、角色概述

　　对于传统Unix安全性模型超级用户拥有完全超级用户特权而其他用户没有足够权限解决他们自己问题有了基于角色访问控制(RBAC)便可以取代传统安全模型有了RBAC可以将超级用户能力分成区别包并将它们分别分配给分担管理任务个体当使用RBAC划分超级用户特权时用户可以拥有区别程度访问权限可以控制对其他用户特权操作授权RBAC包括了如下特性

　　1、角色:种特殊类型用户账号可以用来执行套管理任务

　　在默认情况下Solaris 支持3种区别系统管理角色

　　主管理员(PAPrimary Administrator):负责为其他用户分派权限并负责系统安全问题等效于root 用户或超级用户功能强大角色

　　系统管理员(SA Administrator):负责和安全无关日常管理工作

　　操作员(Operator):执行备份和设备维护操作

　　PA和SA的间区别主要取决于本地安全策略例如尽管默认PA角色具备添加用户和修改口令权限而默认SA角色并不具备修改口令权限但在很多地方禁止SA口令访问可能是不现实RBAC个最大好处就是它可以按照本地需求非常方便地分配权限

　　2、特征文件(profile):种打包机制用特殊属性将授权和命令分组例如使用用户和组ID

　　特征文件是用于授权个或组特定命令这些授权连接在起形成某个角色并随后和某个用户或某些区别用户建立关联关系我们可以为每个角色创建个新用户账号这些账号拥有自己主目录和口令当执行特征文件中命令时用户必须使用su命令进入角色账户这种角色用户是不允许直接登录通过su命令访问角色账户和通过su命令访问普通账户个区别的处在于它们审计功能即在通过su命令访问某个角色时它执行所有操作连同用户原始UID都会被记入日志这样每个访问角色用户操作都会被明确地记入日志并进行审计

　　3、授权:种用来授予对受限功能访问权限权利

　　授权就是赋予某个角色执行某项操作特权它是在/etc/security/auth_attr文件中定义授权定义形式和Internet域名非常相似它最左边为企业名称随后是依次细化软件Software包和功能内容在默认情况下所有Solaris提供软件Software包都是由前缀Solaris来加以识别比如修改口令授权就是Solaris.admin.usermgr.pswd许多授权划分都是十分细致它可能只允许读访问而不允许写访问反的也是如此比如主管理员(PA)可能拥有Solaris.admin.usermgr.read和Solaris.admin.usermgr.write授权因而可以对用户配置文件分别进行读访问和写访问操作而系统管理员(SA)虽然可能拥有Solaris.admin.usermgr.read授权但他并没有Solaris.admin.usermgr.write授权因此他可以读用户配置文件但不能写