O usuário do RBAC não pode executar useradd no Solaris 10

0

Estou tentando criar um usuário no Solaris 10 usando o RBAC, que pode executar os comandos useradd e userdel. Mas, por alguns motivos, depois de criar o perfil, função e usuário, esse usuário recebe um erro de permissão negada quando eu executo o comando useradd. Acho que estou seguindo os passos corretos que eu acho que são os seguintes:

Creating a Solaris Profile by adding in /etc/security/prof_attr Assign this Profile administrative commands in /etc/security/exec_attr

Adding a new Solaris role by using roleadd command Set Role password Assign this Role to the Profile using rolemod

6.Create a new user and assign this user to the role Add PATH=$PATH:/usr/sbin in the .profile of this user and export it. User created Login from this user to Solaris and run useradd. Receiving error UX:useradd: ERROR: Permission denied

Eu li em alguns tópicos e sites que para fazer isso você tem que fazer pfexec ou fornecer acesso sudo para a função etc. Mas se o Solaris fornece RBAC, então os steos acima são conforme a documentação do Solaris, então deveria ter funcionado. Alguém por favor pode ajudar a esclarecer isso ou uma maneira em que eu possa conseguir isso? Ou talvez eu esteja errado e tenha perdido alguma coisa?

Nota: Eu posso fazer o acima se eu criar um usuário baseado em raiz, mas há um requisito para conseguir isso com um usuário RBAC.

    
por A J 17.09.2015 / 03:41

1 resposta

2

De sua descrição geral, você está perdendo um passo. O que você tem é:

  1. Criar perfil do RBAC /etc/security/prof_attr
  2. Criar comando permitido para o perfil /etc/security/exec_attr
  3. Crie uma conta de função e atribua o perfil a ela. %código%
  4. Crie a conta do usuário e atribua a função a ela. %código%
  5. Tente usar o perfil atribuído à função usando a conta de usuário. (não funciona)

Você tem duas maneiras de fazer isso funcionar. Usando sua implantação, você precisa do seguinte:

  • O usuário precisa se tornar o papel roleadd -s /usr/bin/pfksh -P "Created Profile" roleA && passwd roleA e, em seguida, o papel pode executar useradd via pfexec. useradd -R roleA user01 Ou apenas atribua o shell pfksh ao usuário da função.

  • Ou atribua o perfil diretamente ao usuário. use pfexec ou associe pfksh ao shell do usuário. su - roleA

Se você tiver problemas, pode usar pfexec useradd .. para ver autorizações ausentes.

    
por 17.09.2015 / 12:52