Contrôle d'accès basé sur des rôles

Dans les systèmes UNIX classiques, l'utilisateur racine, également appelé superutilisateur, est omnipotent, ayant le droit de lecture et d'écriture sur tous les fichiers, d'exécution de tous les programmes et d'envoi de signaux kill à n'importe quel processus. Le contrôle d'accès basé sur des rôles (RBAC) est une alternative au modèle superutilisateur « tout ou rien ». Le RBAC utilise le principe de sécurité du privilège minimum : aucun utilisateur ne doit se voir accorder plus de privilèges que nécessaire pour effectuer son travail.

Le RBAC permet une organisation permettant de séparer les droits du superutilisateur et de les regrouper dans des comptes utilisateurs ou rôles spéciaux pour les affecter à des individus particuliers. Cette séparation et ces groupements permettent d'appliquer une variété de règles de sécurité. Les comptes peuvent être créés pour des administrateurs aux fonctions spéciales dans des domaines comme la sécurité, la mise en réseau, les pare-feux, les sauvegardes et le fonctionnement du système.