RBAC (Role-Based Access Control - rollenbasierte Zugriffssteuerung) wurde in Solaris 8 1/01 aktualisiert. RBAC-Datenbanken lassen sich jetzt über die grafische Benutzeroberfläche des User-Tools von Solaris Management Console verwalten. Aufgrund einer Terminologieänderung ist der Begriff Ausführungsprofile veraltet. Dieser Begriff wurde durch Rechteprofile ersetzt. Diese werden in der grafischen Benutzeroberfläche auch als Rechte und in der Befehlszeilenschnittstelle und in Dateien auch als Profile bezeichnet.
Zusätzlich zu Autorisierungen und Befehlen mit Sicherheitsattributen kann ein Rechteprofil jetzt andere Rechteprofile enthalten. Wenn derselbe Befehl in mehr als einem untergeordnetem Rechteprofil auftritt, hat das erste Auftreten in der Datei Vorrang.
Die Datei policy.conf(4) erkennt jetzt das Schlüsselwort PROFS_GRANTED, mit dem Sie Rechteprofile standardmäßig zuweisen können.
Die folgende Abbildung zeigt, wie die erweiterten Benutzerattribute dem Benutzer zugewiesen werden.
Die Datenbank user_attr enthält die aufgeführten Attribute, einschließlich einer kommaseparierte Liste von Profilnamen. Der Inhalt der Profile wird auf die Datei prof_attr und die Datei exec_attr aufgeteilt. Die Datei prof_attr enthält Identifizierungsinformationen zu Rechteprofilen, Autorisierungen, die Rechteprofilen zugewiesen sind, und verschachtelte Rechteprofile. Die Datei exec_attr identifiziert die Richtlinien und enthält Befehle sowie die den Befehlen zugewiesenen Sicherheitsattribute. Die Datei auth_attr liefert Autorisierungsinformationen für die Solaris Management Console-Tools.
Sie können Benutzern über user_attr Autorisierungen direkt zuweisen, doch dies ist nicht empfehlenswert.
Die Datei policy.conf stellt Standardattribute zur Verfügung, die auf alle Benutzer angewendet werden. Wenn zum Beispiel das Printer Management-Rechteprofil einem Benutzer oder einer Rolle zugewiesen wird, enthält der user_attr-Eintrag für diesen Benutzer bzw. diese Rolle das folgende Schlüsselwort/Wert-Paar: profiles=Printer Management. In der Datei prof_attr ist das Profil definiert und außerdem werden die Hilfedatei und die Autorisierungen festlegt, und zwar mit der folgenden Zeile:
Printer Management:::Manage printers, daemons, spooling:help=RtPrntAdmin.html;auths=solaris.admin.printer, / solaris.admin.printer.modify,solaris.admion.printer.delete |
In der Datei exec_attr wird mit der folgenden Zeile dem Befehl /usr/sbin/accept im Printer Management-Profil die effektive Benutzer-ID = lp zugewiesen:
Printer Management:suser:cmd:::/usr/sbin/accept:euid=lp |
In der folgenden Tabelle sind Befehle aufgeführt, die mit Autorisierungen arbeiten.
Tabelle 5-1 RBAC-Befehle
Befehl |
Zugehörige Autorisierungen |
---|---|
at(1) |
solaris.jobs.user |
atq(1) |
solaris.jobs.admin |
crdw(1) |
solaris.device.cdrw |
crontab(1) |
solaris.jobs.user, solaris.jobs.admin |
allocate(1M) |
solaris.device.allocate, solaris.device.revoke |
deallocate(1M) |
solaris.device.allocate, solaris.device.revoke |
list_devices(1M) |
solaris.device.revoke |
smcron(1M) |
solaris.jobs.admin, solaris.jobs.user |
smdiskless |
solaris.admin.dcmgr.clients, solaris.admin.dcmgr.read |
smexec(1M) |
solaris.profmgr.read, solaris.profmgr.write |
smgroup(1M) |
solaris.admin.usermgr.read, solaris.admin.usermgr.write |
smmultiuser(1M), smuser(1M) |
solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate |
smmaillist(1M) |
solaris.admin.usermgr.read, solaris.admin.usermgr.write |
smosservice |
solaris.admin.dcmgr.admin, solaris.admin.dcmgr.read |
smprofile(1M) |
solaris.profmgr.read, solaris.profmgr.write |
smrole(1M) |
solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate |
Weitere Informationen zu Solaris Management Console finden Sie unter "Systemadministrationstools".