簡(jiǎn)介
管理用戶和組并控制它們的訪問一直都是操作系統(tǒng)中一項(xiàng)關(guān)鍵任務(wù)��。AIX 提供了一種功能,可通過(guò)基于角色的訪問控制 (RBAC) 機(jī)制將管理角色委托給非 root 用戶�����。借助 RBAC���,用戶只要擁有部分軟硬件組件的管理權(quán)限就能夠管理這些組件上的任務(wù)����。但是這種機(jī)制有一個(gè)局限����,即用戶以一種角色就能管理所有的相似項(xiàng)。因此���,我們?cè)?RBAC 之上引入了域的概念來(lái)消除這種局限���。AIX 6.1 Tl06 和 AIX 7.1 Tl01 發(fā)布版及后續(xù)版本均支持 Domain RBAC。
本文涵蓋的內(nèi)容包括:Domain RBAC 概述����、通過(guò) Domain RBAC 所引入的組件,以及 Domain RBAC 命令的使用����,并以一個(gè)簡(jiǎn)單的示例給出概括性的使用指南���。
Domain RBAC 概述
簡(jiǎn)言之,DOMAIN RBAC 是一種用來(lái)限制未經(jīng)授權(quán)用戶對(duì)資源的訪問的機(jī)制��,或總的來(lái)說(shuō) DOMAIN RBAC 是為那些具有給定角色的特權(quán)和授權(quán)用戶提供對(duì)象隔離��。
隨著 RBAC 的引入���,也帶來(lái)了將管理權(quán)限和責(zé)任擴(kuò)展到非 root 用戶的可行性����。Domain RBAC 為用戶提供了很好的資源訪問粒度控制���,它要求啟用 Enhanced RBAC。Domain RBAC 不能工作于傳統(tǒng)的 RBAC 模式�。Domain RBAC 在加強(qiáng)的 RBAC 模式下是默認(rèn)啟用的。
Domain RBAC 引入了一些新組件����,如下所示。
- Domain:可定義成 “與系統(tǒng)上的對(duì)象和用戶相關(guān)聯(lián)的人類可讀的安全性標(biāo)記或名稱”�����。
- Object:是保存信息的實(shí)體。系統(tǒng)上的對(duì)象可以是文件�����、文件系統(tǒng)�����、卷組��、設(shè)備等����。
- Subject:是需要訪問來(lái)自對(duì)象信息的實(shí)體。代表用戶運(yùn)行的進(jìn)程通常被稱為主題��。
- Property:是決定是否賦予通過(guò)某個(gè)主題訪問某個(gè)對(duì)象的一個(gè)規(guī)則集����。
- Alpha rule:對(duì)象的域集是主題域集的一個(gè)子集。
- Star property:是對(duì)象的一個(gè)特殊屬性�����。主題和對(duì)象之間要求最少有一個(gè)共同的域。
- Conflict set:是一個(gè)域?qū)ο髮傩����,能夠根?jù)某個(gè)實(shí)體可能已定義的現(xiàn)有域訪問權(quán)限來(lái)限制對(duì)域的訪問。
- Secflag:是一個(gè)域?qū)ο髮傩�。它可根?jù)對(duì)象的屬性指定安全性標(biāo)記。有效值為:
- FSF_DOM_ANY:它遵循 Star property 的規(guī)則�����。主題和對(duì)象之間要求至少有一個(gè)共同的域���。用戶只被允許通過(guò)此主題訪問對(duì)象��。
- FSF_DOM_ALL:它遵循對(duì)象的 Alpha rule 屬性���。主題應(yīng)該保存所有對(duì)象的域集。
域是一種額外的訪問控制機(jī)制����,F(xiàn)有的訪問控制機(jī)制不會(huì)被忽略����。比如�����,域訪問控制機(jī)制仍會(huì)采用 Discretionary Access Controls (DAC) 和 RBAC���。因此,只有當(dāng) DAC 和 RBAC 均成功并符合由 Domain RBAC 強(qiáng)制執(zhí)行的控制規(guī)則時(shí)�����,才會(huì)賦予通過(guò)此主題對(duì)一個(gè)對(duì)象進(jìn)行訪問或是用域標(biāo)記運(yùn)行進(jìn)程��。下列 圖 1 演示了上述所做的討論����。
圖 1. Domain RBAC 概述
![]()
保護(hù)系統(tǒng)上的信息不受未經(jīng)授權(quán)的訪問一直都是一個(gè)關(guān)鍵任務(wù)�����?捎猛ㄟ^(guò)系統(tǒng)上的軟件或硬件組件訪問信息�����。信息通常以文件或目錄這類對(duì)象的形式保存。對(duì)象可通過(guò)主題訪問�。
如果用戶不具備對(duì)某個(gè)對(duì)象的 DAC 權(quán)限,那么只擁有 Domain 特權(quán)是不能使該用戶通過(guò)此主題訪問到該對(duì)象�����。它遵循的是上圖所示的自下而上的方式��。
Domain RBAC 命令
Domain RBAC 引入了四個(gè)新命令并使用一些現(xiàn)有的命令來(lái)處理系統(tǒng)上的域操作��。
命令 | 描述 |
| mkdom | 在域數(shù)據(jù)庫(kù)內(nèi)創(chuàng)建一個(gè)新域�。用戶可以用這個(gè) mkdom 命令來(lái)指定域?qū)傩浴K支持以 -R 選項(xiàng)在 LDAP 數(shù)據(jù)庫(kù)上創(chuàng)建域���。 |
| lsdom | 列出存在于域數(shù)據(jù)庫(kù)中的域��。用戶可以使用 -R 選項(xiàng)指定一個(gè)遠(yuǎn)端模塊���。 |
| chdom | 更改現(xiàn)有域的屬性信息。它還支持通過(guò)指定 -R 選項(xiàng)更改遠(yuǎn)端數(shù)據(jù)庫(kù)上的域?qū)傩浴?/td> |
| rmdom | 從域數(shù)據(jù)庫(kù)刪除此域���。要在一個(gè)遠(yuǎn)端數(shù)據(jù)庫(kù)上進(jìn)行刪除���,需指定 -R 選項(xiàng)。 |
| setsecattr | 添加或修改對(duì)象的域?qū)傩���。新?-o 選項(xiàng)可處理域?qū)ο蟆?/td> |
| lssecattr | 列出一個(gè)對(duì)象的域?qū)傩���。新?-o 選項(xiàng)可列出域?qū)ο蟆?/td> |
| rmsecattr | 從域數(shù)據(jù)庫(kù)刪除域?qū)ο蠖x。rmsecattr 并不會(huì)從系統(tǒng)刪除此對(duì)象�。它只是從域數(shù)據(jù)庫(kù)刪除域定義。 |
將域分配給用戶�����。在訪問一個(gè)域?qū)ο髸r(shí)會(huì)對(duì)用戶的域進(jìn)行評(píng)估������?梢栽谟騽(chuàng)建期間將其分配給用戶,也可以在之后通過(guò)使用 mkuser和 chuser 命令來(lái)將域分配給用戶��。
域數(shù)據(jù)庫(kù)
在 /etc/security/domains 文件中定義域�����。信息在這數(shù)據(jù)庫(kù)中被存儲(chǔ)為 stanza 格式����。
在 /etc/security/domobjs 文件中定義域?qū)ο�。信息在這數(shù)據(jù)庫(kù)中被存儲(chǔ)為 stanza 格式����。
/usr/sbin/setkst 命令會(huì)將域和域?qū)ο笮畔?/etc/security/domains 和 /etc/security/domobjs 文件下載到內(nèi)核。每當(dāng)用戶嘗試通過(guò)主題訪問對(duì)象時(shí)���,此內(nèi)核會(huì)在賦予對(duì)此對(duì)象的訪問權(quán)限之前先驗(yàn)證這些主題域����。如果信息存儲(chǔ)于一個(gè)遠(yuǎn)端數(shù)據(jù)庫(kù)���,則會(huì)基于 /etc/nscontrol.conf 文件內(nèi)的定義將其下載到內(nèi)核��。
示例 1
假設(shè)在一臺(tái)服務(wù)器上配置了一個(gè)工資單應(yīng)用程序��。該應(yīng)用程序會(huì)在每月末生成一個(gè)員工工資日志 (esalary.log) 文件�。在默認(rèn)的情況下�,該 payroll 組下的所有用戶均擁有訪問此日志文件的權(quán)限。但是�����,工資單管理員想要限制對(duì)此日志文件的訪問。
# ls -l esalary.log
-rw-r--r-- 1 payroll 12785 Mar 27 13:49 esalary.log
|
- 用 mkdom 命令創(chuàng)建一個(gè)域���。
- 可用 lsdom 命令列出這個(gè)域。
- 用 setsecattr 命令將域 HR 分配給該域?qū)ο笪募?(esalary.log)�。
# setsecattr -o domains=HR objtype=file /payroll/esalary.log
# lssecattr -o /payroll/esalary.log
/payroll/esalary.log domains=HR objtype=file
|
- 用 setkst 命令將域和域?qū)ο髷?shù)據(jù)庫(kù)加載到內(nèi)核。
# setkst
Successfully updated the Kernel Authorization Table.
