中国IT动力,最新最全的IT技术教程
最新100篇 | 推荐100篇 | 专题100篇 | 排行榜 | 搜索 | 在线API文档
首 页 | 程序开发 | 操作系统 | 软件应用 | 图形图象 | 网络应用 | 精文荟萃 | 教育认证 | 硬件维护 | 未整理篇 | 站长教程
ASP JS PHP工程 ASP.NET 网站建设 UML J2EESUN .NET VC VB VFP 网络维护 数据库 DB2 SQL2000 Oracle Mysql
服务器 Win2000 Office C DreamWeaver FireWorks Flash PhotoShop 上网宝典 CorelDraw 协议大全 网络安全 微软认证
硬件维护  CPU  主板  硬盘  内存  显卡  显示器  键盘鼠标  声卡音箱  打印机  机箱电源  BIOS  网卡  C#  Java  Delphi  vs.net2005
  当前位置:> 操作系统 > Solairs
SA299第十一章读书笔记
作者:未知 时间:2005-09-13 22:53 出处:Blog.ChinaUnix.net 责编:chinaitpower
              摘要:SA299第十一章读书笔记
configuring role-based access control(RBAC)

基本内容:
RBAC的基础知识
描述与RBAC有交互作用的一些组件
用solaris管理控制台来管理RBAC
用命令行的方法来管理RBAC
在RBAC当中,单个的用户可以被赋予各种各样的角色比如说系统管理员、网络管理员、操作员等等.users,roles,profiles,privileged commands在四个数据库中被定义.
rights profiles-rights profiles and role descriptions
all:提供一个role对所有命令都有操作权限
primary administrator:在non-RBAC系统中,这个角色和root用户有等价的权限
system administrator
operator
basic solaris user:允许用户去执行一些和系统安全无关的操作
printer management
角色和授权的关系
operator:solaris.admin.usermgr.read
system administrator: solaris.admin.usermgr.read
                      solaris.admin.usermgr.write
primary administrator:solaris.admin.usermgr.read
                      solaris.admin.usermgr.write
                      solaris.admin.usermgr.pswd
带有grant后缀的授权允许一个用户或者role代表其他用户被赋予的权限,比如说,一个被授权solaris.admin.usermgr.grant和solaris.admin.usermgr.read的role可以代表另一个用户的solaris.admin.usermgr.read权限
pfsh,pfcsh,pfksh这三个profile shells分别和Bourne shell(sh),C shell(csh),Korn shell(ksh)相对应
shell和profile shell有相同的inode号,比如说:
# ls -i /usr/bin/sh /usr/bin/pfsh
247742 /user/bin/pfsh 247742 /usr/bin/pfsh
RBAC使用四个数据库来提供用户对特权操作的访问,分别是/etc/user_attr,/etc/security/prof_attr,/etc/security/exec_attr,/etc/security/auth_attr.除了这四个数据库,/etc/security/policy.conf文件还提供了对用户来说系统默认的一些权限
在/etc/user_attr数据库下常用的格式是:user:qualifier:res1:res2:attr,其中对于attr有四个值,分别是type,auths,roles,profiles
在/etc/security/prof_attr数据库下常用的格式是:profname:res1:res2:desc:attr.其中对于attr有两个值,分别是help和auths
在/etc/security/exec_attr数据库下常用的格式是:name:policy:type:res1:res2:id:attr.其中对于attr有四个值,分别是euid,uid,egid,gid,对于policy只有suser与之对应,对于type只有cmd与之对应
在/etc/security/auth_attr数据库下常用的格式是:authname:res1:res2:short_desc:long_desc:attr
/etc/security/policy.conf文件的作用是将profiles和authorizations的特权授予所有用户,这个文件中有两个变量分别是AUTHS_GRANTED,PROFS_GRANTED
添加一个role常用的选项有:
-c comment:注释
-d dir:为新role指定目录
-m:如果指定的目录不存在则建立这个目录
-A authorization and -P profile:为一个role指定authorizations和profiles
例如:# roleadd -m -d /export/home/tarback -c "privileged tar backup role" -P "media backup,media restore" tarback
修改一个role常用的选项有:
-A authorization,-e expire,-l new_logname,-P profile,-s shell
例如:# rolemod -A auth1,auth2 -P profile1,profile2 role1
关闭本页
 
首页 | 投资与合作 | 服务条款 | 隐私政策 | 收藏本站 | 设为首页 | 新用户注册 | 免责声明 | 使用帮助
Copyright ©2005-2008 chinaitpower.com All rights reserved. www.chinaitpower.com 版权所有