Roles de RBAC
Páginas: 5 (1059 palabras)
Publicado: 16 de agosto de 2015
Roles de RBAC
Un rol es un tipo especial de cuenta de usuario desde la que puede ejecutar aplicaciones con privilegios. Los roles se crean del mismo modo general que las cuentas de usuario. Los roles tiene un directorio principal, una asignación de grupo, una contraseña, etc. Los perfiles de derechos y las autorizaciones otorgan al rol capacidades administrativas. Los roles no pueden heredarcapacidades de otros roles u otros usuarios. Los roles discretos dividen las capacidades de superusuario y, por lo tanto, permiten prácticas administrativas más seguras.
Cuando un usuario asume un rol, los atributos del rol reemplazan todos los atributos de usuario. La información del rol se almacena en las bases de datos passwd, shadow y user_attr. La información del rol se puede agregar a la basede datos audit_user. Para obtener información detallada acerca de cómo configurar roles, consulte las siguientes secciones:
Cómo planificar la implementación de RBAC
Cómo crear un rol desde la línea de comandos
Cómo cambiar las propiedades de un rol
Un rol se puede asignar a más de un usuario. Todos los usuarios que pueden asumir el mismo rol tienen el mismo directorio principal, trabajan en elmismo entorno y tienen acceso a los mismos archivos. Los usuarios pueden asumir roles desde la línea de comandos. Para ello, deben ejecutar el comando su y proporcionar el nombre del rol y la contraseña. Los usuarios también pueden asumir un rol en la herramienta de Solaris Management Console.
Un rol no puede iniciar sesión directamente. Un usuario inicia sesión y, a continuación, asume un rol. Trasasumir un rol, el usuario no puede asumir otro rol sin salir primero de su rol actual. Tras salir del rol, el usuario puede asumir otro rol.
Para impedir el inicio de sesión anónimo de root puede cambiar el usuario root a un rol, tal como se muestra en Cómo convertir el usuario root en un rol. Si se audita el comando de shell de perfil, pfexec, la pista de auditoría contiene el UID real delusuario que inició sesión, los roles que el usuario asumió y las acciones que el rol realizó. Para auditar operaciones de roles en el sistema o un usuario concreto, consulte Cómo auditar roles.
No se incluyen roles predefinidos con el software Oracle Solaris. Sin embargo, los perfiles de derechos que se envían con el software están diseñados para asignarlos a roles. Por ejemplo, el perfil de derechos deadministrador principal se puede utilizar para crear el rol de administrador principal.
Para configurar el rol de administrador principal, consulte Uso de las herramientas de gestión de Solaris con RBAC (mapa de tareas) de Guía de administración del sistema: administración básica.
Para configurar otros roles, consulte Cómo crear y asignar un rol con la interfaz gráfica de usuario.
Para crearroles en la línea de comandos, consulte Gestión de RBAC (mapa de tareas).
Shells de perfil y RBAC
Los roles pueden ejecutar aplicaciones con privilegios desde el programa de ejecución de Solaris Management Console o desde un shell de perfil. Un shell de perfil es un shell especial que reconoce los atributos de seguridad que se incluyen en un perfil de derechos. Los shells de perfil se inician cuandoel usuario ejecuta el comando su para asumir un rol. Los shells de perfil son pfsh, pfcsh y pfksh. Los shells se corresponden con el shell Bourne (sh), el shell C (csh) y el shell Korn (ksh), respectivamente.
Los usuarios a los que se asignó directamente un perfil de derechos deben invocar un shell de perfil para ejecutar los comandos con atributos de seguridad. Para conocer las consideraciones deseguridad y facilidad de uso, consulte Consideraciones de seguridad al asignar directamente atributos de seguridad.
Todos los comandos que se ejecutan en un shell de perfil pueden auditarse. Para obtener más información, consulte Cómo auditar roles.
Ámbito de servicio de nombres y RBAC
El ámbito de servicio de nombres es un concepto importante para comprender RBAC. El ámbito de un rol puede...
Un rol es un tipo especial de cuenta de usuario desde la que puede ejecutar aplicaciones con privilegios. Los roles se crean del mismo modo general que las cuentas de usuario. Los roles tiene un directorio principal, una asignación de grupo, una contraseña, etc. Los perfiles de derechos y las autorizaciones otorgan al rol capacidades administrativas. Los roles no pueden heredarcapacidades de otros roles u otros usuarios. Los roles discretos dividen las capacidades de superusuario y, por lo tanto, permiten prácticas administrativas más seguras.
Cuando un usuario asume un rol, los atributos del rol reemplazan todos los atributos de usuario. La información del rol se almacena en las bases de datos passwd, shadow y user_attr. La información del rol se puede agregar a la basede datos audit_user. Para obtener información detallada acerca de cómo configurar roles, consulte las siguientes secciones:
Cómo planificar la implementación de RBAC
Cómo crear un rol desde la línea de comandos
Cómo cambiar las propiedades de un rol
Un rol se puede asignar a más de un usuario. Todos los usuarios que pueden asumir el mismo rol tienen el mismo directorio principal, trabajan en elmismo entorno y tienen acceso a los mismos archivos. Los usuarios pueden asumir roles desde la línea de comandos. Para ello, deben ejecutar el comando su y proporcionar el nombre del rol y la contraseña. Los usuarios también pueden asumir un rol en la herramienta de Solaris Management Console.
Un rol no puede iniciar sesión directamente. Un usuario inicia sesión y, a continuación, asume un rol. Trasasumir un rol, el usuario no puede asumir otro rol sin salir primero de su rol actual. Tras salir del rol, el usuario puede asumir otro rol.
Para impedir el inicio de sesión anónimo de root puede cambiar el usuario root a un rol, tal como se muestra en Cómo convertir el usuario root en un rol. Si se audita el comando de shell de perfil, pfexec, la pista de auditoría contiene el UID real delusuario que inició sesión, los roles que el usuario asumió y las acciones que el rol realizó. Para auditar operaciones de roles en el sistema o un usuario concreto, consulte Cómo auditar roles.
No se incluyen roles predefinidos con el software Oracle Solaris. Sin embargo, los perfiles de derechos que se envían con el software están diseñados para asignarlos a roles. Por ejemplo, el perfil de derechos deadministrador principal se puede utilizar para crear el rol de administrador principal.
Para configurar el rol de administrador principal, consulte Uso de las herramientas de gestión de Solaris con RBAC (mapa de tareas) de Guía de administración del sistema: administración básica.
Para configurar otros roles, consulte Cómo crear y asignar un rol con la interfaz gráfica de usuario.
Para crearroles en la línea de comandos, consulte Gestión de RBAC (mapa de tareas).
Shells de perfil y RBAC
Los roles pueden ejecutar aplicaciones con privilegios desde el programa de ejecución de Solaris Management Console o desde un shell de perfil. Un shell de perfil es un shell especial que reconoce los atributos de seguridad que se incluyen en un perfil de derechos. Los shells de perfil se inician cuandoel usuario ejecuta el comando su para asumir un rol. Los shells de perfil son pfsh, pfcsh y pfksh. Los shells se corresponden con el shell Bourne (sh), el shell C (csh) y el shell Korn (ksh), respectivamente.
Los usuarios a los que se asignó directamente un perfil de derechos deben invocar un shell de perfil para ejecutar los comandos con atributos de seguridad. Para conocer las consideraciones deseguridad y facilidad de uso, consulte Consideraciones de seguridad al asignar directamente atributos de seguridad.
Todos los comandos que se ejecutan en un shell de perfil pueden auditarse. Para obtener más información, consulte Cómo auditar roles.
Ámbito de servicio de nombres y RBAC
El ámbito de servicio de nombres es un concepto importante para comprender RBAC. El ámbito de un rol puede...
Leer documento completo
Regístrate para leer el documento completo.