系统管理指南:安全性服务

RBAC 角色

角色是一种特殊类型的用户帐户,通过此帐户可运行特权应用程序。角色与用户帐户使用相同的常规方式创建。角色具有起始目录、组指定和口令等。权限配置文件和授权可为角色提供管理功能。角色不能从其他角色或其他用户那里继承功能。各角色分配有相应的超级用户功能,因此可以实现更为安全的管理。

用户承担某种角色时,此角色的属性将替换所有用户属性。角色信息存储在 passwdshadowuser_attr 数据库中。可以将角色信息添加到 audit_user 数据库中。有关设置角色的详细信息,请参见以下各节:

可以为多个用户分配一种角色。所有可以承担同一角色的用户都具有同一角色起始目录,在同一环境中运行,并且可访问相同文件。用户可以通过从命令行运行 su 命令并提供角色名称和口令来承担角色,还可以在 Solaris Management Console 工具中承担角色。

角色无法直接进行登录。用户需要首先登录,然后才能承担角色。用户承担一种角色之后,如果不首先退出当前角色,则无法承担其他角色。用户退出此角色之后,便可承担其他角色。

可以通过将 root 用户更改为角色(如如何使 root 用户成为角色中所示),防止匿名 root 进行登录。 如果要审计配置文件 shell 命令 pfexec ,则审计跟踪需要包含登录用户的实际 UID、用户承担的角色以及相应角色执行的操作。要针对角色操作来审计系统或特定用户,请参见如何审计角色

Solaris 软件没有附带任何预定义的角色。