4장. PolicyKit
PolicyKit 유틸리티는 권한 있는 프로그램(예: 제목)에 서비스를 제공하는 권한 있는 프로그램(예: 주체라고도 함)에서 사용하는 권한 부여 API를 제공하는 프레임워크입니다. 다음은 PolicyKit 변경 사항 또는 polkit 시스템 이름에 대한 세부 사항입니다.
4.1. 정책 구성
새로운 기능이 우려되는 한, 권한 부여 규칙은 이제 JavaScript .rules 파일에 정의되어 있습니다. 즉, 규칙과 관리자 상태를 모두 정의하는 데 동일한 파일이 사용됩니다. 이전에는 이 정보가 두 가지 다른 파일 유형(
*.pkla 및 *.conf )에 저장되었으며, 이 경우 키/값 쌍을 사용하여 추가 로컬 권한 부여를 정의했습니다.
이러한 새로운 .rules 파일은 두 위치에 저장됩니다. 로컬 사용자 지정에 대한
polkit 규칙은 /etc/polkit-1/rules.d/ 디렉터리에 저장되지만 타사 패키지는 /usr/share/polkit-1/rules.d/ 에 저장됩니다.
기존
.conf 및 .pkla 구성 파일은 보존되어 .rules 파일과 함께 존재합니다. polkit 은 Red Hat Enterprise Linux 7에 대한 호환성 문제를 염두에 두고 업그레이드되었습니다.
규칙 우선 순위의 논리가 변경되었습니다.
polkitd 는 /etc/polkit-1/rules.d 및 /usr/share/polkit-1/rules.d 디렉토리의 lexicographic 순서에서 .rules 파일을 읽습니다. 두 파일의 이름이 동일하게 지정되면 /etc 의 파일이 /usr 에 있는 파일보다 먼저 처리됩니다. 또한 기존 규칙은 /etc/polkit-1/rules.d/49-polkit-pkla-compat.rules 파일에서 적용합니다. 따라서 /usr 또는 /etc 에 있는 .rules 파일에 49-polkit-pkla-compat 이전에 .rules를 lexicographic 순서에서 제공하는 이름으로 덮어쓸 수 있습니다. 이전 규칙을 재정의하지 않도록 하는 가장 간단한 방법은 번호 49가 넘는 다른 모든 .rules 파일의 이름을 시작하는 것입니다.
다음은 .rules 파일의 예입니다. 스토리지 그룹의 시스템 장치에서 파일 시스템을 마운트할 수 있는 규칙을 생성합니다. 규칙은
/etc/polkit-1/rules.d/10-enable-mount.rules 파일에 저장됩니다.
예 4.1. 시스템 장치에 파일 시스템 마운트 허용
polkit.addRule(function(action, subject) {
if (action.id == "org.freedesktop.udisks2.filesystem-mount-system" &&
subject.isInGroup("storage")) {
return polkit.Result.YES;
}
});
자세한 내용은 다음을 참조하십시오.
- polkitpolkit - JavaScript 규칙 및 우선 순위 규칙에 대한 설명의 도움말 페이지.
- pkla-admin-identities2.0.0 및 pkla-check-authorization(8) - 각각
.conf및.pkla파일 형식에 대한 설명서 페이지입니다.
