Solaris 8 und 9 verfügen über einen leistungsstarken integrierten Mechanismus, der ursprünglich nur in vertrauenswürdigen Umgebungen verfügbar war. Die rollenbasierte Zugriffssteuerung (RBAC) implementiert ein Autorisierungssystem, das auf den geringsten Privilegien basiert. In diesem Modell können mehrere Administratorrollen erstellt und Benutzern zugeordnet werden, sodass eine Person nur den erforderlichen Zugriff zum Ausführen ihrer delegierten Aufgaben hat, z. B. zum Neustarten privilegierter Dienste, zum Neustarten des Systems oder zum Verwalten der Druckwarteschlange. RBAC ermöglicht eine genauere Kontrolle der Implementierung von Sicherheitsrichtlinien. Dieses Rezept ist das erste einer Reihe über RBAC und bietet eine Einführung in seine Komponenten.
RBAC-Übersicht:
Zentral für die rollenbasierte Zugriffssteuerung ist die Rolle. Eine Rolle ähnelt einem Benutzer insofern, als er eine Benutzer-ID, ein Kennwort und sogar ein Basisverzeichnis hat. Rollen haben auch Zuordnungen zu bestimmten Aufgaben oder Funktionen, die ihnen zugewiesen sind. Ein Benutzer, der berechtigt ist, eine Rolle zu übernehmen, wechselt einfach mit dem Befehl su zu dieser Rolle, genauso wie er normalerweise den Benutzer auf root umstellt.
RBAC-Konfigurationen mögen anfangs abschreckend erscheinen, aber ein Blick auf einige Beispiele wird hilfreich sein. Denken Sie daran, dass Benutzern Rollen zugewiesen werden, Rollen Profile zugewiesen werden und bestimmten Befehlen Profile zugewiesen werden.
Konfigurationsdateien:
/ etc / user_attr Datenbank für Benutzerattribute
Diese Datei verknüpft Benutzer mit den Rollen, die sie übernehmen dürfen.
/ etc / security / auth_attr Berechtigungsbeschreibungsdatenbank
Definitionen der Berechtigungen werden in auth_attr konfiguriert. Eine Berechtigung im Rahmen von RBAC ermöglicht die Durchführung von Aktionen.
/ etc / security / exec_attr Ausführungsprofile Datenbank
In exec_attr definierte Ausführungsattribute werden verwendet, um die Profile für Befehle zu bestimmen, die unter RBAC ausgeführt werden. Dazu gehören die Benutzer-ID und die effektive Benutzer-ID, unter der der Befehl ausgeführt wird.
/ etc / security / prof_attr Ausführungsprofilbeschreibungsdatenbank
Profile sind Gruppierungen von Berechtigungen oder Sicherheitsattributen, die auf Benutzer oder Rollen angewendet werden können. Profile können große RBAC-Infrastrukturen vereinfachen, scheinen aber einfache Konfigurationen zu komplizieren.