L'assegnazione di account utente, ruoli e profili di autorizzazione in Oracle Solaris è conforme alle specifiche RBAC (Role-Based Access Control). Le specifiche RBAC offrono un'alternativa più sicura al modello unico di superutente.
RBAC applica un principio di protezione basato sul privilegio minimo. Privilegio minimo significa che un utente dispone solo delle autorizzazioni necessarie per eseguire un'operazione specifica. Le funzioni non standard dell'utente vengono raggruppate nei profili di autorizzazione. Questi profili vengono assegnati ad account utente speciali, denominati ruoli. Un utente assume un ruolo per eseguire un'operazione che richiede alcuni privilegi di superutente.
Nella configurazione di sistema predefinita di Oracle Solaris, all'account utente creato durante l'installazione viene assegnato il ruolo root se è stato utilizzato il metodo di installazione in modalità testo. Se non è stato creato un account utente durante l'installazione, root viene configurato come account. Vedere Configurazione di account utente.
Per una migliore comprensione dello scopo e della funzione degli account utente, dei ruoli e dei profili di autorizzazione, leggere le seguenti informazioni:
Un account utente è un account di login. Gli utenti comuni possono eseguire il login ed utilizzare il sistema, ma non amministrarlo.
Un ruolo non è un account di login. Ad esempio non è possibile eseguire direttamente il login con il ruolo root, bensì è necessario eseguire il login con l'account utente comune, quindi utilizzare il comando su - root per assumere il ruolo root. Un utente può assumere solo ruoli assegnati al proprio account di login.
Un profilo di autorizzazione è un insieme di funzioni amministrative, generalmente assegnato a un ruolo, ma assegnabile anche a un utente. I nomi dei profili di autorizzazione indicano le funzioni eseguibili dal profilo, ad esempio System administration (Amministratore di sistema) o Printer Management (Gestione stampanti). In genere l'amministratore di sistema crea un ruolo con lo stesso nome del profilo di autorizzazione e assegna il profilo a tale ruolo. Inoltre i profili di autorizzazione sono gerarchici, ovvero un profilo di autorizzazione può includerne altri. Quando si assegna a un ruolo un profilo di autorizzazione che include altri profili, il ruolo includerà le funzioni di tutti i profili.
Oracle Solaris include profili di autorizzazione predefiniti. Tali profili, elencati in /etc/security/prof_attr, possono essere assegnati dal ruolo root a qualsiasi account. Al ruolo root vengono assegnati tutti i privilegi e tutte le autorizzazioni: pertanto può svolgere tutte le operazioni, come accade quando root è un utente.
Per eseguire funzioni amministrative è necessario aprire una finestra del terminale e impostare root come utente. In tale finestra del terminale è quindi possibile eseguire tutte le funzioni amministrative.
$ su - root Password: Type root password # |
Quando si esce dalla shell le funzioni root non risultano più disponibili.