Авторизация



Ролевое управление доступом (RBAC)

С помощью RBAC ( Role-Based Access Control - ролевого управления доступом) в операционной среде Solaris 8 администраторы могут предоставлять ограниченные возможности пользователям, которые не являются суперпользователями. Это достигается с помощью трех новых возможностей:
Авторизация. Права пользователей, которые гарантируют доступ к какой-нибудь ограниченной функции.
Профили выполнения. Механизмы пакетирования для группирования возможностей авторизации и команд со специальными атрибутами, например, идентификаторами пользователей и групп или идентификатором суперпользователя.
Роли. Специальные типы учетных записей пользователей, предназначенных для выполнения некоторого набора административных задач.
 

Оценить
(0 голоса)
В настоящей главе рассматриваются следующие темы экзамена: Понимание ролевого управления доступом ►    Традиционные системы, построенные на концепции суперпользователя, предоставляют полную власть суперпользователя всякому, кто может зарегистрироваться в системе с привилегиями суперпользователя. С помощью ролевого управления доступом в операционной среде Solaris 8 администраторы могут предоставлять ограниченные административные возможности обычным пользователям, которые вовсе не являются суперпользователями. В настоящей главе ролевое управление доступом рассматривается в плане защиты информации в среде Solaris. Ознакомление с базами данных поддержки ролевого управления доступом ►    Ролевое управление доступом базируется на четырех базах данных, чтобы предоставить пользователям возможность выполнять привилегированные операции. В настоящей главе описываются базы данных поддержки ролевого…
Оценить
(0 голоса)
Предоставление возможностей доступа с привилегиями суперпользователя тем обычным пользователям, которые не являются суперпользователями, всегда было спорным вопросом в системах UNIX. В прошлом для предоставления подобной функциональности вы должны были опираться на пакет сторонней разработки, sudo. Проблема при этом заключалась в том, что sudo представлял собой неподдерживаемую часть свободно распространяемого программного обеспечения, которое должно было быть загружено из Internet и инсталлировано на вашей системе. В крайних случаях системный администратор устанавливал бит полномочий UID на конкретный файл таким образом, чтобы пользователь мог выполнить данную команду в качестве суперпользователя.
Оценить
(0 голоса)
Наиболее часто вы, вероятно, будете применять RBAC для организации доступа к административным задачам в рамках данной системы. Относитесь внимательно к предупреждениям, сопровождающим упражнения, чтобы исключить создание дефектов в защите информации путем предоставления доступа к административным функциям неавторизованным пользователям. Чтобы лучше описать RBAC, проще всего начать с описания того, как системный администратор может воспользоваться им для того, чтобы передать выполнение какой-нибудь административной задачи пользователю, который не является суперпользователем, в некотором вымышленном учреждении Acme Corp. В воображаемой компании, которая называется Acme Corp., системный администратор перегружен. Он собирается передать, или делегировать, часть своих обязанностей Нейлу (Neil), пользователю из технического подразделения, который иногда выручает…
Оценить
(0 голоса)
Установка авторизации команды rolemod не добавляется, а лишь заменяет любую существующую установку авторизации. Если вы хотите удалить какую-нибудь учетную запись роли, воспользуйтесь командой roledel, синтаксис которой выглядит следующим образом: roledel [ -г] <role account name> Опция -г обеспечивает удаление домашнего каталога данной роли из системы. Например, для удаления учетной записи роли по имени adminusr выдайте следующую команду: roledel -г adminusr В следующем разделе подробно обсуждается каждая база данных ролевого управления доступом, описываются элементы, которые были созданы ранее при выполнении команд roleadd и usermod.  prof_attr (база данных атрибутов для профилей прав доступа). Определяет профили, поддерживает список авторизаций, назначенный данному профилю, и…
Оценить
(0 голоса)
