ロール

ロールによりシステムの管理機能をグループ化してセットにまとめることが可能になります。 権限はキーであるという類似性を使用して、ロールは複数の権限を保持できるキー・リングと考えることができます。 権限については、ロールに直接割り当てるか、またはサブロールを介して間接的に割り当てることが可能です。 分かりやすく言えば、サブロールは指定ロールの権限の継承元である別のロールです。

ロールはそれ自体でユーザーに追加の能力を認可しませんが、その代りに、 権限の集合メカニズムおよび権限を別のユーザーに割り当てるための機能としてサービス提供します。 ロールの定義およびロールのユーザーへの割り当てを行うことにより、ユーザーが実行できるシステム管理タスクを決定します。 ロールの定義後、ロール管理者は 1 ユーザーまたは複数のユーザーにロールを割り当てることにより、 ロールに相当する特権操作を管理することが可能になります。 また、ユーザーには複数のロールを割り当てることができます。 いったん、ロールがユーザーに割り当てられると、ユーザーはロールに割り当てられた権限を使用して、 システムに関する管理コマンドへのアクセスのロックを解除することができます。

組織のポリシーと手続きに従って、ロールをユーザーに割り振る方法について決定します。 多くの権限をロールに割り当て過ぎたり、ロールを多くのユーザーに割り当て過ぎないようにしてください。 たいていのロールは管理担当のメンバーだけに割り当てるようにしてください。 これまで、root の能力は従来からトラステッド・ユーザーだけに付与されているように、 ロールはトラステッド・ユーザーだけに割り当てるようにします。 ロールは正当なニーズのあるユーザーだけに必要な期間だけ認可します。 この手法により、権限のないユーザーが権限を獲得したり、または不正使用する機会を減らします。