AIX中基于角色的访问控制，第2部分

用户定义的角色

在这个部分中，我们将介绍用户定义的角色。

对用户定义的角色进行规划

正如我们在第 1 部分“RBAC 中的预定义角色”中所讨论的，AIX V6 中包括三种预定义角 色。这些预定义角色为划分管理职责提供了一种建议的方法。

可以对这些预定义角色进行修改或者删除，对于不同的环境，也可以创建一些合适的、新的角色。

注意：ISSO、SA 和 SO 角色由 Trusted AIX 使用。如果您的环境中包括 Trusted AIX，那么您可能 会希望通过使用用户定义的角色来自定义您的 RBAC 环境。

尽管这些预定义角色适用于各种管理需求，但有时候，需要对职责进行进一步、更细粒度地划分。在 这种情况下，增强的 RBAC 允许创建用户定义的角色。

在创建用户定义的角色时，应该考虑下面的几个要点：

角色的名称

角色的名称应该包括某些描述、或者对该角色功能的见解。角色名称限制为不超过 63 个可打印的字 符。

授权

考虑应该向该角色分配哪些授权。

子角色

考虑该角色是否应该包含子角色。子角色是一种非常方便的方法，用于为用户定义的角色分配一个或 者多个预先存在的角色。

身份验证

在通过 swrole 命令使用角色的时候，用户是否必须进行身份验证。

创建一个用户定义的角色

AIX V6 中包括下面的几种角色和 KST 管理命令：

mkrole

创建一个新的角色。当系统运行于增强的 RBAC 模式时，可以立即将角色数据库中创建的角色分配给 用户，但出于安全的考虑，应该在通过 setkst 命令将数据库发送到内核安全表 (KST) 之后再使用这些 角色。

rmrole

删除一个现有的角色。当系统运行于增强的 RBAC 模式时，从角色数据库中删除的角色将仍然存在于 KST 中，直到使用 setkst 命令更新 KST。

（编辑：济南站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!