Successfully updated the Kernel Role Table.
Successfully updated the Kernel Command Table.
Successfully updated the Kernel Device Table.
Successfully updated the Kernel Object Domain Table.
Successfully updated the Kernel Domains Table.
|
- 用戶 john 和用戶 bob 均屬于 payroll 組���。在默認(rèn)的情況下�,這兩位用戶目前均可訪問該文件��,F(xiàn)在�����,工資單管理員要限制 bob 的訪問權(quán)限�。
# lsgroup payroll
payroll id=202 admin=false users=john,bob registry=files
|
- 將用戶 john 添加到 HR 域。
# chuser domains=HR john
# lsuser -a pgrp domains john
john pgrp=payroll domains=HR
|
- 以用戶 john 登錄并訪問該文件����。
# su - john
$ cat /payroll/esalary.log
Note: user able to access this file
|
當(dāng)用戶 bob 試圖訪問此文件時(shí),會(huì)得到如下的錯(cuò)誤消息:
# su - bob
$ cat /payroll/esalary.log
cat: 0652-050 Cannot open /payroll/esalary.log.
|
示例 2
正如之前所討論的���,域也可以應(yīng)用到卷組��。如下的示例描述了如何將域分配到卷 組���。
假設(shè)有一個(gè)系統(tǒng)��,配置了三個(gè)卷組(VG1��、VG2 和 VG3)�。在默認(rèn)的情況下�����,系統(tǒng)管理員(root)能夠管理所有的這些卷組������?梢酝ㄟ^(guò)在 RBAC 模式下將 Admin 特權(quán)指派給常規(guī)用戶的方式來(lái)管理卷組。有了這個(gè)特權(quán)�����,常規(guī)用戶也可以管理這三個(gè)卷組�。
然而,若要基于所需資源以粒度的方式限制管理員對(duì)邏輯卷的管理�����,可以將域分配給他們。通過(guò)將域分配給卷組和管理員���,就可以限制常規(guī)用戶管理卷組��。
在 圖 2 中�����,用戶 Admin1、Admin2 和 Admin3 均為邏輯卷管理員�����,在 RBAC 模式下可管理任其一個(gè)邏輯卷組 (vg1����、vg2 或 vg3)。但是����,通過(guò) Domain RBAC,可將用戶 admin1 指定為域標(biāo)識(shí)符 blue�,將 admin2 指定為域標(biāo)識(shí)符 red�����,并將 admin3 指定為域標(biāo)識(shí)符 green 以分別管理域?yàn)樗{(lán)��、紅�、綠的這三個(gè)卷組(vg1���、vg2 和 vg3)�����。
圖 2. 通過(guò)域管理卷組
![]()
如 圖2 所示�,為系統(tǒng)被配置了三個(gè)卷組���。
# ls -l /dev/vg1 /dev/vg2 /dev/vg3
crw-rw---- 1 root system 10, 0 May 30 16:41 /dev/vg1
crw-rw---- 1 root system 34, 0 Jun 12 13:28 /dev/vg2
crw-rw---- 1 root system 44, 0 Jun 12 13:28 /dev/vg3
|
下列的角色為賦予常規(guī)用戶對(duì)這三個(gè)卷組的管理權(quán)限:
