Элементы RBAC
RBAC позволяет создавать роли для администрирования системы и делегирования задач по администрированию какому-либо из группы защищенных пользователей системы. В AIX RBAC предоставляет механизм, с помощью которого функции администрирования, обычно предоставляемые только корневому пользователю, можно было назначить обычному пользователю системы.
RBAC реализует это путем определения функциональных обязанностей (ролей) в организации и назначения этих ролей определенным пользователям. RBAC представляет собой среду, которая позволяет администрировать систему путем использования ролей. Обычно роли определяются вместе с полномочиями на управление одним или несколькими административными аспектами среды. При назначении роли пользователю предоставляется набор разрешений или прав. Например, одна из управляющих ролей может быть предназначена для управления файловыми системами, а другая - для того чтобы обеспечить создание учетных записей пользователей.
- Администрировать систему могут различные пользователи, не имея при этом общего доступа к учетной записи.
- Изоляция защиты с помощью дискретного администрирования, поскольку каждый администратор получает только те полномочия, которые требуются.
- Позволяет принудительно применить принцип минимальных прав доступа. Пользователи и приложения получают только те права, которые необходимы, и только тогда, когда они требуются, благодаря чему снижается влияние на систему при возможной атаке.
- Позволяет согласованно реализовать и применить стратегии защиты в отношении управления системой и контроля доступа во всей компании.
- Определение роли можно создать один раз, а затем назначать его пользователям или удалять по необходимости при смене функциональных обязанностей пользователей.
- Права доступа
- Роли
- Привилегии
В комбинации эти три концепции позволяют системе RBAC применять принцип минимальных прав доступа.