser пользователь сможет создавать только обычных пользователей, но не администраторов. При наличии таких прав доступа пользователь может создать администратора с помощью команды mkuser

Существуют следующие права доступа:

Backup
Необходимы для выполнения резервного копирования системы.

Права доступа Backup необходимы для выполнения следующих команд:

  Backup Создает резервные копии файлов и файловых систем. Для выполнения этого действия у администратора должны быть права доступа Backup.
Diagnostics Предоставляет возможность запуска средств диагностики. Эти права доступа необходимы для непосредственного запуска средств диагностики из командной строки.

Права доступа Diagnostics необходимы для выполнения следующих команд:

  diag Выполняет процедуры диагностики выбранных ресурсов. Если у пользователя нет прав доступа Diagnostics, то команда завершает свою работу.
GroupAdmin Позволяет выполнять административные функции над данными групп.

Права доступа GroupAdmin необходимы для выполнения следующих команд:

  chgroup Изменяет информацию о группе. Если у пользователя нет прав доступа GroupAdmin, то он не может изменять административную информацию о группах.
  chgrpmem Управляет всеми группами. Не обладая правами доступа GroupAdmin, администратор группы может изменять только членство своей группы или (для какой-либо обычной группы) свойства пользователя, принадлежащего к группе защиты.
  chsec Изменяет информацию о группе администраторов в файлах /etc/group и /etc/security/group. Кроме того, пользователь может изменять значения разделов по умолчанию. Пользователь без прав доступа GroupAdmin может изменять в файлах /etc/group и /etc/security/group только информацию об обычных группах.
  mkgroup Создает группу любого типа. Пользователь без прав доступа GroupAdmin может создать только обычную группу.
  rmgroup Удаляет группу любого типа. Пользователь без прав доступа GroupAdmin может удалить только обычную группу.
ListAuditClasses Эти права доступа позволяют просматривать список допустимых классов контроля. Пользователь, обладающий такими правами доступа, может не быть администратором и может не входить в группу audit.

Для просмотра классов контроля, доступных при создании или изменении пользователей, воспользуйтесь командой быстрого доступа smit mkuser или smit chuser. Введите список классов контроля в поле Классы контроля.

PasswdAdmin
Представляют собой аналог прав доступа root для паролей.

Права доступа PasswdAdmin необходимы для выполнения следующих команд:

  chsec Изменяет атрибуты lastupdate и flags всех пользователей. Пользователям, не имеющим прав доступа PasswdAdmin, команда chsec позволяет изменять атрибуты lastupdate и flags только для пользователей, не являющихся администраторами.
  lssec Позволяет просмотреть атрибуты lastupdate и flags любого пользователя. Пользователям, не имеющим прав доступа PasswdAdmin, команда lssec позволяет просматривать атрибуты lastupdate и flags только для пользователей, не являющихся администраторами.
  pwdadm Команда изменения паролей для всех типов пользователей. Пользователь должен входить в группу security.
PasswdManage
Необходимы для работы с паролями обычных пользователей.

Права доступа PasswdManage необходимы для выполнения следующих команд:

  pwdadm Команда изменения пароля обычного пользователя. Пользователь должен входить в группу security или иметь права доступа PasswdManage.

UserAdmin

Представляют собой аналог прав доступа root для данных о пользователях. Права UserAdmin необходимы для изменения роли пользователя. Этих прав недостаточно для получения доступа или изменения информации о контроле за действиями данного пользователя.

Права доступа UserAdmin необходимы для выполнения следующих команд:

  chfn Изменяет поле общей информации о пользователе (gecos). Если у пользователя, вызвавшего команду, нет прав доступа UserAdmin, но он входит в группу security, то он сможет изменять поле gecos любых пользователей, не являющихся администраторами. Все остальные пользователи могут изменить только свой атрибут gecos.
  chsec Изменяет данные пользователей-администраторов, хранящиеся в файлах /etc/passwd, /etc/security/environ, /etc/security/lastlog, /etc/security/limits и /etc/security/user, включая атрибуты ролей. Администраторы могут также изменять значения разделов по умолчанию и вносить изменения в файл /usr/lib/security/mkuser.default, но не могут изменять атрибуты контрольного класса.
  chuser Позволяет изменить любые атрибуты пользователя, за исключением контрольного класса. Пользователь без прав доступа UserAdmin может изменить любые атрибуты неадминистративного пользователя, за исключением контрольного класса и роли.
  mkuser Создает пользователя любого типа (за исключением контрольного класса). Пользователь без прав доступа UserAdmin может создать только обычного пользователя без атрибутов контрольного класса и роли.
  rmuser Удаляет пользователя любого типа. Пользователь без прав доступа UserAdmin может удалять только пользователей, не являющихся администраторами.
UserAudit Позволяют изменять информацию о контроле за действиями пользователя.

Права доступа UserAudit необходимы для выполнения следующих команд:

  chsec Изменяет атрибут контрольного класса, указанный в файле mkuser.default для пользователей, не являющихся администраторами. Если у пользователя есть права доступа UserAdmin, то он может также изменять в файле mkuser.default атрибуты контрольных классов для администраторов.
  chuser Команда изменения атрибута контрольного класса обычного пользователя. Администратор с правами доступа UserAdmin может изменить контрольный класс любого пользователя.
  lsuser Позволяет просматривать атрибут контрольного класса пользователей, не являющихся администраторами (при вызове под именем пользователя, не являющегося администратором, и не входящего в группу security). Пользователь с правами доступа UserAdmin может узнать контрольный класс любого пользователя.
  mkuser Создает нового пользователя и позволяет администратору задать контрольный класс для обычного пользователя. Пользователь с правами доступа UserAdmin также может изменить контрольный класс любого пользователя.
RoleAdmin Представляют собой аналог прав доступа root для данных о функциях пользователей.

Права доступа RoleAdmin необходимы для выполнения следующих команд:

  chrole Позволяет изменить роль. Если у пользователя нет прав доступа RoleAdmin, то команда завершает свою работу.
  lsrole Позволяет узнать роль пользователя.
  mkrole Позволяет создать роль. Если у пользователя нет прав доступа RoleAdmin, то команда завершает свою работу.
  rmrole Позволяет удалить роль. Если у пользователя нет прав доступа RoleAdmin, то команда завершает свою работу.
Restore
Требуются для восстановления данных в системе.

Права доступа Restore необходимы для выполнения следующих команд:

  Restore Восстановление резервных копий. Для выполнения этой команды необходимы права доступа Restore.

Полный список команд и прав доступа, необходимых для их выполнения, приведен в разделе Команды и права доступа в книге Руководство по управлению системой AIX 5L версии 5.1: Операционная система и устройства.


[ Страница назад | Страница вперед | Содержание | Индекс | Библиотека | Юридическая информация | Поиск ]