Conceptos básicos del control de acceso basado en roles RBAC Solaris

Solaris 8 y 9 tienen un mecanismo potente e integrado originalmente disponible solo en entornos de confianza. El control de acceso basado en roles (RBAC) implementa un sistema de autorización basado en el menor privilegio. En este modelo, se pueden crear múltiples roles administrativos y asociarlos con los usuarios, de manera que una persona solo tenga el acceso necesario para realizar sus tareas delegadas, como reiniciar servicios privilegiados, reiniciar el sistema o administrar la cola de impresión. RBAC permite un control más preciso de la implementación de políticas de seguridad. Esta receta es la primera de una serie sobre RBAC y proporciona una introducción a sus componentes.


Resumen de RBAC:
La función central es el control de acceso basado en roles. Un rol es similar a un usuario en que tiene una identificación de usuario, una contraseña e incluso un directorio particular. Los roles también tienen asociaciones con tareas o capacidades específicas asignadas a ellos. Un usuario que está autorizado a asumir un rol simplemente cambia a ese rol con el comando su igual que tradicionalmente cambiaría el usuario a root.

Las configuraciones de RBAC pueden parecer desalentadoras inicialmente, pero mirar algunos ejemplos ayudará. Recuerde que a los usuarios se les asignan roles, se les asignan perfiles y se asignan comandos específicos a los perfiles.

Archivos de configuración:
/ etc / user_attr base de datos de atributos de usuario
Este archivo asocia a los usuarios con los roles que están autorizados a asumir.

/ etc / security / auth_attr base de datos de descripción de autorización
Las definiciones de las autorizaciones se configuran en auth_attr. Una autorización en el contexto de RBAC otorga la capacidad de realizar alguna acción.

/ etc / security / exec_attr base de datos de perfiles de ejecución
Los atributos de ejecución definidos en exec_attr se utilizan para determinar los perfiles para los comandos que se ejecutan en RBAC e incluyen el ID de usuario y el ID de usuario efectivo con el que se ejecutará el comando.

/ etc / security / prof_attr base de datos de descripción del perfil de ejecución
Los perfiles son agrupaciones de autorizaciones o atributos de seguridad que se pueden aplicar a usuarios o roles. Los perfiles pueden simplificar las infraestructuras RBAC a gran escala, pero parecen complicar las configuraciones simples.