Ролевое управление доступом (RBAC)
Профили прав
Профиль в данном контексте - это набор свойств, который можно назначить той или иной роли . В англоязычной литературе профиль, используемый в RBAC, называется профилем прав (Rights Profile). Профиль прав объединяет различные авторизации с тем, чтобы можно было назначить той или иной роли логически связанный набор авторизаций (например, профиль Operator может быть назначен роли, которая нужна для выполнения простых задач администрирования: выполнения резервных копий, управления доступом к принтеру и свойствами принтера). Информация о профилях хранится в файле /etc/security/prof_attr, поля в котором имеют следующие значения:
profname:res1:res2:desc:attr
profname - это имя профиля ; регистр букв в имени имеет значение;
res1, res2 - зарезервированные поля;
desc - описание профиля, в котором указывается смысл данного профиля ; это описание должно быть пригодно в качестве пояснения назначения профиля для пользователей приложений высокого уровня (типа Solaris Management Console);
attr - атрибуты в таком же виде, как и в других файлах RBAC, допустимые атрибуты - это auths и help. Значением атрибута auths является список наборов прав ( авторизаций ) из числа определенных в файле /etc/security/auth_attr. Атрибут help требует указания страницы в формате HTML, содержащей справку по данному профилю.
В нижеследующем примере файла /etc/security/prof_attr опущены некоторые строки, каждый профиль прав описан отдельным абзацем, поскольку в реальном файле он описывается одной длинной строкой, которая не умещается на книжной странице:
# # Copyright (c) 1999-2001 by Sun Microsystems, Inc. # All rights reserved. # # /etc/security/prof_attr # # profiles attributes. see prof_attr(4) # #ident "@(#)prof_attr 1.1 01/10/23 SMI" # iPlanet Directory Management:::Manage the iPlanet directory server:help=RtiDSMngmnt.html Media Restore:::Restore files and file systems from backups:help=RtMediaRestore.html Name Service Security:::Security related name service scripts/commands:help=RtNameServiceSecure.html Device Management:::Control Access to Removable Media:auths=solaris.device.*,solaris.admin.serialmgr.*; help=RtDeviceMngmnt.html Media Backup:::Backup files and file systems:help=RtMediaBkup.html User Security:::Manage passwords, clearances:auths=solaris.role.*,solaris.profmgr.*, solaris.admin.usermgr.*;help=RtUserSecurity.html Audit Control:::Configure BSM auditing:auths=solaris.audit.config,solaris.jobs.admin, solaris.admin.logsvc.purge,solaris.admin.logsvc.read; help=RtAuditCtrl.html User Management:::Manage users, groups, home directory:auths=solaris.profmgr.read, solaris.admin.usermgr.write,solaris.admin.usermgr.read; help=RtUserMngmnt.html Mail Management:::Manage sendmail & queues:help=RtMailMngmnt.html Printer Management:::Manage printers, daemons, spooling:help=RtPrntAdmin.html;auths=solaris.admin.printer.read, solaris.admin.printer.modify,solaris.admin.printer.delete Log Management:::Manage log files:help=RtLogMngmnt.html Audit Review:::Review BSM auditing logs:auths=solaris.audit.read;help=RtAuditReview.html Software Installation:::Add application software to the system:help=RtSoftwareInstall.html;auths=solaris.admin. prodreg.read,solaris.admin.prodreg.modify,solaris.admin. prodreg.delete,solaris.admin.dcmgr.admin,solaris.admin. dcmgr.read,solaris.admin.patchmgr.* Network Security:::Manage network and host security:help=RtNetSecure.html;auths=solaris.network.* Operator:::Can perform simple administrative tasks: profiles=Printer Management,Media Backup,All; help=RtOperator.html FTP Management:::Manage the FTP server:help=RtFTPMngmnt.html Project Management:::Manage Solaris projects:auths=solaris.project.read,solaris.project.write; help=RtProjManagement.html DHCP Management:::Manage the DHCP service:auths=solaris.dhcpmgr.*;help=RtDHCPMngmnt.html System Administrator:::Can perform most non-security administrative tasks:profiles=Audit Review,Printer Management,Cron Management,Device Management,File System Management,Mail Management,Maintenance and Repair,Media Backup,Media Restore,Name Service Management,Network Management,Object Access Management,Process Management,Software Installation,User Management,All;help=RtSysAdmin.html Basic Solaris User:::Automatically assigned rights:auths=solaris.profmgr.read,solaris.jobs.users,solaris. mail.mailq,solaris.admin.usermgr.read,solaris.admin.logsvc.read, solaris.admin.fsmgr.read,solaris.admin.serialmgr.read, solaris.admin.diskmgr.read,solaris.admin.procmgr.user, solaris.compsys.read,solaris.admin.printer.read,solaris.admin. prodreg.read,solaris.admin.dcmgr.read,solaris.snmp.read, solaris.project.read,solaris.admin.patchmgr.read,,solaris. network.hosts.read,solaris.admin.volmgr.read;profiles=All; help=RtDefault.html