Пользователь RBAC не может выполнить useradd в Solaris 10

Я пытаюсь создать пользователя в Solaris 10 с помощью RBAC, который может выполнять команды useradd и userdel. Но по каким-то причинам после создания профиля, роли и пользователя этот пользователь получает ошибку с разрешением, когда я выполняю команду useradd. Я думаю, что я делаю следующие шаги, которые я считаю следующими:

Создание профиля Solaris путем добавления в /etc/security/prof_attr Назначение административных команд профиля в /etc/security/exec_attr

Добавление новой роли Solaris с помощью команды roleadd Установите пароль роли. Назначьте эту роль профилю с помощью rolemod

6. Создайте нового пользователя и назначьте этого пользователя роли Добавить PATH=$PATH:/usr/sbin в .profile этого пользователя и экспортировать его. Пользователь создал Вход от этого пользователя в Solaris и запустил useradd. Receiving error UX:useradd: ERROR: Permission denied

Я читал в некоторых потоках и веб-сайтах, что для этого вам нужно сделать pfexec или предоставить sudo доступ к роли и т. Д. Но если Solaris предоставляет RBAC, то выше steos соответствуют документации Solaris, поэтому она должна работать. Может кто-то, пожалуйста, помогите прояснить это или способ, которым я могу это достичь? Или, может быть, я ошибаюсь и что-то не хватает?

Примечание. Я могу сделать выше, если я создаю пользователя root, но есть требование достичь этого с помощью пользователя RBAC.

Из вашего общего описания вам не хватает одного шага. У вас есть:

  1. Создать профиль RBAC /etc/security/prof_attr
  2. Создать команду, разрешенную для профиля /etc/security/exec_attr
  3. Создайте учетную запись ролей и назначьте ей профиль. roleadd -s /usr/bin/pfksh -P "Created Profile" roleA && passwd roleA
  4. Создайте учетную запись пользователя и назначьте ей роль. useradd -R roleA user01
  5. Попробуйте использовать профиль, назначенный роли, используя учетную запись пользователя. (не будет работать)

У вас есть два способа сделать эту работу. Используя развертывание, вам необходимо следующее:

  • Пользователь должен стать ролью su - roleA а затем роль может выполнить useradd через pfexec. pfexec useradd .. Или просто назначьте оболочку pfksh роли пользователя.

  • Или назначьте профиль непосредственно пользователю. используйте pfexec или assing pfksh для пользовательской оболочки. usermod -P "Created Profile" -s /usr/bin/pfksh user01; useradd

Если у вас есть проблемы, вы можете использовать ppriv -eD useradd чтобы просмотреть отсутствующие полномочия.