База данных /etc/user_attr дополняет базы данных passwd и shadow. Она содержит расширенные атрибуты пользователей, такие как авторизации и профили. Она также разрешает назначение ролей некоторому пользователю. Ниже приведена копия базы данных /etc/user_attr: more /etc/user_attr #    Copyright (с) 1999 by Sun Microsystems, Inc. All rights reserved.:::: #: : : : #    /etc/user_attr:::: #    : : : : #    user attributes, see user attr(4) :: : : root::::type=normal;auths=solaris.*,solaris.grant;profiles-All adminusr::::type=role;auths=solaris.admin.usermgr.pswd,/ solaris.system.shutdown,solaris.admin.fsmgr.write;profiles=All neil::::type=normal;roles=adminusr Перечисленные далее поля базы данных userattr разделяются символом двоеточия: user:qualifier:resl:res2:attr Каждое из представленных полей описывается в таблице 20.3. #    : : : : ♦pragma ident "8(#)user_attr 1.2 99/07/14 SMI” #:::: В…
Оценить
(0 голоса)
solaris.admin.usermgr.pswd solaris.system.shutdown solaris.admin.fsmgr.write Определенные привилегированные программы проверяют авторизации для установления того, могут ли пользователи выполнять ограниченную функция. Например, чтобы один пользователь мог редактировать файл crontab другого пользователя, требуется авторизация solaris.jobs.admin. Все авторизации сохраняются в базе данных auth_attr. Если никакая служба имен не используется, то эта база данных размещается в файле, который называется /etc/security/ auth_attr. Авторизации могут быть назначены непосредственно для пользователей (или ролей), и в таком случае они вводятся в базу данных user_attr. Авторизации могут быть также назначены для профилей, которые, в свою очередь, назначаются пользователям. Профили описываются в разделе, который озаглавлен "База данных профилей прав доступа (profattr)". Поля в…
Оценить
(0 голоса)
Профили прав доступа, или просто профили, уже упоминались ранее в настоящей главе. До сих пор мы назначали права авторизации учетной записи роли. Определение учетной записи роли, которая имеет несколько авторизаций, может быть достаточно утомительной работой. В данном случае лучше определить некоторый профиль, который соберет воедино несколько авторизаций под единым именем, называемым именем профиля. Определение конкретного профиля сохраняется в базе данных prof_attr. Здесь приведен пример профиля по имени Operator для принятой по умолчанию базы данных prof_attr. Как и ранее, если вы не используете никакой службы имен, то файл базы данных profattr размещается в каталоге /etc/security. Operator:::Can perform simple administrative tasks:profiles=Printer \…
Оценить
(0 голоса)
Атрибут выполнения, ассоциированный с некоторым профилем, представляет собой команду (с любыми специальными атрибутами защиты информации), которая может быть выполнена теми пользователями или ролями, которым назначается данный профиль. Например, в предыдущем разделе мы рассматривали профиль, имеющий имя Backup Media, в базе данных prof attr. Хотя данному профилю не было назначено никаких авторизаций, профиль Backup Media был определен в базе данных exec_attr следующим образом: Media Backup:suser:cmd:::/usr/bin/mt:euid=0 Media Backup:suser:cmd:::/usr/sbin/tar:euid=0 Media Restore:suser:cmd:::/usr/sbin/tar:euid=0 Media Backup:suser:cmd:::/usr/lib/fs/ufs/ufsdump:euid=0;gid=sys Media Restore:suser:cmd:::/usr/bin/cpio:euid=0 Media Restore:suser:cmd:::/usr/bin/mt:euid=0 Media Restore:suser:cmd:::/usr/lib/fs/ufs/ufsrestore:euid=0 База данных exec_attr содержит следующие поля, которые разделяются символами двоеточия: name:policy:type:resl:res2:id:attr Каждое из представленных полей описывается в таблице 20.6. Имя поля Описание Name Имя…
Оценить
(0 голоса)
В настоящей главе было рассмотрено ролевое управление доступом для делегирования ограниченных административных возможностей пользователям, которые не являются суперпользователями. Описаны функциональные особенности, которые являются неотъемлемой составной частью RBAC - ролевого управления доступом, в том числе: Роли. Специальные учетные записи пользователей, предназначенные для выполнения некоторого набора административных задач. Авторизации. Иногда называемые также "правами", авторизации предоставляют доступ к некоторой функции, доступ к которой в противном случае является ограниченным. Профили выполнения. Механизмы пакетирования для группировки авторизаций и команд со специальными атрибутами. Профили выполнения представляют собой концепцию, аналогичную установке бит полномочий UID и GID на исполняемые файлы. В настоящей главе были также описаны четыре базы…
Оценить
(0 голоса)
•    Ролевое управление доступом (RBAC) •    Учетная запись роли •    Авторизация •    Базы данных RBAC (необходимо знать специфические особенности всех четырех баз данных)
«ПерваяПредыдущая12СледующаяПоследняя»
Навигация