Contas de usuário, funções e perfis de permissões

A atribuição de contas de usuários, funções e perfis de permissões no Oracle Solaris está em conformidade com as especificações do Controle de acesso com base em função (RBAC). O RBAC fornece uma alternativa mais segura ao modelo único de superusuário.

O RBAC implementa o princípio de segurança de menor privilégio. Menor privilégio significa que um usuário possui somente acesso aos recursos necessários para executar uma tarefa específica. O acesso aos recursos que está além do acesso aos recursos básicos do usuário são agrupados em perfis de permissão. Esses perfis são atribuídos a contas de usuário especiais, chamadas de funções. Um usuário assume uma função para realizar um trabalho que requer acesso a alguns dos recursos do superusuário.

Na configuração do sistema padrão do Oracle Solaris, a função raiz é atribuída à conta de usuário criada durante a instalação se o método de instalação de texto tiver sido utilizado. Se você não cria uma conta de usuário durante a instalação, raiz é definida como a conta. Consulte Como são configuradas as contas de usuário.

Para compreender melhor o propósito e funcionalidade das contas de usuário, funções e perfis de permissão, reveja as informações a seguir:

• Uma conta de usuário é uma conta de logon. Usuários regulares podem efetuar o logon e utilizar o sistema, mas não podem administrá-lo.

• Uma função não é uma conta de logon. Por exemplo, você não pode efetuar logon diretamente na função raiz. Em vez disso, você deve efetuar o logon com seu nome de usuário e, em seguida, utilizar o comando su - root para assumir a função raiz. Um usuário somente pode assumir as funções que são atribuídas a sua conta de logon.

• Um perfil de permissão é uma coleção de recursos administrativos que normalmente são atribuídos a uma função, mas que podem ser atribuídos a um usuário. Os nomes dos perfis de permissão indicam o acesso aos recursos dos perfis, como um Administrador do sistema ou Gerenciamento de impressão. Normalmente, o administrador do sistema cria uma função com o mesmo nome do perfil de permissão e atribui o perfil àquela função. Além disso, os perfis de permissão são hierárquicos, o que significa que um perfil pode incluir outros perfis de permissão. Quando uma função é atribuída a um perfil de permissão que contém outros perfis, essa função tem acesso aos recursos de todos esses perfis.

O Oracle Solaris fornece perfis de permissão pré-definidos. Esses perfis, listados em /etc/security/prof_attr, podem ser atribuídos à função raiz em qualquer conta. A função raiz é atribuída a todos os privilégios e autorizações, portanto, pode executar todas as tarefas, assim como função raiz, quando a função raiz for um usuário.

Para efetuar funções administrativas, abra um terminal e alterne o usuário para a função raiz. Assim, é possível executar todas as funções administrativas naquele terminal.

$ su - root
Password: Type root password
#

Ao sair do shell, o acesso aos recursos da função raiz não estarão mais em efeito.