Inhalt der Berechtigungsprofile

In diesem Abschnitt werden einige typische Berechtigungsprofile beschrieben. Berechtigungsprofile können Autorisierungen, Befehle mit Sicherheitsattributen und ergänzende Berechtigungsprofile enthalten. Die Berechtigungsprofile werden entsprechend ihrer Leistungsfähigkeit in absteigender Reihenfolge aufgeführt. Vorschläge, wie Sie Berechtigungsprofile an Ihrem Standort auf Rollen verteilen können, finden Sie unter So planen Sie die RBAC-Implementierung.

Berechtigungsprofil "Primary Administrator": Bietet alle Funktionen von Superuser in einem Profil
System Administrator (Berechtigungsprofil): Bietet ein Profil, das die meisten nicht mit Sicherheit in Zusammenhang stehenden Aufgaben erfüllen kann. Dieses Profil enthält mehrere andere Profile, um eine leistungsstarke Rolle erstellen zu können.
Operator (Berechtigungsprofil): Bietet begrenzte Funktionen zum Verwalten von Dateien und Offline-Datenträgern. Dieses Profil enthält ergänzende Berechtigungsprofile zum Erstellen einer einfachen Rolle.
Printer Management (Berechtigungsprofil): Bietet eine begrenzte Anzahl von Befehlen und Autorisierungen zur Druckerverwaltung. Dieses Profil ist eines von mehreren Profilen, die einen einzelnen Verwaltungsbereich abdecken.
Basic Solaris User (Berechtigungsprofil): Ermöglicht Benutzern die Verwendung des Systems innerhalb der Grenzen der Sicherheitsrichtlinie. Dieses Profil ist standardmäßig in der Datei policy.conf aufgeführt.
All (Berechtigungsprofil): Bietet Rollen Zugriff auf Befehle, die keine Sicherheitsattribute haben

Jedes Berechtigungsprofil hat eine zugehörige Hilfedatei. Die Hilfedateien sind in HTML verfasst und individuell anpassbar. Die Dateien befinden sich im Verzeichnis /usr/lib/help/profiles/locale/C.

Berechtigungsprofil "Primary Administrator"

Das Berechtigungsprofil "Primary Administrator" wird der leistungsstärksten Rolle auf dem System zugewiesen. Die Rolle, die das Berechtigungsprofil "Primary Administrator" enthält, verfügt über Superuser-Funktionen.

Die solaris.*-Autorisierung weist alle Autorisierungen, die von der Oracle Solaris-Software zur Verfügung gestellt werden, effektiv zu.
Die solaris.grant-Autorisierung ermöglicht Rollen, beliebige Autorisierungen beliebigen Berechtigungsprofilen, Rollen oder Benutzern zuzuweisen.
Mithilfe der Befehlszuweisung *:uid=0;gid=0 kann ein beliebiger Befehl mit UID=0 und GID=0 ausgeführt werden.

Sie können die Hilfedatei RtPriAdmin.html gegebenenfalls für Ihren Standort anpassen. Die Hilfedateien sind im Verzeichnis /usr/lib/help/profiles/locale/C gespeichert.

Beachten Sie, dass das Berechtigungsprofil "Primary Administrator" nicht geändert oder zugewiesen werden kann, wenn es nicht mit der Sicherheitsrichtlinie der Site übereinstimmt. Die Sicherheitsfunktionen im Berechtigungsprofil "Primary Administrator" müssen dann in ein oder mehrere andere Berechtigungsprofile integriert werden. Die anderen Berechtigungsprofile müssen dann Rollen zugewiesen werden.

Tabelle 10-1 Inhalt des Berechtigungsprofils "Primary Administrator"

Zweck	Inhalt
Ausführen aller administrativen Aufgaben	Befehle: `:uid=0;gid=0` Autorisierungen: `solaris.`, `solaris.grant` Hilfedatei: `RtPriAdmin.html`

Berechtigungsprofil "System Administrator"

Das Berechtigungsprofil "System Administrator" ist für Systemadministratoren gedacht. Da der Systemadministrator nicht über die umfassenden Funktionen eines Primäradministrators verfügt, werden keine Platzhalter verwendet. Stattdessen besteht dieses Profil aus einem Satz diskreter, zusätzlicher administrativer Berechtigungsprofile, die sich nicht mit Sicherheit befassen. Die Befehle mit Sicherheitsattributen aus einem der zusätzlichen Berechtigungsprofile werden angezeigt.

