Я ищу конфигурацию RBAC на solaris10 для достижения следующего:
user=jon
group=jtu
jon is owner of /opt/app
user=ken
group=jtu
ken is owner of /data
в Linux я добавил следующую строку
%jtu ALL= NOPASSWD: /bin/*, /usr/bin/*
чтобы jon мог получить доступ к /data/tmp и удалить файлы.
Это не работает на Solaris10, поскольку по умолчанию sudo отсутствует.
Как настроить RBAC в solaris10, чтобы jon мог удалять файлы в /data/tmp?
Спасибо
решение1
Это своего рода пустая болтовня...
Сначала вам нужно выяснить, какие команды Джону нужно запускать с разными привилегиями.
Предположим, что uid Кена — 1107, поскольку мы собираемся предоставить Джону возможность удалять файлы и каталоги, как если бы он был Кеном.
Как только у вас будет список, добавьте эти команды, /etc/security/exec_attrиспользуя ваш любимый текстовый редактор, например так:
jonpriv:solaris:cmd:::/usr/bin/rm:uid=1107
jonpriv:solaris:cmd:::/usr/bin/rmdir:uid=1107
Создайте авторизацию для jonpriv, добавив следующее/etc/security/auth_attr
solaris.jonpriv.:::An authorization for jon::help=
Теперь создайте профиль для Джона, отредактировав/etc/security/prof_attr
jonpriv:::jons profile.:auths=solaris.jonpriv
наконец-то дайте Джону доступ к профилю
usermod -P jonpriv jon
Джон теперь может использовать rmи rmdirкак будто он был кен таким образом
pfexec rm some_file
pfexec rmdir some_directory
Если бы я делал это на самом деле, я бы серьезно подумал об установке sudo изsunfreeware