Я ищу конфигурацию RBAC на solaris10 для достижения следующих целей:
user=jon
group=jtu
jon is owner of /opt/app
user=ken
group=jtu
ken is owner of /data
в Linux я добавил строку ниже
%jtu ALL= NOPASSWD: /bin/*, /usr/bin/*
чтобы Джон мог получать доступ к / data / tmp и удалять файлы.
Это не работает на solaris10, поскольку по умолчанию sudo отсутствует.
Как настроить RBAC в solaris10, чтобы Джон мог удалять файлы в / data / tmp?
Спасибо
Это немного болтовня ...
Сначала вам нужно определить, какие команды нужно запускать Джону с разными привилегиями.
Мы предположим, что uid ken - 1107, поскольку мы собираемся дать Джону возможность удалять файлы и каталоги, как если бы он был ken
Когда у вас есть список, добавьте эти команды в /etc/security/exec_attr используя ваш любимый текстовый редактор вот так
jonpriv:solaris:cmd:::/usr/bin/rm:uid=1107
jonpriv:solaris:cmd:::/usr/bin/rmdir:uid=1107
Создайте авторизацию для jonpriv, добавив в /etc/security/auth_attr
solaris.jonpriv.:::An authorization for jon::help=
Теперь создайте профиль для Джона, отредактировав /etc/security/prof_attr
jonpriv:::jons profile.:auths=solaris.jonpriv
наконец, дайте Джону доступ к профилю
usermod -P jonpriv jon
Джон теперь может использовать rm и rmdir как если бы он знал это
pfexec rm some_file
pfexec rmdir some_directory
Если бы я делал это по-настоящему, я бы серьезно подумал об установке sudo из солнечные лучи