Controllo degli accessi basato sui ruoli
Il controllo degli accessi basato sui ruoli (RBAC) è stato aggiornato in Solaris 8 1/01. I database RBAC possono ora essere gestiti attraverso il tool Utenti della Solaris Management Console. Una modifica a livello di terminologia ha reso obsoleta la definizione di profili di esecuzione. Questo termine è stato sostituito con profili di autorizzazione, anche citati come autorizzazioni (nell'interfaccia utente grafica) o come profili (nella riga di comando e nei file).
Oltre alle autorizzazioni e ai comandi con attributi di protezione, questi profili possono contenere altri profili di autorizzazione. Se lo stesso comando compare in più profili di autorizzazione subordinati, viene considerata la prima istanza all'interno del file.
Il file policy.conf(4) riconosce ora la parola chiave PROFS_GRANTED, che permette di assegnare profili di autorizzazione predefiniti.
La figura seguente mostra in che modo vengono forniti gli attributi estesi degli utenti.
Figura 5-1 Database degli attributi
Il database user_attr contiene gli attributi illustrati, incluso un elenco separato da virgole dei nomi dei profili. Il contenuto dei profili è suddiviso tra il file prof_attr e il file exec_attr. Il file prof_attr contiene le informazioni che identificano il profilo di autorizzazione, le autorizzazioni assegnate al profilo e i profili secondari incorporati. Il file exec_attr identifica i criteri adottati e contiene i comandi con i relativi attributi di protezione. Il file auth_attr fornisce le informazioni sulle autorizzazioni ai tool della Solaris Management Console.
Nota -
Benché sia possibile assegnare le autorizzazioni direttamente agli utenti mediante user_attr, questa procedura è sconsigliata.
Il file policy.conf contiene gli attributi predefiniti da applicare a tutti gli utenti. Ad esempio, se il profilo di autorizzazione Printer Management viene assegnato a un utente o a un ruolo, la voce user_attr relativa a quell'utente o a quel ruolo conterrà la seguente coppia parola chiave/valore: profiles=Printer Management. Il file prof_attr definisce questo profilo, che specifica anche il file della guida e le autorizzazioni, con la riga seguente:
Printer Management:::Manage printers, daemons, spooling:help=RtPrntAdmin.html;auths=solaris.admin.printer, / solaris.admin.printer.modify,solaris.admin.printer.delete |
Nel file exec_attr, la riga seguente assegna un ID utente effettivo = lp al comando /usr/sbin/accept all'interno del profilo Printer Management:
Printer Management:suser:cmd:::/usr/sbin/accept:euid=lp |
La tabella seguente elenca i comandi che utilizzano le autorizzazioni.
Tabella 5-1 Comandi RBAC|
Comando |
Autorizzazioni associate |
|---|---|
|
at(1) |
solaris.jobs.user |
|
atq(1) |
solaris.jobs.admin |
|
cdrw(1) |
solaris.device.cdrw |
|
crontab(1) |
solaris.jobs.user, solaris.jobs.admin |
|
allocate(1M) |
solaris.device.allocate, solaris.device.revoke |
|
deallocate(1M) |
solaris.device.allocate, solaris.device.revoke |
|
list_devices(1M) |
solaris.device.revoke |
|
smcron(1M) |
solaris.jobs.admin, solaris.jobs.user |
|
smdiskless |
solaris.admin.dcmgr.clients, solaris.admin.dcmgr.read |
|
smexec(1M) |
solaris.profmgr.read, solaris.profmgr.write |
|
smgroup(1M) |
solaris.admin.usermgr.read, solaris.admin.usermgr.write |
|
smmultiuser(1M), smuser(1M) |
solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate |
|
smmaillist(1M) |
solaris.admin.usermgr.read, solaris.admin.usermgr.write |
|
smosservice |
solaris.admin.dcmgr.admin, solaris.admin.dcmgr.read |
|
smprofile(1M) |
solaris.profmgr.read, solaris.profmgr.write |
|
smrole(1M) |
solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate |
Per maggiori informazioni sulla Solaris Management Console, vedere "Strumenti di amministrazione del sistema".
- © 2010, Oracle Corporation and/or its affiliates