Записи в /etc/user_attr, обозначающие пользователей, могут ссылаться на описанные в нем же роли.

Атрибуты auths и profiles ссылаются соответственно на авторизации (файл /etc/security/auth_attr) и профайлы прав (файл /etc/security/prof_attr).

Записи профайлов прав в файле /etc/security/prof_attr ссылаются на:

n  другие профайлы, определенные в этом же файле;

n  авторизации, описанные в файле auth_attr;

n  одну или несколько строк в файле /etc/security/exec_attr, которая и начинается с имени данного профайла.

Управление RBAC

Операционное окружение Solaris (SOE) предусматривает три способа управления ролевыми бюджетами. Самым «цивилизованным» способом является управление при помощи утилиты с графическим интерфейсом Solaris Management Console (smc)[3].

На рис. 2 показано окно Solaris Management Console. Я не думаю, что стоит подробно рассказывать об управлении ролями и пользовательскими бюджетами при помощи этой утилиты: человек, знакомый с графическими оболочками и понимающий концепции и структуру RBAC, без труда разберется. Замечу лишь, что для управления ролями и пользовательскими бюджетами, разумеется, необходимы соответствующие права. Альтернативой использования утилиты smc является набор консольных утилит. Перечислим их и приведем их назначение.

Рисунок 2. Solaris Management Console

Информационные команды:

n  auths – выводит перечень авторизаций, которыми обладает пользователь(и). Выполнение этой команды без параметров выводит список авторизаций текущего пользователя.

n  profiles – выводит перечень профайлов, которыми обладает пользователь(и).

n  roles – выводит имена ролей, к которым принадлежит пользователь(и).

Команды useradd, userdel, usermod и roleadd, roledel, rolemod позволяют добавлять, удалять и изменять пользователей и роли соответственно.

Утилита smrole управляет ролями и позволяет добавлять и удалять пользователя в роль. smprofile и smexec управляют содержимым баз prof_attr и exec_attr.

Утилиты, название которых начинается с sm, требуют запущенной Solaris Management Console. Подробная информация об этих командах и их опциях содержится в man-страницах (1M), мы же ограничимся несколькими простыми примерами использования. Вернемся к рассмотренному нами фрагменту файла user_attr:

...master::::type=role;profiles=Primary Administratorivanov::::type=normal;roles=masterteam::::