Rollbaserad åtkomstkontroll
Rollbaserad åtkomstkontroll (RBAC) uppdaterades i programvaruversionen Solaris 8 1/01. Nu kan RBAC-databaser hanteras från verktyget Användare i det grafiska gränssnittet Solaris Management Console. En terminologiförändring har gjort termen exekveringsprofiler föråldrad. Termen har ersatts med rättighetsprofil, även kallat rättigheter (i det grafiska gränssnittet) och profiler (på kommandoraden och i filer).
Utöver behörigheter och kommandon med säkerhetsattribut kan en rättighetsprofil nu även innehåller andra rättighetsprofiler. Om ett kommando förekommer i mer än en underordnad rättighetsprofil, är det den först påträffade som gäller.
I filen policy.conf(4) accepteras numer nyckelordet PROFS_GRANTED med vars hjälp du kan tilldela rättighetsprofiler automatiskt.
Bilden nedan visar hur de utökade användarattributen tilldelas användaren.
Figur 5-1 Databaser för utökade attribut
Databasen user_attr innehåller de visade attributen, samt en kommaseparerad förteckning över profilnamn. Profilernas innehåll är fördelat i filerna prof_attr och exec_attr. Filen prof_attr innehåller identifieringsinformation för rättighetsprofilerna, behörigheter som tilldelats rättighetsprofilen samt kapslade rättighetsprofiler. Filen exec_attr identifierar principerna och innehåller kommandon och de säkerhetsattribut som är kopplade till dem. Filen auth_attr innehåller behörighetsinformation avsedd för verktygen i Solaris Management Console.
Obs!
Att tilldela användare behörigheter direkt med hjälp av user_attr rekommenderas inte.
Filen policy.conf innehåller standardattribut som ska tillämpas på alla användare. Om till exempel rättighetsprofilen Skrivarhantering tilldelas en användare eller roll innehåller user_attr-posten för den användaren eller rollen följande nyckelord/värde-par: profiles=Printer Management. I filen prof_attr definieras den här profilen med följande rad, där även hjälpfilen och behörigheterna anges:
Printer Management:::Manage printers, daemons, spooling:help=RtPrntAdmin.html;auths=solaris.admin.printer, / solaris.admin.printer.modify,solaris.admion.printer.delete |
I filen exec_attr innebär följande rad att det faktiska användar-ID:t lp tilldelas kommandot /usr/sbin/accept i profilen Skrivarhantering:
Printer Management:suser:cmd:::/usr/sbin/accept:euid=lp |
Följande tabell är en förteckning över kommandon som stöder behörigheter.
Tabell 5-1 RBAC-kommandon|
Kommando |
Kopplade behörigheter |
|---|---|
|
at(1) |
solaris.jobs.user |
|
atq(1) |
solaris.jobs.admin |
|
crdw(1) |
solaris.device.cdrw |
|
crontab(1) |
solaris.jobs.user, solaris.jobs.admin |
|
allocate(1M) |
solaris.device.allocate, solaris.device.revoke |
|
deallocate(1M) |
solaris.device.allocate, solaris.device.revoke |
|
list_devices(1M) |
solaris.device.revoke |
|
smcron(1M) |
solaris.jobs.admin, solaris.jobs.user |
|
smdiskless |
solaris.admin.dcmgr.clients, solaris.admin.dcmgr.read |
|
smexec(1M) |
solaris.profmgr.read, solaris.profmgr.write |
|
smgroup(1M) |
solaris.admin.usermgr.read, solaris.admin.usermgr.write |
|
smmultiuser(1M), smuser(1M) |
solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate |
|
smmaillist(1M) |
solaris.admin.usermgr.read, solaris.admin.usermgr.write |
|
smosservice |
solaris.admin.dcmgr.admin, solaris.admin.dcmgr.read |
|
smprofile(1M) |
solaris.profmgr.read, solaris.profmgr.write |
|
smrole(1M) |
solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate |
Mer information om Solaris Management Console finns i "Systemadministrationsverktyg".
- © 2010, Oracle Corporation and/or its affiliates