Rollenbasierte Zugriffssteuerung

In herkömmlichen Systemen, in denen Superuser-Zugriffsrechte vergeben werden können, werden jedem Benutzer, der sich als Superuser anmelden kann, sämtliche Superuser-Privilegien gewährt. Mittels rollenbasierter Zugriffssteuerung (Role-Based Access Control, RBAC) können Systemverwalter gewöhnlichen Benutzern eingeschränkte Administrationsbefugnisse zuweisen. Dies wird durch drei neue Funktionen ermöglicht:

• Autorisierungen -- Benutzerrechte, die Zugriff auf eine beschränkte Funktion gewähren

• Ausführungsprofile -- Verfahren zur Kombination von Autorisierungen und Befehlen mit speziellen Attributen, üblicherweise der Superuser-ID.

• Rollen -- spezielle Typen von Benutzerzugangsberechtigungen, die zur Durchführung von bestimmten Verwaltungsaufgaben dienen sollen

Der Systemverwalter legt ein Ausführungsprofil an, in dem die Autorisierungen und die privilegierten Befehle für eine oder mehrere bestimmte Aufgaben enthalten sind. Dieses Profil kann dann direkt einem Benutzer oder einer Rolle zugewiesen werden. Rollen werden wiederum Benutzern zugewiesen. Um Zugriff auf eine Rolle zu erhalten, führt ein Benutzer, dem diese Rolle zugewiesen ist, den su-Befehl aus. Bei Rollen handelt es sich um gemeinsam genutzte Zugangsberechtigungen. Dies hat den Vorteil, daß Rollen nicht aktualisiert werden müssen, wenn sich einzelne Zuständigkeiten ändern. Folgende neue Dateien unterstützen RBAC:

• /etc/user_attr -- speichert erweiterte Sicherheitsattribute, die sich auf Benutzer und Rollen beziehen.

• /etc/security/auth_attr -- listet Autorisierungen auf und beschreibt sie.

• /etc/security/prof_attr -- listet Ausführungsprofile und die zugehörigen Autorisierungen auf.

• /etc/security/exec_attr -- ordnet den Ausführungsprofilen Ausführungsattribute zu.

• /etc/security/policy.conf -- stellt die Konfiguration der Sicherheitsstrategie für Attribute auf Benutzerebene zur Verfügung.

Weitere Informationen finden Sie im System Administration Guide, Volume 2