Solaris 8 e 9 dispongono di un potente meccanismo integrato originariamente disponibile solo in ambienti affidabili. Il controllo degli accessi basato sui ruoli (RBAC) implementa un sistema di autorizzazione basato sul privilegio minimo. In questo modello, è possibile creare più ruoli amministrativi e associarli agli utenti in modo tale che un individuo abbia solo l'accesso necessario per eseguire le proprie attività delegate, come il riavvio dei servizi privilegiati, il riavvio del sistema o la gestione della coda di stampa. L'RBAC consente un controllo più preciso sull'implementazione delle politiche di sicurezza. Questa ricetta è la prima di una serie su RBAC e fornisce un'introduzione ai suoi componenti.
Panoramica RBAC:
Il ruolo centrale è il controllo degli accessi basato sui ruoli. Un ruolo è simile a un utente in quanto ha un ID utente, una password e persino una directory home. I ruoli hanno anche associazioni con compiti o capacità specifici loro assegnati. Un utente che è autorizzato ad assumere un ruolo passa semplicemente a quel ruolo usando il comando su proprio come se fossero tradizionalmente utenti di root.
Le configurazioni RBAC possono sembrare inizialmente scoraggianti, ma guardare alcuni esempi aiuterà. Ricordare che agli utenti vengono assegnati ruoli, ai ruoli vengono assegnati profili e vengono assegnati specifici comandi ai profili.
File di configurazione:
/ Etc / user_attr database degli attributi dell'utente
Questo file associa gli utenti ai ruoli che sono autorizzati ad assumere.
/ Etc / security / auth_attr database di descrizione dell'autorizzazione
Le definizioni delle autorizzazioni sono configurate in auth_attr. Un'autorizzazione nel contesto di RBAC garantisce la possibilità di eseguire alcune azioni.
/ Etc / security / exec_attr database dei profili di esecuzione
Gli attributi di esecuzione definiti in exec_attr vengono utilizzati per determinare i profili per i comandi eseguiti in RBAC e includono l'ID utente e l'ID utente effettivo in cui verrà eseguito il comando.
/ Etc / security / prof_attr database di descrizione del profilo di esecuzione
I profili sono raggruppamenti di autorizzazioni o attributi di sicurezza che possono essere applicati a utenti o ruoli. I profili possono semplificare le infrastrutture RBAC su larga scala, ma possono sembrare complicare le configurazioni semplici.