图2 角色、权限配置文件和授权的关联

　　在RBAC 中，将角色指定给用户。用户承担某种角色时，便可使用此角色的功能。角色从权限配置文件中获取其功能。权限配置文件可以包含授权、特权命令以及其他补充权限配置文件。特权命令是指那些使用安全属性执行的命令。图3 使用操作员角色、操作员权限配置文件以及打印机管理权限配置文件来说明RBAC的各种关系。

　　

　　图3 授权和特征文件与给予不同用户的角色的关系

　　三、RBAC的四个数据库

　　Solaris共有四个RBAC数据库用于角色的管理。下面依次介绍：

　　1、扩展的用户属性数据库(/etc/user_attr)：将用户、角色、授权和权限配置文件相关联。

　　数据库user_attr是惟一需要的数据库，其他数据库的使用取决于实现哪种安全功能。/etc/user_attr数据库补充了passwd和shadow数据库。它包含了扩展的用户属性，例如，授权和执行profile。它也帮助你将角色分配给一个用户。一个角色是一种特殊类型的用户账号，允许一个用户执行一组管理任务。它与一个普通的用户账号类似，只是不通过登录窗口访问角色，只能用su命令来访问他们的角色。

　　2、授权属性数据库(/etc/security/auth_attr)：定义了授权及其授权的属性，标识了相关的帮助文件。

　　所有的授权都被存储在/etc/security/auth_attr数据库中。当直接将授权分配给用户或角色时，授权被输入user_attr数据库中。也可以为执行profile指定授权，这些授权接下来就被分配给用户。特定的特权程序能够查看授权，并确定用户是否能够执行受限功能。例如，一个要编辑另一个用户的crontab文件的用户需要有Solaris.jobs.admin授权。

标签：