The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Каталог документации / Раздел "Безопасность" / Оглавление документа
next up previous
Next: Authentification Module (AUTH) Up: Role Compatibility (RC) - Previous: Специальные Значения

Начальная Конфигурация

Если запущено без определений роли, устанавливаются три предопределенных роли: General User (0), Role Admin (1) and System Admin (2). Получаются три предопределенных установки ролей из жестко встроенных установок в модуле FC.

Если запущено без установок типа, то устанавливаются по три типа на объект. Это тип по умолчанию ``General'' (0), который также используется как значение по умолчанию для всех атрибутов типа, тип ``Security'' (1) и тип ``System'' (2). На самом деле только ``General'' используется в установках по умолчанию, но примеры пригодности установлены для всех типов.

Как обычно в RSBAC, пользователь root имеет rc_def_role 2 и пользователь 400 имеет rc_def_role 1, как предустановленное значение в ACI установках пользователя по умолчанию.

Пожалуйста, помните: Предопределенные роли - это роли, созданные для того, чтобы вы могли начать. Они могут быть изменены как все другие роли! Вы можете запросто заблокировать себя, если измените их без достаточного понимания происходящего. Наиболее подходящий способ это, скопировав роль, производить изменения в новой роли.

Однако, режим обслуживания позволит вам изменять роли, если вы включите поддержку для обслуживания правил RC в конфигурации ядра.

В целях безопасности, проверяйте вашу конфигурацию с разным количеством ролей и используйте, при необходимости, rc_copy_role для их копирования.

Для соблюдения правила наименьшей привилегированности, вы можете сделать роль пользователя 0 по умолчанию фиктивной и устанавливать роль для каждого пользователя непосредственно. Таким образом, добавляя новых пользователей, никто ничего не получит.

Расширенное Администрирование с разделением обязанностей (с 1.0.9а-pre2 и далее)

Новейшие версии RC содержат сложную модель разделения обязанностей. Для этого были сделаны следующие дополнения:

Какими ролями пользователь в этой роли может управлять. Некоторые установки роли далее ограничены другими правами, например role_comp и type_comp_xx.

Какие роли пользователь в этой роли может читать и назначать пользователям и процессам (только процессам, если позволено MODIFY_ATTRIBUTE), и какие подходящие роли она может назначать администрируемым ролям (если assign_roles содержит все задействованные роли).

ADMIN: Установить/удалить имя, установить need_overwrite для FD типов.

ASSIGN: Назначить этот тип объекту. Вам также необходим MODIFY_ATTRIBUTE на объектах старого типа.

ACCESS_CONTROL: Изменение нормальных (старых) прав доступа для этого типа для ваших администрированных ролей.

SUPERVISOR: Изменение этих новых специальных прав на этот тип для ваших администрированных ролей.

Если нет роли, имеющей право SUPERVISOR на тип, то разделение всегда зафиксировано (снова, пока не перезагружено Maint ядро, или кто-то все еще имеет административный тип Role-Admin старого типа).

Так что вы могли бы перезагрузиться с новой версией, обнулить установки старых admin_type для всех ролей и таким образом получить ваши текущие фиксированные административные установки.


next up previous
Next: Authentification Module (AUTH) Up: Role Compatibility (RC) - Previous: Специальные Значения


Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру