Neuerungen in der Betriebssystemumgebung Solaris 9

RBAC (Role-Based Access Control)

RBAC (Role-Based Access Control - rollenbasierte Zugriffssteuerung) wurde in Solaris 8 1/01 aktualisiert. RBAC-Datenbanken lassen sich jetzt über die grafische Benutzeroberfläche des User-Tools von Solaris Management Console verwalten. Aufgrund einer Terminologieänderung ist der Begriff Ausführungsprofile veraltet. Dieser Begriff wurde durch Rechteprofile ersetzt. Diese werden in der grafischen Benutzeroberfläche auch als Rechte und in der Befehlszeilenschnittstelle und in Dateien auch als Profile bezeichnet.

Zusätzlich zu Autorisierungen und Befehlen mit Sicherheitsattributen kann ein Rechteprofil jetzt andere Rechteprofile enthalten. Wenn derselbe Befehl in mehr als einem untergeordnetem Rechteprofil auftritt, hat das erste Auftreten in der Datei Vorrang.

Die Datei policy.conf(4) erkennt jetzt das Schlüsselwort PROFS_GRANTED, mit dem Sie Rechteprofile standardmäßig zuweisen können.

Die folgende Abbildung zeigt, wie die erweiterten Benutzerattribute dem Benutzer zugewiesen werden.

Abbildung 5-1 Erweiterte Attributdatenbanken

Graphic

Die Datenbank user_attr enthält die aufgeführten Attribute, einschließlich einer kommaseparierte Liste von Profilnamen. Der Inhalt der Profile wird auf die Datei prof_attr und die Datei exec_attr aufgeteilt. Die Datei prof_attr enthält Identifizierungsinformationen zu Rechteprofilen, Autorisierungen, die Rechteprofilen zugewiesen sind, und verschachtelte Rechteprofile. Die Datei exec_attr identifiziert die Richtlinien und enthält Befehle sowie die den Befehlen zugewiesenen Sicherheitsattribute. Die Datei auth_attr liefert Autorisierungsinformationen für die Solaris Management Console-Tools.


Hinweis -

Sie können Benutzern über user_attr Autorisierungen direkt zuweisen, doch dies ist nicht empfehlenswert.


Die Datei policy.conf stellt Standardattribute zur Verfügung, die auf alle Benutzer angewendet werden. Wenn zum Beispiel das Printer Management-Rechteprofil einem Benutzer oder einer Rolle zugewiesen wird, enthält der user_attr-Eintrag für diesen Benutzer bzw. diese Rolle das folgende Schlüsselwort/Wert-Paar: profiles=Printer Management. In der Datei prof_attr ist das Profil definiert und außerdem werden die Hilfedatei und die Autorisierungen festlegt, und zwar mit der folgenden Zeile:


Printer Management:::Manage printers, daemons, 
spooling:help=RtPrntAdmin.html;auths=solaris.admin.printer, 
/ solaris.admin.printer.modify,solaris.admion.printer.delete

In der Datei exec_attr wird mit der folgenden Zeile dem Befehl /usr/sbin/accept im Printer Management-Profil die effektive Benutzer-ID = lp zugewiesen:


Printer Management:suser:cmd:::/usr/sbin/accept:euid=lp

In der folgenden Tabelle sind Befehle aufgeführt, die mit Autorisierungen arbeiten.

Tabelle 5-1 RBAC-Befehle

Befehl 

Zugehörige Autorisierungen 

at(1)

solaris.jobs.user  

atq(1)

solaris.jobs.admin  

crdw(1)

solaris.device.cdrw 

crontab(1)

solaris.jobs.user, solaris.jobs.admin 

allocate(1M)

solaris.device.allocate, solaris.device.revoke 

deallocate(1M)

solaris.device.allocate, solaris.device.revoke  

list_devices(1M)

solaris.device.revoke 

smcron(1M)

solaris.jobs.admin, solaris.jobs.user 

smdiskless

solaris.admin.dcmgr.clients, solaris.admin.dcmgr.read  

smexec(1M)

solaris.profmgr.read, solaris.profmgr.write  

smgroup(1M)

solaris.admin.usermgr.read, solaris.admin.usermgr.write  

smmultiuser(1M), smuser(1M)

solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate 

smmaillist(1M)

solaris.admin.usermgr.read, solaris.admin.usermgr.write  

smosservice

solaris.admin.dcmgr.admin, solaris.admin.dcmgr.read  

smprofile(1M)

solaris.profmgr.read, solaris.profmgr.write  

smrole(1M)

solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate 

Weitere Informationen zu Solaris Management Console finden Sie unter "Systemadministrationstools".