test

Solaris 9: Novedades del sistema operativo

Control de acceso basado en el rol

En la versión Solaris 8 1/01 se ha actualizado el control de acceso basado en el rol (RBAC). Las bases de datos RBAC ya se pueden gestionar con la herramienta de usuario de la interfaz gráfica de Solaris Management Console. Un cambio terminológico ha hecho que la expresión perfiles de ejecución se haya quedado obsoleta. La expresión se ha sustituido por perfiles de derechos, o sencillamente "derechos" (en la interfaz gráfica) y "perfiles" (en la línea de comandos y en archivos).

Además de autorizaciones y comandos con atributos de seguridad, un perfil de derechos también puede incluir otros perfiles de derechos. Si aparece el mismo comando en varios perfiles de derechos subordinados, la primera aparición del archivo es la que tiene preferencia.

El archivo policy.conf(4) ahora reconoce la palabra clave PROFS_GRANTED, que permite asignar perfiles de derechos de forma predeterminada.

La figura siguiente muestra cómo se asignan los atributos de usuario ampliados al usuario.

Figura 5-1 Bases de datos de atributos ampliados

Graphic

La base de datos user_attr contiene los atributos que se muestran, incluida una lista de nombres de perfiles separados por comas. El contenido de los perfiles se divide entre los archivos prof_attr y exec_attr. El archivo prof_attr contiene información de identificación de perfiles de derechos que se asignan al perfil de derechos y a los perfiles de derechos anidados. El archivo exec_attr identifica la política y contiene comandos con sus atributos de seguridad asociados. El archivo auth_attr proporciona información de autorización a las herramientas de Solaris Management Console.

Nota -

Aunque se pueden asignar autorizaciones directamente a los usuarios mediante user_attr, no es recomendable usar este método.

El archivo policy.conf proporciona atributos predeterminados que se aplicarán a todos los usuarios. Por ejemplo, si el perfil de derechos de gestión de impresión se asigna a un usuario o posición, la entrada user_attr de dicho usuario o posición contendrá el par palabra clave/valor: profiles=Printer Management. El archivo prof_attr define este perfil, que especifica también el archivo de ayuda y las autorizaciones, con la línea siguiente: 


Printer Management:::Manage printers, daemons, 
spooling:help=RtPrntAdmin.html;auths=solaris.admin.printer, 
/ solaris.admin.printer.modify,solaris.admion.printer.delete

En el archivo exec_attr, la línea siguiente asigna una identificación de usuario real ID = lp al comando /usr/sbin/accept, dentro del perfil de gestión de impresión:


Printer Management:suser:cmd:::/usr/sbin/accept:euid=lp

La tabla siguiente enumera los comandos que usan autorizaciones.

Tabla 5-1 Comando RBAC

Comando 

Autorizaciones asociadas 

at(1)

solaris.jobs.user  

atq(1)

solaris.jobs.admin  

crdw(1)

solaris.device.cdrw 

crontab(1)

solaris.jobs.user, solaris.jobs.admin 

allocate(1M)

solaris.device.allocate, solaris.device.revoke 

deallocate(1M)

solaris.device.allocate, solaris.device.revoke  

list_devices(1M)

solaris.device.revoke 

smcron(1M)

solaris.jobs.admin, solaris.jobs.user 

smdiskless

solaris.admin.dcmgr.clients, solaris.admin.dcmgr.read  

smexec(1M)

solaris.profmgr.read, solaris.profmgr.write  

smgroup(1M)

solaris.admin.usermgr.read, solaris.admin.usermgr.write  

smmultiuser(1M), smuser(1M)

solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate 

smmaillist(1M)

solaris.admin.usermgr.read, solaris.admin.usermgr.write  

smosservice

solaris.admin.dcmgr.admin, solaris.admin.dcmgr.read  

smprofile(1M)

solaris.profmgr.read, solaris.profmgr.write  

smrole(1M)

solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate 

Para obtener más información sobre Solaris Management Console, consulte "Herramientas de administración del sistema".