Principes de base du contrôle d'accès basé sur les rôles Solaris RBAC

Les systèmes Solaris 8 et 9 disposent d'un mécanisme intégré puissant, disponible à l'origine uniquement dans les environnements sécurisés. Le contrôle d'accès basé sur les rôles (RBAC) implémente un système d'autorisation basé sur le moindre privilège. Dans ce modèle, plusieurs rôles administratifs peuvent être créés et associés à des utilisateurs, de sorte qu'un individu ne dispose que de l'accès nécessaire pour effectuer les tâches déléguées, telles que le redémarrage de services privilégiés, le redémarrage du système ou la gestion de la file d'attente d'impression. RBAC permet un contrôle plus fin du grain de la mise en œuvre des politiques de sécurité. Cette recette est la première d'une série sur RBAC et offre une introduction à ses composants.


Vue d'ensemble du RBAC:
Le rôle est essentiel au contrôle d'accès basé sur le rôle. Un rôle est similaire à un utilisateur dans la mesure où il possède un identifiant, un mot de passe et même un répertoire personnel. Les rôles sont également associés à des tâches ou à des capacités spécifiques qui leur sont affectées. Un utilisateur autorisé à assumer un rôle bascule simplement sur ce rôle à l'aide de la commande su, comme il le ferait habituellement pour un utilisateur root.

Les configurations RBAC peuvent sembler décourageantes au départ, mais quelques exemples vous aideront. N'oubliez pas que des rôles sont attribués aux utilisateurs, des profils et des commandes spécifiques sont attribués à des profils.

Fichiers de configuration:
/ etc / user_attr base de données d'attributs utilisateur
Ce fichier associe les utilisateurs aux rôles qu'ils sont autorisés à assumer.

/ etc / security / auth_attr base de données de description d'autorisation
Les définitions des autorisations sont configurées dans auth_attr. Une autorisation dans le contexte de RBAC donne la possibilité d'effectuer une action.

/ etc / security / exec_attr profils d'exécution base de données
Les attributs d'exécution définis dans exec_attr sont utilisés pour déterminer les profils des commandes exécutées sous RBAC et incluent l'ID utilisateur et l'ID utilisateur effectif sous lesquels la commande sera exécutée.

/ etc / security / prof_attr base de données de description de profil d'exécution
Les profils sont des groupes d'autorisations ou d'attributs de sécurité pouvant être appliqués à des utilisateurs ou à des rôles. Les profils peuvent simplifier les infrastructures RBAC à grande échelle, mais peuvent sembler compliquer les configurations simples.