prof_name:policy:тип:::команда:атрибуты

В текущей реализации RBAC поле policy может принимать единственное значение – suser (суперпользователь), а тип может быть только cmd (команда). Под командой подразумевается полный путь к исполняемому файлу или shell-скрипту; если в поле команды стоит символ *, то это означает любую команду. Атрибуты, как и раньше, разделяются точкой с запятой и могут быть четырех типов:

n  uid – идентификатор пользователя,

n  euid – эффективный идентификатор пользователя,

n  gid – идентификатор группы,

n  egid – эффективный идентификатор группы.

Последний из рассматриваемых файлов (помните, +1) /etc/security/policy.conf. Он задает авторизации и профайлы прав, предоставляемые пользователю по умолчанию. Как видно из примера, файл содержит две записи:

# Copyright 1999-2002 Sun Microsystems, Inc.

# All rights reserved.

# Use is subject to license terms.

AUTHS_GRANTED=solaris.device.cdrw

PROFS_GRANTED=Basic Solaris User

Разумеется, значения этих двух полей должны быть определены в файлах auth_attr и prof_attr.

Взаимодействие компонентов RBAC

Рисунок 1. Компоненты RBAC и взаимодействие между ними

Поясню связи компонентов RBAC комментариями.

Прежде всего напомню, что каждой записи в user_attr соответствуют одноименные записи в файлах /etc/passwd и /etc/shadow.

Стоит обратить внимание на то, что в строках ролей файла /etc/passwd в поле командного интерпретатора стоит не обычный пользовательский shell (bash, csh, sh), а так называемый «профайловый» shell (profile shell) с префиксом pf:

...team:x:102:1:Operators' Team:/export/home/team:/bin/pfshivanov:x:103:1:V. Ivanov:/export/home/ivanov:/usr/bin/bash...

Когда пользователь авторизуется в роли, то запускается соответствующий profile shell, и в дальнейшем все команды выполняются при помощи pfexec с текущими полномочиями, которые определены в роли.