Chinaunix首页 | 论坛 | 博客
  • 博客访问: 5724701
  • 博文数量: 745
  • 博客积分: 10075
  • 博客等级: 上将
  • 技术积分: 7716
  • 用 户 组: 普通用户
  • 注册时间: 2005-04-29 12:09
文章分类

全部博文(745)

文章存档

2019年(1)

2016年(1)

2010年(31)

2009年(88)

2008年(129)

2007年(155)

2006年(197)

2005年(143)

分类:

2005-06-29 09:12:51

configuring role-based access control(RBAC)

基本内容:
RBAC的基础知识
描述与RBAC有交互作用的一些组件
用solaris管理控制台来管理RBAC
用命令行的方法来管理RBAC
在RBAC当中,单个的用户可以被赋予各种各样的角色比如说系统管理员、网络管理员、操作员等等.users,roles,profiles,privileged commands在四个数据库中被定义.
rights profiles-rights profiles and role descriptions
all:提供一个role对所有命令都有操作权限
primary administrator:在non-RBAC系统中,这个角色和root用户有等价的权限
system administrator
operator
basic solaris user:允许用户去执行一些和系统安全无关的操作
printer management
角色和授权的关系
operator:solaris.admin.usermgr.read
system administrator: solaris.admin.usermgr.read
                      solaris.admin.usermgr.write
primary administrator:solaris.admin.usermgr.read
                      solaris.admin.usermgr.write
                      solaris.admin.usermgr.pswd
带有grant后缀的授权允许一个用户或者role代表其他用户被赋予的权限,比如说,一个被授权solaris.admin.usermgr.grant和solaris.admin.usermgr.read的role可以代表另一个用户的solaris.admin.usermgr.read权限
pfsh,pfcsh,pfksh这三个profile shells分别和Bourne shell(sh),C shell(csh),Korn shell(ksh)相对应
shell和profile shell有相同的inode号,比如说:
# ls -i /usr/bin/sh /usr/bin/pfsh
247742 /user/bin/pfsh 247742 /usr/bin/pfsh
RBAC使用四个数据库来提供用户对特权操作的访问,分别是/etc/user_attr,/etc/security/prof_attr,/etc/security/exec_attr,/etc/security/auth_attr.除了这四个数据库,/etc/security/policy.conf文件还提供了对用户来说系统默认的一些权限
在/etc/user_attr数据库下常用的格式是:user:qualifier:res1:res2:attr,其中对于attr有四个值,分别是type,auths,roles,profiles
在/etc/security/prof_attr数据库下常用的格式是:profname:res1:res2:desc:attr.其中对于attr有两个值,分别是help和auths
在/etc/security/exec_attr数据库下常用的格式是:name:policy:type:res1:res2:id:attr.其中对于attr有四个值,分别是euid,uid,egid,gid,对于policy只有suser与之对应,对于type只有cmd与之对应
在/etc/security/auth_attr数据库下常用的格式是:authname:res1:res2:short_desc:long_desc:attr
/etc/security/policy.conf文件的作用是将profiles和authorizations的特权授予所有用户,这个文件中有两个变量分别是AUTHS_GRANTED,PROFS_GRANTED
添加一个role常用的选项有:
-c comment:注释
-d dir:为新role指定目录
-m:如果指定的目录不存在则建立这个目录
-A authorization and -P profile:为一个role指定authorizations和profiles
例如:# roleadd -m -d /export/home/tarback -c "privileged tar backup role" -P "media backup,media restore" tarback
修改一个role常用的选项有:
-A authorization,-e expire,-l new_logname,-P profile,-s shell
例如:# rolemod -A auth1,auth2 -P profile1,profile2 role1

阅读(2267) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~