[ новости /+++ | форум | теги | ]

Каталог документации / Раздел "Безопасность" / Оглавление документа

Начальная Конфигурация

Если запущено без определений роли, устанавливаются три предопределенных роли: General User (0), Role Admin (1) and System Admin (2). Получаются три предопределенных установки ролей из жестко встроенных установок в модуле FC.

Если запущено без установок типа, то устанавливаются по три типа на объект. Это тип по умолчанию ``General'' (0), который также используется как значение по умолчанию для всех атрибутов типа, тип ``Security'' (1) и тип ``System'' (2). На самом деле только ``General'' используется в установках по умолчанию, но примеры пригодности установлены для всех типов.

Как обычно в RSBAC, пользователь root имеет rc_def_role 2 и пользователь 400 имеет rc_def_role 1, как предустановленное значение в ACI установках пользователя по умолчанию.

Пожалуйста, помните: Предопределенные роли - это роли, созданные для того, чтобы вы могли начать. Они могут быть изменены как все другие роли! Вы можете запросто заблокировать себя, если измените их без достаточного понимания происходящего. Наиболее подходящий способ это, скопировав роль, производить изменения в новой роли.

Однако, режим обслуживания позволит вам изменять роли, если вы включите поддержку для обслуживания правил RC в конфигурации ядра.

В целях безопасности, проверяйте вашу конфигурацию с разным количеством ролей и используйте, при необходимости, rc_copy_role для их копирования.

Для соблюдения правила наименьшей привилегированности, вы можете сделать роль пользователя 0 по умолчанию фиктивной и устанавливать роль для каждого пользователя непосредственно. Таким образом, добавляя новых пользователей, никто ничего не получит.

Расширенное Администрирование с разделением обязанностей (с 1.0.9а-pre2 и далее)

Новейшие версии RC содержат сложную модель разделения обязанностей. Для этого были сделаны следующие дополнения:

• Новый вектор роли admin_roles:

• Новый вектор роли assign_roles:

• Дальнейшее ограничение на изменяющуюся роль пользователя/процесса: старая роль также должна содержаться в вашем векторе assign_roles. Таким образом, частичная роль назначающего всегда должна оставаться в пределах ограниченного набора ролей и не может затрагивать пользователей и процессы в других ролях.
• Эти новые векторы могли быть изменены только Администрирующие Роли старого стиля. Если вы вначале их установите, и затем удалите все Администрирующие Роли, то это разделение зафиксируется навсегда (хорошо, до перезагрузки Maint ядра).
• Права доступа нового типа:

ASSIGN: Назначить этот тип объекту. Вам также необходим MODIFY_ATTRIBUTE на объектах старого типа.

ACCESS_CONTROL: Изменение нормальных (старых) прав доступа для этого типа для ваших администрированных ролей.

SUPERVISOR: Изменение этих новых специальных прав на этот тип для ваших администрированных ролей.

Если нет роли, имеющей право SUPERVISOR на тип, то разделение всегда зафиксировано (снова, пока не перезагружено Maint ядро, или кто-то все еще имеет административный тип Role-Admin старого типа).

• Старые роли и типы (от старых версий RC) автоматически обновляются при первом запуске новой версии. При обновлении Администрирующие Роли просто получают любые установки. Предупреждение: если вы скопируете обновленную роль, то заодно будут получены любые установки для всех ролей и типов! Системный Администратор получит назначенные права только для его роли, которые должны позволить ему прочесть собственные установки роли, но не позволят что-либо изменить.

• admin_type для Role_Admin старого типа все еще работает как и прежде, для сохранения вещей простыми для нормального использования.

Партнёры:

Хостинг: