Европейский Университет в Санкт-Петербурге
Опубликован: 19.10.2005 | Доступ: свободный | Студентов: 1769 / 174 | Оценка: 4.31 / 3.82 | Длительность: 18:28:00
Лекция 11:

Ролевое управление доступом (RBAC)

< Лекция 10 || Лекция 11: 1234 || Лекция 12 >

Профили прав

Профиль в данном контексте - это набор свойств, который можно назначить той или иной роли . В англоязычной литературе профиль, используемый в RBAC, называется профилем прав (Rights Profile). Профиль прав объединяет различные авторизации с тем, чтобы можно было назначить той или иной роли логически связанный набор авторизаций (например, профиль Operator может быть назначен роли, которая нужна для выполнения простых задач администрирования: выполнения резервных копий, управления доступом к принтеру и свойствами принтера). Информация о профилях хранится в файле /etc/security/prof_attr, поля в котором имеют следующие значения:

profname:res1:res2:desc:attr

profname - это имя профиля ; регистр букв в имени имеет значение;

res1, res2 - зарезервированные поля;

desc - описание профиля, в котором указывается смысл данного профиля ; это описание должно быть пригодно в качестве пояснения назначения профиля для пользователей приложений высокого уровня (типа Solaris Management Console);

attr - атрибуты в таком же виде, как и в других файлах RBAC, допустимые атрибуты - это auths и help. Значением атрибута auths является список наборов прав ( авторизаций ) из числа определенных в файле /etc/security/auth_attr. Атрибут help требует указания страницы в формате HTML, содержащей справку по данному профилю.

В нижеследующем примере файла /etc/security/prof_attr опущены некоторые строки, каждый профиль прав описан отдельным абзацем, поскольку в реальном файле он описывается одной длинной строкой, которая не умещается на книжной странице:

#
# Copyright (c) 1999-2001 by Sun Microsystems, Inc.
# All rights reserved.
#
# /etc/security/prof_attr
#
# profiles attributes. see prof_attr(4)
#
#ident "@(#)prof_attr 1.1 01/10/23 SMI"
#
iPlanet Directory Management:::Manage the iPlanet directory
server:help=RtiDSMngmnt.html

Media Restore:::Restore files and file systems from
backups:help=RtMediaRestore.html

Name Service Security:::Security related name service
scripts/commands:help=RtNameServiceSecure.html

Device Management:::Control Access to Removable
Media:auths=solaris.device.*,solaris.admin.serialmgr.*;
help=RtDeviceMngmnt.html

Media Backup:::Backup files and file
systems:help=RtMediaBkup.html

User Security:::Manage passwords,
clearances:auths=solaris.role.*,solaris.profmgr.*,
solaris.admin.usermgr.*;help=RtUserSecurity.html

Audit Control:::Configure BSM
auditing:auths=solaris.audit.config,solaris.jobs.admin,
solaris.admin.logsvc.purge,solaris.admin.logsvc.read;
help=RtAuditCtrl.html

User Management:::Manage users, groups, home
directory:auths=solaris.profmgr.read,
solaris.admin.usermgr.write,solaris.admin.usermgr.read;
help=RtUserMngmnt.html

Mail Management:::Manage sendmail &
queues:help=RtMailMngmnt.html
Printer Management:::Manage printers, daemons,
spooling:help=RtPrntAdmin.html;auths=solaris.admin.printer.read,
solaris.admin.printer.modify,solaris.admin.printer.delete

Log Management:::Manage log files:help=RtLogMngmnt.html
Audit Review:::Review BSM auditing
logs:auths=solaris.audit.read;help=RtAuditReview.html

Software Installation:::Add application software to the
system:help=RtSoftwareInstall.html;auths=solaris.admin.
prodreg.read,solaris.admin.prodreg.modify,solaris.admin.
prodreg.delete,solaris.admin.dcmgr.admin,solaris.admin.
dcmgr.read,solaris.admin.patchmgr.*

Network Security:::Manage network and host
security:help=RtNetSecure.html;auths=solaris.network.*

Operator:::Can perform simple administrative tasks:
profiles=Printer Management,Media Backup,All;
help=RtOperator.html

FTP Management:::Manage the FTP
server:help=RtFTPMngmnt.html

Project Management:::Manage Solaris
projects:auths=solaris.project.read,solaris.project.write;
help=RtProjManagement.html

DHCP Management:::Manage the DHCP
service:auths=solaris.dhcpmgr.*;help=RtDHCPMngmnt.html

System Administrator:::Can perform most non-security
administrative tasks:profiles=Audit Review,Printer
Management,Cron Management,Device Management,File System
Management,Mail Management,Maintenance and Repair,Media
Backup,Media Restore,Name Service Management,Network
Management,Object Access Management,Process
Management,Software Installation,User
Management,All;help=RtSysAdmin.html

Basic Solaris User:::Automatically assigned
rights:auths=solaris.profmgr.read,solaris.jobs.users,solaris.
mail.mailq,solaris.admin.usermgr.read,solaris.admin.logsvc.read,
solaris.admin.fsmgr.read,solaris.admin.serialmgr.read,
solaris.admin.diskmgr.read,solaris.admin.procmgr.user,
solaris.compsys.read,solaris.admin.printer.read,solaris.admin.
prodreg.read,solaris.admin.dcmgr.read,solaris.snmp.read,
solaris.project.read,solaris.admin.patchmgr.read,,solaris.
network.hosts.read,solaris.admin.volmgr.read;profiles=All;
help=RtDefault.html
< Лекция 10 || Лекция 11: 1234 || Лекция 12 >