롤 기반 액세스 제어(RBAC)
롤 기반 액세스 제어(RBAC)는 Solaris 8 1/01 소프트웨어 릴리스에서 업데이트되었습니다. RBAC 데이터베이스는 이제 Solaris 관리 콘솔 그래픽 인터페이스에서 사용자 도구를 통해 관리할 수 있습니다. 용어 변경으로 인해 용어 실행 프로필은 쓰이지 않게 되었습니다. 용어는 (그래픽 인터페이스에서) 권한과 (명령행 및 파일에서) 프로필이라고도 하는 권한 프로필로 대체되었습니다.
보안 속성을 가진 인증 및 명령 외에 권한 프로필은 이제 다른 권한 프로필을 포함할 수 있습니다. 동일한 명령이 하나 이상의 부속 권한 프로필에 나타나면 파일에서의 첫번째 출현에 우선 순위를 둡니다.
policy.conf(4) 파일은 이제 기본적으로 권한 프로필을 지정할 수 있도록 하는 키워드 PROFS_GRANTED를 인식합니다.
다음 그림은 확장 사용자 속성이 사용자에게 제공되는 방법을 보여줍니다.
그림 5-1 확장 속성 데이터베이스
user_attr 데이터베이스는 쉼표로 구분되는 프로필 이름 목록을 포함하여 표시되는 속성을 포함합니다. 프로필의 내용은 prof_attr 파일과 exec_attr 파일 사이에서 분리됩니다. prof_attr 파일은 권한 프로필 식별 정보, 권한 프로필에 지정되는 인증 및 중첩된 권한 프로필을 포함합니다. exec_attr 파일은 정책을 식별하고 연관된 보안 속성을 가진 명령을 포함합니다. auth_attr 파일은 Solaris 관리 콘솔 도구에 인증 정보를 제공합니다.
주 -
user_attr을 통해 직접 사용자에게 인증을 지정할 수 있지만 이러한 실행은 하지 않는 것이 좋습니다.
policy.conf 파일은 모든 사용자에게 적용될 기본 속성을 제공합니다. 예를 들어, 프린터 관리 권한 프로필이 사용자 또는 롤에 지정되면 해당 사용자 또는 롤에 대한 user_attr 항목은 다음 키워드/값 쌍을 포함합니다. profiles=Printer Management. prof_attr 파일은 도움말 파일 및 인증도 지정하는 이 프로필을 다음 행으로 정의합니다.
Printer Management:::Manage printers, daemons, spooling:help=RtPrntAdmin.html;auths=solaris.admin.printer, / solaris.admin.printer.modify,solaris.admion.printer.delete |
exec_attr 파일에서 다음 행은 프린터 관리 프로필 내에서 유효 사용자 ID = lp를 명령 /usr/sbin/accept에 할당합니다.
Printer Management:suser:cmd:::/usr/sbin/accept:euid=lp |
다음 표는 인증을 사용하는 명령을 나열합니다.
표 5-1 RBAC 명령|
명령 |
연관된 인증 |
|---|---|
|
at(1) |
solaris.jobs.user |
|
atq(1) |
solaris.jobs.admin |
|
crdw(1) |
solaris.device.cdrw |
|
crontab(1) |
solaris.jobs.user, solaris.jobs.admin |
|
allocate(1M) |
solaris.device.allocate, solaris.device.revoke |
|
deallocate(1M) |
solaris.device.allocate, solaris.device.revoke |
|
list_devices(1M) |
solaris.device.revoke |
|
smcron(1M) |
solaris.jobs.admin, solaris.jobs.user |
|
smdiskless |
solaris.admin.dcmgr.clients, solaris.admin.dcmgr.read |
|
smexec(1M) |
solaris.profmgr.read, solaris.profmgr.write |
|
smgroup(1M) |
solaris.admin.usermgr.read, solaris.admin.usermgr.write |
|
smmultiuser(1M), smuser(1M) |
solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate |
|
smmaillist(1M) |
solaris.admin.usermgr.read, solaris.admin.usermgr.write |
|
smosservice |
solaris.admin.dcmgr.admin, solaris.admin.dcmgr.read |
|
smprofile(1M) |
solaris.profmgr.read, solaris.profmgr.write |
|
smrole(1M) |
solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate |
Solaris 관리 콘솔에 대한 자세한 내용은 "시스템 관리 도구"를 참조하십시오.
- © 2010, Oracle Corporation and/or its affiliates