# mkrole authorizations=aix.lvm.manage.create VGrole
# lsrole VGrole
VGrole authorizations=aix.lvm.manage.create rolelist= groups= visibility=1 screens=*
dfltmsg= msgcat= auth_mode=INVOKER id=11
|
將 VGrole 角色分配給這些用戶:
chuser roles=VGrole Admin1
chuser roles=VGrole Admin2
chuser roles=VGrole Admin3
|
有了這個(gè)角色���,Admin1、Admin2 和 Admin3 就能夠管理卷組 VG1�����、VG2 和 VG3。 不過(guò)�,如果管理員想要限制用戶 Admin1、Admin2 和 Admin3 對(duì)各卷組的訪問����,要為這些卷組創(chuàng)建域。
通過(guò)將域分配給這些卷組�����,就可以限制用戶對(duì)這些資源的訪問�����。
| mkdom BLUE;mkdom RED;mkdom GREEN |
使用 setsecattr 命令將域分配給卷組����。
setsecattr -o domains=BLUE objtype=device /dev/VG1
setsecattr -o domains=RED objtype=device /dev/VG2
setsecattr -o domains=GREEN objtype=device /dev/VG3
|
對(duì)于需要訪問相應(yīng)卷組的用戶�����,可以用 chuser 命令將那些域分配給用戶����。
chuser domains=BLUE Admin1
chuser domains=RED Admin2
chuser domains=Green Admin3
|
以 Admin1 用戶登錄,可在 VG1 卷組下創(chuàng)建邏輯卷。
限制了用戶 Admin1 管理卷組 VG2 和 VG3 的權(quán)限�。同樣地,也限制了 Admin2 和 Admin3 用戶訪問其他卷組的權(quán)限����。
Domain RBAC LDAP 支持
也可以將這個(gè)域數(shù)據(jù)庫(kù)配置在 LDAP 服務(wù)器上。所有的 LDAP 客戶機(jī)都可下載這個(gè)域數(shù)據(jù)庫(kù)并加以使用����。自 AIX 6.1 Tl07 和 AIX 7.1 Tl02 發(fā)布版開始,就可實(shí)現(xiàn)在 LDAP 服務(wù)器上配置域數(shù)據(jù)庫(kù)�����?尚薷乃械挠蚝 LDAP 命令來(lái)支持它��。
域的限制
- Domain RBAC 必須要求系統(tǒng)啟用 Enhanced RBAC 模式����。
- Domain RBAC 在系統(tǒng)上最多可創(chuàng)建 1024 個(gè)域?qū)ο蟆?li>Domain RBAC 在系統(tǒng)上最多可創(chuàng)建 1024 個(gè)域 ID����。
結(jié)束語(yǔ)
基于角色的訪問控制 (RBAC) 為普通用戶提供了具有特權(quán)管理的訪問權(quán)限, 而 DOMAIN RBAC 使用戶能夠進(jìn)一步使用域?qū)ο蟮奶貦?quán)管理�����,從而限制其他用戶只能訪問所需的資源。
關(guān)于作者
![]()
Uma M. Chandolu 是一名 AIX 上的開發(fā)支持專家�,擁有 6 年多在 AIX 環(huán)境中工作的大量實(shí)踐經(jīng)驗(yàn),擅長(zhǎng) AIX 系統(tǒng)管理和其他子系統(tǒng)����。他擁有與客戶合作和處理客戶關(guān)鍵型情景的經(jīng)驗(yàn)。他曾是 “IBM developerWorks 投稿作者”�。
http://www.ibm.com/developerworks/cn/aix/library/au-introdomainrbac/index.html
免費(fèi)注冊(cè)
發(fā)表于 2012-01-18 17:02
發(fā)表于 2012-07-13 16:26