Beachten Sie, dass das Berechtigungsprofil "All" am Ende der Liste zusätzlicher Berechtigungsprofile zugewiesen wird.

Tabelle 10-2 Inhalt des Berechtigungsprofils "System Administrator"

Zweck	Inhalt
Ausführen der meisten administrativen Aufgaben, die nicht in Zusammenhang mit Sicherheit stehen	Zusätzliche Berechtigungsprofile: Audit Review, Printer Management, Cron Management, Device Management, File System Management, Mail Management, Maintenance and Repair, Name Service Management, Network Management, Object Access Management, Process Management, Software Installation, Project Management, User Management, All Hilfedatei: `RtSysAdmin.html`
Befehle aus einem der zusätzlichen Profile	Berechtigungsprofil "Object Access Management", `solaris`-Richtlinie: `/usr/bin/chgrp:privs=file_chown`, `/usr/bin/chmod:privs=file_chown`, `/usr/bin/chown:privs=file_chown` , `/usr/bin/setfacl:privs=file_chown` `suser`-Richtlinie: `/usr/bin/chgrp:euid=0`, `/usr/bin/chmod:euid=0`, `/usr/bin/chown:euid=0`, `/usr/bin/getfacl:euid=0`, `/usr/bin/setfacl:euid=0`

Berechtigungsprofil "Operator"

Das Berechtigungsprofil "Operator" ist ein weniger leistungsstarkes Profil, das Funktionen wie Backups und Druckerwartung zur Verfügung stellt. Die Fähigkeit zum Wiederherstellen von Dateien hat weitere Auswirkungen auf die Sicherheit. Daher sieht die Standardeinstellung in diesem Profil vor, diese Funktion nicht mit einzuschließen.

Tabelle 10-3 Inhalt des Berechtigungsprofils "Operator"

Zweck	Inhalt
Ausführen einfacher administrativer Aufgaben	Zusätzliche Berechtigungsprofile: Printer Management, Media Backup, All Hilfedatei: `RtOperator.html`

Berechtigungsprofil "Printer Management"

"Printer Management" ist ein typisches Berechtigungsprofil, das für einen spezifischen Aufgabenbereich gedacht ist. Dieses Profil umfasst Autorisierungen und Befehle. Die folgende Tabelle zeigt eine Teilliste der Befehle.

Tabelle 10-4 Inhalt des Berechtigungsprofils "Printer Management"

Zweck

Inhalt

Verwalten von Druckern, Dämonen und Spooling

Autorisierungen: solaris.print.*, solaris.label.print, solaris.admin.printer.delete, solaris.admin.printer.modify, solaris.admin.printer.read , solaris.smf.manage.discovery.printers.*, solaris.smf.value.discovery.printers.*

Befehle: /usr/lib/lp/local/lpadmin:uid=lp;gid =lp, /usr/sbin/lpfilter:euid=lp;uid=lp, /usr/sbin/lpforms:euid=lp, /usr/sbin/lpusers:euid=lp, /usr/sbin/ppdmgr:euid=0

Hilfedatei: RtPrntMngmnt.html

Berechtigungsprofil "Basic Solaris User"

Standardmäßig wird das Berechtigungsprofil "Basic Solaris User" automatisch allen Benutzern über die Datei policy.conf zugewiesen. Dieses Profil bietet grundlegende Autorisierungen, die bei normalen Vorgängen nützlich sind. Beachten Sie, dass die Benutzerfreundlichkeit, die das Berechtigungsprofil "Basic Solaris User" bietet, gegenüber den Standort-Sicherheitsanforderungen abgewogen werden muss. Für Standorte mit strengeren Sicherheitsanforderungen könnte es nützlich sein, dieses Profil aus der Datei policy.conf zu entfernen.

