Benutzerkonten, Rollen und Zugriffsrechteprofile

Die Zuweisung von Benutzerkonten, Rollen und Zugriffsrechteprofilen in Oracle Solaris entspricht den Spezifikationen für rollenbasierte Zugriffskontrolle (RBAC, Role-Based Access Control). RBAC bietet eine sichere Alternative zum allumfassenden Superuser-Modell.

RBAC implementiert das Sicherheitsprinzip der niedrigsten Berechtigung. Niedrigste Berechtigung bedeutet, dass ein Benutzer nur über die Funktionen verfügt, die zum Ausführen einer bestimmten Aufgabe erforderlich sind. Funktionen, die über die normalen Benutzerfunktionen hinausgehen, werden in Zugriffsrechteprofilen zusammengefasst. Diese Profile werden speziellen Benutzerkonten zugewiesen, den so genannten Rollen. Ein Benutzer übernimmt eine Rolle, um eine Aufgabe auszuführen, die einige Superuser-Funktionen umfasst.

In der standardmäßigen Oracle Solaris-Systemkonfiguration wird das während der Installation erstellte Benutzerkonto der root-Rolle zugewiesen, wenn das textbasierte Installationsprogramm verwendet wurde. Wenn Sie während der Installation kein Benutzerkonto erstellt haben, wird root als ein Konto eingerichtet. Weitere Informationen finden Sie unter Einrichten von Benutzerkonten.

Lesen Sie zum besseren Verständnis des Zwecks und der Funktion der Benutzerkonten, Rollen und Zugriffsrechteprofile die folgenden Hinweise:

• Ein Benutzerkonto ist ein Anmeldekonto. Normale Benutzer können sich am System anmelden und es verwenden, aber nicht verwalten.

• Eine Rolle ist kein Anmeldekonto. Sie können sich beispielsweise nicht direkt für die Rolle root anmelden. Stattdessen melden Sie sich mit Ihrem Benutzernamen an, und verwenden anschließend den Befehl su - root, um die Rolle root zu übernehmen. Ein Benutzer kann nur Rollen übernehmen, die dem Anmeldekonto des jeweiligen Benutzers zugewiesen sind.

• Ein Zugriffsrechteprofil ist eine Zusammenstellung mehrerer Administrationsfunktionen, die normalerweise einer Rolle zugewiesen wird, jedoch auch einem Benutzer zugewiesen werden kann. Die Namen der Zugriffsrechteprofile geben die Funktionen der Profile an, beispielsweise Systemadministrator oder Druckerverwaltung. Normalerweise erstellt der Systemadministrator eine Rolle mit dem gleichen Namen wie das Zugriffsrechteprofil und weist das Profil dieser Rolle zu. Außerdem sind Zugriffsrechteprofile hierarchisch aufgebaut, ein Zugriffsrechteprofil kann andere Zugriffsrechteprofile enthalten. Wenn eine Rolle einem Zugriffsrechteprofil zugewiesen ist, das andere Profile enthält, verfügt diese Rolle über alle Funktionen aller anderen Profile.

Oracle Solaris enthält vordefinierte Zugriffsrechteprofile. Diese Profile sind unter /etc/security/prof_attr aufgeführt und können von der root-Rolle einem beliebigen Konto zugewiesen werden. Der root-Rolle sind alle Berechtigungen zugewiesen, sodass sie alle Aufgaben ausführen kann. Das Gleiche gilt für root, wenn root einem Benutzer entspricht.

Um administrative Funktionen durchzuführen, öffnen Sie ein Terminal-Fenster und wechseln Sie den Benutzer zu root. In diesem Terminal-Fenster können Sie alle administrativen Funktionen ausführen.

$ su - root
Password: Type root password
#

Nach dem Beenden der Shell können die root-Funktionen nicht mehr verwendet werden.