Solaris 8 och 9 har en kraftfull, integrerad mekanism som ursprungligen endast är tillgänglig i pålitliga miljöer. Rollbaserad åtkomstkontroll (RBAC) implementerar ett auktoriseringssystem baserat på minst privilegium. I den här modellen kan flera administrativa roller skapas och associeras med användare så att en person bara har tillgången som krävs för att utföra sina delegerade uppgifter, t.ex. omstart av privilegierade tjänster, omstart av systemet eller hantering av utskriftskön. RBAC möjliggör finare kornkontroll över genomförandet av säkerhetspolitiken. Detta recept är den första i en serie om RBAC och ger en introduktion till dess komponenter.
RBAC Översikt:
Central till rollbaserad åtkomstkontroll är rollen. En roll liknar en användare genom att den har ett användarnamn, ett lösenord och till och med en hemkatalog. Roller har också föreningar till specifika uppgifter eller funktioner som tilldelats dem. En användare som är behörig att ta en roll växlar helt enkelt till den rollen med hjälp av su-kommandot precis som de traditionellt skulle byta användare till rot.
RBAC-konfigurationer kan verka skrämmande ursprungligen, men titta på några exempel kommer att hjälpa. Kom ihåg att användarna har tilldelats roller, roller tilldelas profiler och specifika kommandon tilldelas profiler.
Konfigurationsfiler:
/ Etc / user_attr användarattribut databas
Den här filen associerar användare med de roller de är auktoriserade att anta.
/ Etc / security / auth_attr databas för behörighetsbeskrivning
Definitioner av behörigheterna är konfigurerade i auth_attr. En auktorisation i samband med RBAC ger möjlighet att utföra en viss åtgärd.
/ Etc / security / exec_attr exekveringsprofiler databas
Exekveringsattribut som definieras i exec_attr används för att bestämma profilerna för kommandon som körs under RBAC och inkluderar användar-ID och effektivt användar-ID som kommandot körs som.
/ Etc / security / prof_attr Exekveringsprofilbeskrivning databas
Profiler är grupperingar av auktorisationer eller säkerhetsattribut som kan tillämpas på användare eller roller. Profiler kan förenkla storskaliga RBAC-infrastrukturer, men kan tyckas komplicera enkla konfigurationer.