'\" te .\" Copyright (c) 2004, 2015, Oracle and/or its affiliates.All rights reserved. .TH auths 1 "2015 年 3 月 10 日" "SunOS 5.11" "用户命令" .SH 名称 auths \- 管理和列出授权 .SH 用法概要 .LP .nf \fBauths\fR [\fIuser\fR]... .fi .LP .nf \fBauths\fR \fBlist\fR [\fB-S\fR \fIrepository\fR] [\fB-vx\fR] [\fB-u\fR \fIuser\fR] .fi .LP .nf \fBauths\fR \fBinfo\fR [\fB-S\fR \fIrepository\fR] [\fB-v\fR] [\fIauthorization\fR] .fi .LP .nf \fBauths\fR \fBcheck\fR [\fB-u\fR \fIuser\fR] \fIauthorization\fR .fi .LP .nf \fBauths\fR \fBadd\fR [\fB-S\fR \fIrepository\fR] \fB-t\fR \fIdescription\fR [\fB-h\fR \fIhelp_file_path\fR] \fIauthorization\fR .fi .LP .nf \fBauths\fR \fBmodify\fR [\fB-S\fR \fIrepository\fR] [\fB-t\fR \fIdescription\fR] [\fB-h\fR \fIhelp_file_path\fR] \fIauthorization\fR .fi .LP .nf \fBauths\fR \fBremove\fR [\fB-S\fR \fIrepository\fR] \fIauthorization\fR .fi .SH 描述 .sp .LP \fBauths\fR 命令在标准输出上列显已授予您或者随意指定的用户或角色的授权。授权是某些特权程序在确定用户是否可以执行受限功能时要检查的权限。 .sp .LP 此命令还可以在 \fBauth_attr\fR(4) 数据库中创建和修改授权及其属性(在本地文件名称服务或 LDAP 名称服务中)。\fBauths\fR 命令还在标准输出上列显已授予您或者随意指定的用户或角色的授权。 .sp .LP 管理员必须具有 "Rights Management"(权限管理)配置文件才能使用添加、修改或删除子命令管理 \fBauth_attr\fR(4) 数据库中的授权。 .sp .LP 每个用户可以具有零个或多个授权。授权由全限定名表示,该名称可标识创建授权的组织及其控制的功能。按照 Java 约定,授权的分层组件由句点 (\fB\&.\fR) 分隔,以创建组织的逆序 Internet 域名开头,以授权类中的特定函数结尾。授权不能以句点 (\fB\&.\fR) 结尾。 .sp .LP 星号 (\fB*\fR) 表示类中的所有授权。 .sp .LP 在 \fBuser_attr\fR(4) 和 \fB/etc/security/policy.conf\fR 文件中查找用户的授权(请参见 \fBpolicy.conf\fR(4))。可在 \fBuser_attr\fR(4) 中直接指定授权,或通过 \fBprof_attr\fR(4) 间接指定授权。也可以将授权作为缺省授权直接分配给系统中的每个用户,或者作为 \fB/etc/security/policy.conf\fR 文件中的缺省配置文件间接分配给每个用户。 .sp .LP 对于每个用户,共有两组配置文件,即已验证集和未验证集。已验证集中的授权总是有效,但是未验证集中的授权仅在获得验证质询的成功响应后才变为有效。此类质询在用户执行匹配已验证配置文件集中条目的命令时自动发出。请参见 \fBpfexec\fR(1)。 .SS "子命令" .sp .ne 2 .mk .na \fB\fBadd [-S \fIrepository\fR] -t \fIdescription\fR [-h \fIhelp_file_path\fR] \fI authorization\fR\fR\fR .ad .sp .6 .RS 4n 在指定的名称服务系统信息库 (\fIrepository\fR) 中创建指定的授权 (\fIauthorization\fR)。 .sp 如果未指定系统信息库选项,则在文件名称服务中创建授权。 .RE .sp .ne 2 .mk .na \fB\fBcheck [-u \fIuser\fR] \fI authorization\fR\fR\fR .ad .sp .6 .RS 4n 检查指定的授权 (\fIauthorization\fR) 是否已授予指定的用户名 (\fIuser\fR) 或当前用户。 .sp 如果用户具有相应的授权,则 \fBauths\fR 会以退出代码 \fB0\fR 退出。否则,该命令会返回大于 \fB1\fR 的退出代码。 .RE .sp .ne 2 .mk .na \fB\fBinfo [-S \fIrepository\fR] [-v] [\fIauthorization\fR]\fR\fR .ad .sp .6 .RS 4n 检查指定的授权 (\fIauthorization\fR) 是否存在于指定的名称服务系统信息库 (\fIrepository\fR),或基于 \fBnsswitch.conf\fR(4)nsswitch.conf(4) 进行查找。如果指定的授权存在,则会列出该授权,且 \fBauths\fR 以返回代码 \fB0\fR 退出。 .sp 如果未指定授权,\fBauths\fR 会列显指定的名称服务系统信息库中存在的所有授权,或基于 \fBnsswitch.conf\fR(4) 列显所有授权。 .RE .sp .ne 2 .mk .na \fB\fBlist [-S \fIrepository\fR] [-vx] [-u \fIuser\fR]\fR\fR .ad .sp .6 .RS 4n 列出分配给指定用户 (\fIuser\fR) 或当前用户的所有授权,如果未指定用户名,则基于名称服务系统信息库 (\fIrepository\fR) 列出所有授权。 .sp 如果未指定系统信息库,则基于 \fBnsswitch.conf\fR(4) 查找信息。 .RE .sp .ne 2 .mk .na \fB\fBmodify [-S \fIrepository\fR] [ -t \fIdescription\fR ] [ -h \fIhelp_file_path\fR] \fR\fR .ad .sp .6 .RS 4n 修改指定名称服务系统信息库中的现有授权。如果未指定系统信息库,则修改基于 \fBnsswitch.conf\fR(4) 找到的第一个名称服务中的授权。 .RE .sp .ne 2 .mk .na \fB\fBremove [-S \fIrepository\fR] \fI authorization\fR\fR\fR .ad .sp .6 .RS 4n 在指定的名称服务系统信息库 (\fIrepository\fR) 中删除现有授权 (\fIauthorization\fR)。 .sp 如果未指定系统信息库,则从基于 \fBnsswitch.conf\fR(4) 找到的第一个名称服务中删除授权。 .RE .SH 选项 .sp .LP \fBauths\fR 子命令支持以下选项: .sp .ne 2 .mk .na \fB\fB-h\fR \fIhelp_file_path\fR\fR .ad .RS 21n .rt 设置包含授权相关信息的帮助文件的位置。 .RE .sp .ne 2 .mk .na \fB\fB-S\fR \fIrepository\fR\fR .ad .RS 21n .rt 指定要修改或搜索的名称服务系统信息库 (repository)。支持的系统信息库选项为 \fBfiles\fR 和 \fBldap\fR。 .LP 注 - .sp .RS 2 更新 ldap 系统信息库时,LDAP 服务器和客户机都必须已配置 \fBEnableShadowUpdate=true\fR。 .RE 如果省略此选项,将基于 \fBnsswitch.conf\fR(4) 进行查找。 .RE .sp .ne 2 .mk .na \fB\fB-t\fR \fIdescription\fR\fR .ad .RS 21n .rt 指定授权的文本描述。 .RE .sp .ne 2 .mk .na \fB\fB-u\fR \fIuser\fR\fR .ad .RS 21n .rt 指定要列出或检查其授权的用户名 (\fIuser\fR)。 .sp 如果省略此选项,将使用当前用户。 .RE .sp .ne 2 .mk .na \fB\fB-v\fR\fR .ad .RS 21n .rt 列显授权描述。 .RE .sp .ne 2 .mk .na \fB\fB-x\fR\fR .ad .RS 21n .rt 仅列显授权。 .RE .SH 示例 .LP \fB示例 1 \fR使用 \fBauths\fR 命令 .sp .LP \fBauths\fR 的输出内容如下所示: .sp .in +2 .nf example% auths tester01 tester02 tester01 : solaris.system.date,solaris.jobs.admin tester02 : solaris.system.* example% .fi .in -2 .sp .sp .LP \fBtester01\fR 中的授权名称由逗号分隔,逗号后不加空格。 .sp .LP 以下命令列出分配给用户 \fBtester01\fR 的授权。 .sp .in +2 .nf example% auths list -u tester01 tester01: solaris.jobs.admin solaris.system.date .fi .in -2 .sp .LP \fB示例 2 \fR列出授权 .sp .LP 以下命令列出分配给用户 \fBtester01\fR 的授权及描述。 .sp .in +2 .nf example% auths list -v -u tester01 tester01: solaris.jobs.admin Manage All Jobs solaris.system.date Set Date & Time .fi .in -2 .sp .LP \fB示例 3 \fR列出授权 .sp .LP 以下命令列出名称服务中的授权和描述。 .sp .in +2 .nf example% auths info -v solaris.user.manage solaris.user.manage: Manage user accounts example% .fi .in -2 .sp .LP \fB示例 4 \fR添加授权 .sp .LP 以下命令将授权 \fBsolaris.foo.manage\fR 以及描述 \fBmanage foo\fR 和帮助文件 \fBAuthFoo.html\fR 添加到文件名称服务系统信息库中。 .sp .in +2 .nf example% auths add -t "manage foo"\e -h /home/abc/AuthFoo.html solaris.foo.manage .fi .in -2 .sp .LP \fB示例 5 \fR修改授权 .sp .LP 以下示例在 LDAP 中修改授权 \fBsolaris.foo.manage\fR,将描述设置为 \fBmanage foo and bar\fR,将帮助文件设置为 \fBAuthFooBar.html\fR。 .sp .in +2 .nf example% auths -S ldap modify -t " manage foo and bars"\e -h /home/abc/AuthFooBar.html solaris.foo.manage .fi .in -2 .sp .SH 退出状态 .sp .LP 将返回以下退出值: .sp .ne 2 .mk .na \fB\fB0\fR\fR .ad .RS 5n .rt 成功完成。 .RE .sp .ne 2 .mk .na \fB\fB1\fR\fR .ad .RS 5n .rt 出现错误。 .RE .sp .ne 2 .mk .na \fB\fB2\fR\fR .ad .RS 5n .rt 用户未经授权。 .RE .SH 文件 .sp .LP \fB/etc/user_attr\fR .sp .LP \fB/etc/security/auth_attr\fR .sp .LP \fB/etc/security/policy.conf\fR .sp .LP \fB/etc/security/prof_attr\fR .SH 属性 .sp .LP 有关下列属性的说明,请参见 \fBattributes\fR(5): .sp .sp .TS tab() box; cw(2.75i) |cw(2.75i) lw(2.75i) |lw(2.75i) . 属性类型属性值 _ 可用性system/core-os .TE .SH 另请参见 .sp .LP \fBprofiles\fR(1)、\fBroles\fR(1)、\fBgetauthattr\fR(3C)、\fBauth_attr\fR(4)、\fBpolicy.conf\fR(4)、\fBprof_attr\fR(4)、\fBuser_attr\fR(4)、\fBattributes\fR(5) .sp .LP \fI《Working With Oracle Solaris 11.3 Directory and Naming Services: LDAP》\fR