圖3 授權(quán)和特征文件與給予不同用戶的角色的關(guān)系
三、RBAC的四個數(shù)據(jù)庫
Solaris共有四個RBAC數(shù)據(jù)庫用于角色的管理 。下面依次介紹：
1、擴展的用戶屬性數(shù)據(jù)庫(/etc/user_attr)：將用戶、角色、授權(quán)和權(quán)限配置文件相關(guān)聯(lián) 。
數(shù)據(jù)庫user_attr是惟一需要的數(shù)據(jù)庫，其他數(shù)據(jù)庫的使用取決于實現(xiàn)哪種安全功能 。/etc/user_attr數(shù)據(jù)庫補充了passwd和shadow數(shù)據(jù)庫 。它包含了擴展的用戶屬性，例如，授權(quán)和執(zhí)行profile 。它也幫助你將角色分配給一個用戶 。一個角色是一種特殊類型的用戶賬號，允許一個用戶執(zhí)行一組管理任務 。它與一個普通的用戶賬號類似，只是不通過登錄窗口訪問角色，只能用su命令來訪問他們的角色 。
2、授權(quán)屬性數(shù)據(jù)庫(/etc/security/auth_attr)：定義了授權(quán)及其授權(quán)的屬性，標識了相關(guān)的幫助文件 。
所有的授權(quán)都被存儲在/etc/security/auth_attr數(shù)據(jù)庫中 。當直接將授權(quán)分配給用戶或角色時，授權(quán)被輸入user_attr數(shù)據(jù)庫中 。也可以為執(zhí)行profile指定授權(quán)，這些授權(quán)接下來就被分配給用戶 。特定的特權(quán)程序能夠查看授權(quán)，并確定用戶是否能夠執(zhí)行受限功能 。例如，一個要編輯另一個用戶的crontab文件的用戶需要有Solaris.jobs.admin授權(quán) 。
3、權(quán)限配置文件數(shù)據(jù)庫(/etc/security/prof_attr)：定義權(quán)限配置文件，列出權(quán)限配置文件分配的授權(quán)，標識了相關(guān)的幫助文件 。
權(quán)限配置被存儲在prof_attr數(shù)據(jù)庫中 。有了權(quán)限配置文件，就可以使用特殊的屬性將授權(quán)和命令分組，并將其分配給用戶或角色 。特殊的屬性包括真正有效的UID和GID 。最常見的屬性是將真正有效的UID設置為root 。
4、權(quán)限執(zhí)行屬性數(shù)據(jù)庫(/etc/security/exec_attr)：定義了分配給一個權(quán)限配置文件的特權(quán)操作 。
與權(quán)限配置文件相聯(lián)系的執(zhí)行屬性就是命令 。命令能夠使被賦予了配置文件的用戶或角色運行特殊的安全屬性 。Exec_attr文件包括了與權(quán)限配置文件相關(guān)聯(lián)的一個基本命令列表 。
另外policy.conf文件提供將應用于所有用戶的默認屬性 。RBAC的幾個數(shù)據(jù)庫的相互關(guān)系如圖4所示 。
圖4 RBAC的幾個數(shù)據(jù)庫的相互關(guān)系
四、RBAC幾大特點
(1)訪問權(quán)限與角色相關(guān)聯(lián)，不同的角色有不同的權(quán) 。用戶以什么樣的角色對資源進行訪問，決定了用戶擁有的權(quán)限以及可執(zhí)行何種操作 。
(2)角色繼承 。角色之間可能有互相重疊的職責和權(quán)力，屬于不同角色的用戶可能需要執(zhí)行一些相同的操作 。RBAC 采用角色繼承的概念，如角色2繼承角色1，那么管理員在定義角色2時就可以只設定不同于角色1的屬性及訪問權(quán)限，避免了重復定義 。
(3)最小權(quán)限原則，即指用戶所擁有的權(quán)力不能超過他執(zhí)行工作時所需的權(quán)限 。實現(xiàn)最小特權(quán)原則，需要分清用戶的工作職責，確定完成該工作的最小權(quán)限集，然后把用戶限制在這個權(quán)限結(jié)合的范圍之內(nèi) 。一定的角色就確定了其工作職責，而角色所能完成的事物蘊涵了其完成工作所需的最小權(quán)限 。用戶要訪問信息首先必須具有相應的角色，用 戶無法饒過角色直接訪問信息 。
(4)職責分離 。一般職責分離有兩種方式：靜態(tài)和動態(tài) 。
(5)角色容量 。在一個特定的時間段內(nèi)，有一些角色只能有一定人數(shù)的用戶占用 。在創(chuàng)建新的角色時應該指定角色的容量 。
五、總結(jié)
基于角色的訪問控制是一種方便、安全、高效的訪問控制機制 。本文介紹了基于角色的訪問控制(RBAC)的工作原理，RBAC在Solaris 下的實現(xiàn)可以通過兩種方法：RBAC命令和SMC 。后邊筆者會依次介紹 。

推薦閱讀

• 

  奧奇?zhèn)髡f手游火系陣容推薦 奧奇?zhèn)髡f手游火系陣容怎么搭配
• 

  公務員計算機類專業(yè)包括哪些
• 

  借貸寶里面對面收錢功能如何用 借貸寶使用方法介紹
• 

  如何制作黃豆醬
• 

  p0635故障碼解釋和消除方法，P0635故障碼怎么解決？
• 

  2133的內(nèi)存 2133mhz內(nèi)存是幾代
• 

  半坡起步半聯(lián)動不熄火的竅門
• 

  相親對象回復好好說話怎么回復
• 

  翡翠a+b貨怎么辨別 翡翠a貨B貨怎么辨別
• 

  怎樣管教青春期的男孩子? 青春期男孩子怎么管教最好
• 

  教你ipad怎么設置桌面懸浮球
• 

  dota自走棋攻略有哪些
• 

  煙臺福山和坊街在哪里,北京紅運坊潮牌文化街市集開街
• 

  宜興高鐵至武漢高鐵時間表，宜興高鐵到武漢下需要轉(zhuǎn)車到其他車站買到信陽的高鐵票嗎
• 

  樓梯的寬度高度都是多少 樓梯風水的正確步數(shù)圖
• 

  手機神奇般的一直自己裝360安全衛(wèi)士。

• 錘子手機閃念膠囊使用方法 閃念膠囊功能如何開啟？
• Solaris 補丁管理器
• 談談自己的1110使用感受
• 輕顏相機怎么使用
• Superpads fade教程 Superpads怎么使用
• 使用j300c的心得
• 幾天來使用6030的有感——給想購買6030的朋們
• 絕地求生手游助手怎么綁定角色
• 小鳴單車退余額的方法 小鳴單車余額怎么退？
• K700C使用一周總結(jié)