RBAC 的元素

RBAC 容許建立系統管理的角色,以及透過一組授信系統使用者委任管理作業。在 AIX® 中,透過 RBAC 提供的機制,可以將一般保留供 root 使用者使用的管理功能指派給一般系統使用者。

RBAC 可藉由在組織中定義工作功能 (角色),並將這些角色指派給特定使用者,以完成此作業。基本上,RBAC 是一種容許透過角色使用來進行系統管理的架構。角色的定義範圍通常包含管理環境中的一(個)以上管理層面。將角色指派給使用者可將一組許可權或專用權及權力有效地賦予使用者。例如,某一管理角色可以管理檔案系統,而另一角色可以啟用使用者帳戶建立。

與傳統的 UNIX 管理相比, RBAC 管理具有下列優點:
  • 系統管理可由多個不共用帳戶存取權的使用者執行。
  • 因為不需要將更大的必要權力授與每一個管理者,所以可透過精確地管理來安全地隔離。
  • 容許施行最小專用權安全模型。使用者及應用程式只有在必要時才能被授與必要專用權, 藉此可減少系統攻擊者造成的影響。
  • 關於系統管理及存取控制,容許以一致的方式實作及施行全公司的安全原則。
  • 角色定義可以建立一次,然後在使用者變更工作功能時,視需要指派給使用者或移除。
RBAC 架構集中在下列三個核心概念:
  • 授權
  • 角色
  • 專用權

這些概念結合在一起,可以讓 RBAC 系統施行最小專用權原則。