Estou procurando a configuração do RBAC no solaris10 para obter o seguinte:
user=jon
group=jtu
jon is owner of /opt/app
user=ken
group=jtu
ken is owner of /data
no Linux eu adicionei a linha abaixo
%jtu ALL= NOPASSWD: /bin/*, /usr/bin/*
para que Jon possa acessar/data/tmp e excluir arquivos.
Isso não funciona no solaris10, pois não há sudo por padrão.
Como configurar o RBAC no solaris10 para que Jon possa excluir arquivos em/data/tmp?
Obrigado
Responder1
É um pouco palavrório...
Primeiro você precisa descobrir quais comandos Jon precisa executar com privilégios diferentes
Assumiremos que o uid de ken é 1107, pois daremos a jon a capacidade de remover arquivos e diretórios como se ele fosse ken
Depois de ter a lista, adicione esses comandos /etc/security/exec_attrusando seu editor de texto favorito, assim
jonpriv:solaris:cmd:::/usr/bin/rm:uid=1107
jonpriv:solaris:cmd:::/usr/bin/rmdir:uid=1107
Crie uma autorização para jonpriv adicionando o seguinte a/etc/security/auth_attr
solaris.jonpriv.:::An authorization for jon::help=
Agora crie um perfil para Jon editando/etc/security/prof_attr
jonpriv:::jons profile.:auths=solaris.jonpriv
finalmente dê ao Jon acesso ao perfil
usermod -P jonpriv jon
Jon agora pode usar rme rmdircomo se ele soubesse disso
pfexec rm some_file
pfexec rmdir some_directory
Se fosse eu fazendo isso de verdade, consideraria seriamente instalar o sudo desunfreeware