ユーザが完全機能のデスクトップ環境内でグラフィカルなセッションを開始すると、認可エージェントが裏で自動的に起動されます。このエージェントは何らかの認証が必要となった場合にのみ表に現れるだけで、それ以外の状況では表には全く現れません。なお、テキストモードで起動した場合や SSH 経由でログインした場合は自動で起動されませんので、以降はグラフィカルなセッションを想定して記しています。

Polkit の設定は、 アクション と 認可ルール を元にして作られています:

Polkit には、特定の作業を行うためのコマンドが用意されています (より詳しい説明については、それぞれのマニュアルページをお読みください):

特定のアクションに対して専用の Polkit JavaScript ルールが記述されていない場合、その結果は、 Polkit のポリシーファイルの各アクションに対して設定されている暗黙の認可設定に従って決定されます。この暗黙の認可設定には allow_active , allow_inactive , allow_any の 3 種類があります。 allow_active は動作中のセッション内にいるユーザに適用されるもので、テキストモードやグラフィカルユーザインターフェイスでログインしているユーザに適用されます。なお、ログイン中であっても、ユーザがコンソールを切り替えるなどして動作中でなくなると、 allow_inactive が適用されます。また、 allow_any は SSH や VNC などでログインしているリモートのユーザなど、それ以外の状況下で適用されます。これらそれぞれに対して、下記に示すいずれかの認可を割り当てることができます:

ここまでに説明してきた Polkit のポリシーファイル内の暗黙の認可設定は、アプリケーションの開発者が規定した既定の暗黙ポリシーセットが元になっています。このようなポリシーは 「提供元の既定値」 と呼ばれます。提供元の既定値で設定された権限は、既定の SUSE システムで有効化されていない場合もあります。 openSUSE Leap では、提供元の既定値を上書きする独自の権限セットを用意していますが、これには 3 種類のセットが含まれています:

既定の権限を切り替えたい場合は、 /etc/sysconfig/security ファイル内にある POLKIT_DEFAULT_PRIVS の値を、 easy , standard , restrictive のいずれかに設定してください。設定が終わったら、 root で set_polkit_default_privs を実行します。

上述のファイルについては変更してはなりません。独自の権限セットを構築したい場合は、 /etc/polkit-default-privs.local で設定してください。詳しくは 18.4.3項 「SUSE 既定の権限設定の変更」 をお読みください。

お使いのシステムでどのようなアクションが利用できるのかは、どのパッケージをインストールしているのかによって決まります。概要を表示したい場合は、 pkaction を実行して、定義済みの全ルールを一覧で表示させてください。

下記では、例として gparted コマンド ( 「GNOME パーティションエディタ」 ) における Polkit との連携例を示しています。

/usr/share/polkit-1/actions/org.opensuse.policykit.gparted.policy ファイルには、下記のような内容が書かれています:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE policyconfig PUBLIC
 "-//freedesktop//DTD PolicyKit Policy Configuration 1.0//EN"
 "http://www.freedesktop.org/standards/PolicyKit/1.0/policyconfig.dtd">
<policyconfig> 1

  <action id="org-opensuse-polkit-gparted"> 2
    <message>Authentication is required to run the GParted Partition Editor</message>
    <icon_name>gparted</icon_name>
    <defaults> 3
      <allow_any>auth_admin</allow_any>
      <allow_inactive>auth_admin</allow_inactive>
     < allow_active>auth_admin</allow_active>
    </defaults>
    <annotate 4
      key="org.freedesktop.policykit.exec.path">/usr/sbin/gparted</annotate>
    <annotate 4
      key="org.freedesktop.policykit.exec.allow_gui">true</annotate>
  </action>

</policyconfig>

独自のポリシーを追加したい場合は、上記のような構造で .policy ファイルを作成し、 id 属性に適切な値を設定して、既定のアクセス許可を記述してください。

注記: 以前の名称 PolicyKit について

Polkit 認可フレームワークは以前、 PolicyKit という名称で呼ばれていました。このことから、 XML 文書の属性値などには古い名称が残っている場合があります。

独自の認可ルールを作成することで、暗黙の認可を上書きして動作させることができます。独自のルールを作成する場合は、 /etc/polkit-1/rules.d/ ディレクトリ内にファイルを作成してください。

このディレクトリにファイルを配置する場合、ファイル名は 2 桁の数字ではじめ、ハイフンで区切ってその後ろにわかりやすい名前を続けて、末尾は .rules で終わらせるようにしてください。これらのファイル内の関数は、並べ替えられた順に実行されます。たとえば 00-foo.rules ファイルは 60-bar.rules や 90-default-privs.rules ファイルの前に実行されます。

ルールファイル内はスクリプト形式で、まずアクション ID (.policy ファイルで定義されている値) が特定のものであるかどうかをチェックします。たとえば gparted というコマンドを admin グループ内の任意のユーザに対して許可したい場合は、 org.opensuse.policykit.gparted のアクション ID に対して、下記のような処理を記述します:

/* Allow users in admin group to run GParted without authentication */
polkit.addRule(function(action, subject) {
    if (action.id == "org.opensuse.policykit.gparted" &&
        subject.isInGroup("admin")) {
        return polkit.Result.YES;
    }
});

Polkit API 内で提供されている全てのクラスとメソッドについて、詳しくは https://www.freedesktop.org/software/polkit/docs/latest/ref-api.html をお読みください。

18.2.2項 「SUSE 既定の権限」 で説明しているとおり、 SUSE では、提供元の開発者が設定した Polkit の暗黙の認可設定を上書きする設定を提供しています。それ以外の独自の権限については、 /etc/polkit-default-privs.local ファイル内に記述してください。ここで定義された権限は、その他の設定ファイル内に書かれているものよりも常に優先して適用されます。独自の権限セットを定義したい場合は、下記のようにして行います:

SUSE での Polkit 既定値に関する詳しいドキュメンテーションについては、 man polkit-default-privs をお読みください。