Tabelle 10-5 Inhalt des Berechtigungsprofils "Basic Solaris User"

Zweck

Inhalt

Automatisches Zuweisen von Berechtigungen zu allen Benutzern

Autorisierungen: solaris.profmgr.read, solaris.jobs.user, solaris.mail.mailq, solaris.device.mount.removable, solaris.admin.usermgr.read , solaris.admin.logsvc.read, solaris.admin.fsmgr.read, solaris.admin.serialmgr.read, solaris.admin.diskmgr.read, solaris.admin.procmgr.user, solaris.compsys.read , solaris.admin.printer.read, solaris.admin.prodreg.read, solaris.admin.dcmgr.read, solaris.snmp.read, solaris.project.read, solaris.admin.patchmg.read , solaris.network.hosts.read, solaris.admin.volmgr.read

Zusätzliche Berechtigungsprofile: All

Hilfedatei: RtDefault.html

Berechtigungsprofil "All"

Das Berechtigungsprofil "All" verwendet Platzhalter, um alle Befehle einzuschließen. Dieses Profil bietet eine Rolle mit Zugriff auf alle Befehle, die nicht explizit in anderen Berechtigungsprofilen zugewiesen sind. Ohne das Berechtigungsprofil "All" oder andere Berechtigungsprofile, die Platzhalter verwenden, hat eine Rolle nur Zugriff auf explizit zugewiesene Befehle. Ein solcher begrenzter Befehlssatz ist wenig praktisch. Es sind keine Autorisierungen in diesem Profil enthalten.

Bei Verwendung sollte das Berechtigungsprofil "All" als letztes zugewiesen werden. Diese Position stellt sicher, dass explizite Sicherheitsattributzuweisungen in anderen Berechtigungsprofilen angewendet werden.

Tabelle 10-6 Inhalt des Berechtigungsprofils "All"

Zweck	Inhalt
Ausführen eines beliebigen Befehls als Benutzer oder Rolle	Befehle: * Hilfedatei: `RtAll.html`

Reihenfolge der Berechtigungsprofile

Die Befehle in Berechtigungsprofilen werden der Reihenfolge nach interpretiert. Das erste Vorkommen eines Befehls ist die einzige Version des Befehls, die für diese Rolle oder den Benutzer verwendet wird. Verschiedene Berechtigungsprofile können den gleichen Befehl enthalten. Daher ist die Reihenfolge der Berechtigungsprofile in einer Profilliste relevant. Das Berechtigungsprofil mit den meisten Funktionen sollte an erster Stelle aufgeführt werden.

Berechtigungsprofile werden in der Solaris Management Console-GUI und in der Datei prof_attr aufgeführt. In der Solaris Management Console-GUI sollte das Berechtigungsprofil mit den meisten Funktionen das erste Profil in einer Liste zugewiesener Berechtigungsprofile sein. In der Datei prof_attr sollte das Berechtigungsprofil mit den meisten Funktionen das erste in einer Liste zusätzlicher Profile sein. Diese Platzierung stellt sicher, dass ein Befehl mit Sicherheitsattributen vor dem gleichen Befehl ohne Sicherheitsattribute aufgelistet wird.

Anzeigen des Inhalts von Berechtigungsprofilen

Das Solaris Management Console-Berechtigungstool stellt eine Methode zum Untersuchen des Inhalts der Berechtigungsprofile zur Verfügung.

Die Dateien prof_attr und exec_attr bieten eine genauer unterteilte Ansicht. Die Datei prof_attr enthält den Namen jedes Berechtigungsprofils, das auf dem System festgelegt ist. Die Datei enthält auch die Autorisierungen, Berechtigungen und zusätzlichen Berechtigungsprofile für jedes Profil. Die Datei exec_attr enthält die Namen der Berechtigungsprofile und ihrer zugehörigen Befehle mit Sicherheitsattributen.

Navigationslinks �berspringen
Druckansicht beenden
	Systemverwaltungshandbuch: Sicherheitsservices