角色型存取控制(RBAC)
角色型存取控制(RBAC)在 Solaris 8 1/01 軟體發行版本中已更新。RBAC 資料庫現在可以透過「Solaris 管理主控台」圖形介面中的「使用者」工具來管理。術語變更內容已不用 execution profiles 這個名詞。該專業名詞已經使用 rights profiles 所取代,請同時參照像是 rights(在圖形介面中)以及 profiles(在指令行以及檔案中)。
除了使用安全性屬性的授權以及指令外,授權設定檔現在可以包括其他授權設定檔。若是相同的指令出現在一個以上的次級授權設定檔中,檔案中的第一個事件便可用來設定優先順序。
該policy.conf(4) 檔案現在可識別關鍵字 PROFS_GRANTED,其使您可以依據預設值指定授權設定檔。
下列圖表說明了延伸的使用者屬性如何提供給使用者。
圖 5-1 延伸的屬性資料庫
這個 user_attr 資料庫包含了顯示的屬性,包括以逗號做分隔的設定檔名稱清單。設定檔內容在 prof_attr 檔案以及 exec_attr 檔案之間進行分割。這個 prof_attr 檔案包含授權設定檔識別資訊、指定給授權設定檔的授權以及嵌套的授權設定檔。這個 exec_attr 檔案識別策略並包含指令伴隨其相關聯的安全性屬性。這個 auth_attr 檔案提供 Solaris 管理主控台的工具授權資訊。
註解 -
雖然您可以直接透過 user_attr 來指定授權,但是不鼓勵此行為。
這個 policy.conf 檔案提供要套用至所有使用者的預設屬性值。例如,若是「Printer Management」授權設定檔指定給使用者或角色,該使用者或角色的 user_attr 登錄包含關鍵字/值對:profiles=Printer Management。這個 prof_attr 檔案定義此設定檔,其同時指定輔助說明檔案以及授權,並使用下列資料行:
Printer Management:::Manage printers, daemons, spooling:help=RtPrntAdmin.html;auths=solaris.admin.printer, / solaris.admin.printer.modify,solaris.admion.printer.delete |
在 exec_attr 檔案中,下列資料行在「Printer Management」設定檔中指定一個有效的使用者識別碼=lp給指令 /usr/sbin/accept :
Printer Management:suser:cmd:::/usr/sbin/accept:euid=lp |
下列表格列出使用授權的指令。
表 5-1 RBAC 指令|
指令 |
相關授權 |
|---|---|
|
at(1) |
solaris.jobs.user |
|
atq(1) |
solaris.jobs.admin |
|
crdw(1) |
solaris.device.cdrw |
|
crontab(1) |
solaris.jobs.user, solaris.jobs.admin |
|
allocate(1M) |
solaris.device.allocate, solaris.device.revoke |
|
deallocate(1M) |
solaris.device.allocate, solaris.device.revoke |
|
list_devices(1M) |
solaris.device.revoke |
|
smcron(1M) |
solaris.jobs.admin, solaris.jobs.user |
|
smdiskless |
solaris.admin.dcmgr.clients, solaris.admin.dcmgr.read |
|
smexec(1M) |
solaris.profmgr.read, solaris.profmgr.write |
|
smgroup(1M) |
solaris.admin.usermgr.read, solaris.admin.usermgr.write |
|
smmultiuser(1M), smuser(1M) |
solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate |
|
smmaillist(1M) |
solaris.admin.usermgr.read, solaris.admin.usermgr.write |
|
smosservice |
solaris.admin.dcmgr.admin, solaris.admin.dcmgr.read |
|
smprofile(1M) |
solaris.profmgr.read, solaris.profmgr.write |
|
smrole(1M) |
solaris.admin.usermgr.pswd, solaris.admin.usermgr.read, solaris.admin.usermgr.write, solaris.profmgr.assign, solaris.profmgr.delegate, solaris.role.assign, solaris.role.delegate |
若要獲得更多 Solaris 管理主控台的資訊,請參閱"系統管理工具"。
- © 2010, Oracle Corporation and/or its affiliates