RBAC
Le RBAC (Role-based access control) a été mis à jour dans Solaris 8 1/01. Les bases de données RBAC sont désormais gérables via l'outil Utilisateur dans l'interface graphique de Solaris Management Console (console de gestion Solaris). En raison d'une modification terminologique, les termes profils d'exécution ne sont plus utilisés. Cette expression a été remplacée par profils de droits, ou droits (dans l'interface graphique) et profils (dans la ligne de commande et dans les fichiers).
Outre les autorisations et les commandes dotées d'attributs de sécurité, les profils de droits peuvent désormais inclure d'autres profils de droits. Si la même commande apparaît dans plus d'un profil de droits subordonné, la première occurrence dans le fichier est prioritaire.
Désormais, le fichier policy.conf(4) reconnaît le mot clé PROFS_GRANTED, ce qui vous permet d'attribuer des profils de droits par défaut.
L'illustration suivante montre comment les attributs utilisateur élargis sont fournis à l'utilisateur.
Figure 5-1 Elargissement des attributs des bases de données
La base de données user_attr comporte les attributs affichés, y compris une liste des noms de profil séparés par des virgules. Le contenu des profils est divisé entre les fichiers prof_attr et exec_attr. Le fichier prof_attr contient les informations d'identification des profils de droits, les autorisations attribuées au profil et les profils de droits logés. Le fichier exec_attr indique la police et contient les commandes accompagnées de leurs attributs de sécurité associés. Le fichier auth_attr fournit des informations d'autorisation aux outils de la Solaris Management Console (console de gestion Solaris).
Remarque :
Même s'il est possible d'attribuer des autorisations directement aux utilisateurs via user_attr, nous déconseillons cette pratique.
Le fichier policy.conf fournit les attributs par défaut à appliquer à tous les utilisateurs. Par exemple, si le profil de droits Printer Management (gestion de l'imprimante) est attribué à un utilisateur ou à un rôle, l'entrée user_attr correspondante comporte la paire mot clé/valeur suivante : profiles=Printer Management. Le fichier prof_attr définit ce profil, qui indique aussi le fichier d'aide et les autorisations, avec la ligne suivante :
Printer Management:::Manage printers, daemons, spooling:help=RtPrntAdmin.html;auths=solaris.admin.printer, / solaris.admin.printer.modify,solaris.admion.printer.delete |
Dans le fichier exec_attr, la ligne suivante attribue un ID utilisateur effectif = lp à la commande /usr/sbin/accept dans le profil Printer Management (gestion de l'imprimante) :
Printer Management:suser:cmd:::/usr/sbin/accept:euid=lp |
Le tableau suivant énumère les commandes qui utilisent des autorisations.
Tableau 5-1 Commandes RBAC|
Commande |
Autorisations associées |
|---|---|
|
at(1) |
solaris.jobs.user |
|
atq(1) |
solaris.jobs.admin |
|
crdw(1) |
solaris.device.cdrw |
|
crontab(1) |
solaris.jobs.user, solaris.jobs.admin |
|
allocate(1M) |
solaris.device.allocate, solaris.device.revoke |
|
deallocate(1M) |
solaris.device.allocate, solaris.device.revoke |
|
list_devices(1M) |
solaris.device.revoke |
|
smcron(1M) |
solaris.jobs.admin, solaris.jobs.user |
|
smdiskless |
solaris.admin.dcmgr.clients, solaris.admin.dcmgr.read |
|
smexec(1M) |
solaris.profmgr.read, solaris.profmgr.write |
|
smgroup(1M) |
solaris.admin.usermgr.read, solaris.admin.usermgr.write |
|
smmultiuser(1M), smuser(1M) |
solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate |
|
smmaillist(1M) |
solaris.admin.usermgr.read, solaris.admin.usermgr.write |
|
smosservice |
solaris.admin.dcmgr.admin, solaris.admin.dcmgr.read |
|
smprofile(1M) |
solaris.profmgr.read, solaris.profmgr.write |
|
smrole(1M) |
solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate |
Pour de plus amples informations sur Solaris Management Console, consultez la section "Outils d'administration système".
- © 2010, Oracle Corporation and/or its affiliates