1、 版权所有 IBM 公司 2012 商标AIX Domain RBAC 提高了复杂世界中的安全性 第 1 页,共 5AIX Domain RBAC 提高了复杂世界中的安全性George M Koikara高级程序员自由开发者Guha Prasad VenkataramanAIX 架构师IBM2012 年 4 月 23 日编者按:这是由两部分组成的系列文章的第一部分,将介绍 AIX 的基于域角色的访问控制功能(Domain RBAC)。第 1 部分将概述此安全功能,第二部分会更详细地分析具体细节。在如今复杂的数据中心/云计算环境中,安全已成为主要的关注点。在日益加剧的服务器整合世界中,物理隔离所
2、提供的安全性正在消失,有关系统管理员的问题越来越多。为了解决这些问题,越来越多的安全技术应运而生。其中一种这样的技术就是 AIX 6.1 TL6 和 AIX 7.1 的基于角色的访问控制(RBAC) 功能中的域支持。它向 AIX 提供了隔离功能来支持多租户环境。许多企业不仅将超级用户特权授予系统管理员,还将该特权授予 DBA 和应用程序开发人员。这种访问级别对众多人而言无疑是一个安全问题。一项安全功能(名为 Enhanced RBAC,在 AIX 6.1 中引入)通过实现 RBAC 系统解决了这个问题,该系统实现了这样一种机制,在该机制中,非根用户可执行具有特定特权的管理任务。Enhanced
3、 RBAC 提供了一些关键功能(包括授权、角色和特权)作为启用 RBAC 的机制。授权对于访问命令或特定的功能是至关重要的。大部分管理命令都与相关授权有关系,可基于用户授权来授予或拒绝对这些命令的访问。要简化向用户的授权分配,则应该将相关授权集中在一个名为角色的实体中,然后将角色分配给用户。通常,类似的授权或足以执行某项特定作业功能的授权会放在一个角色下。在传统 UNIX 中,应用程序使用定义良好的系统调用与 OS 进行交互,这些调用执行检查,只在用户有权执行请求的操作或用户是根用户时,才允许他成功执行该操作。为了简化此过程并加强保护,Enhanced RBAC 引入了 “特权” 来绕过这些检
4、查。特权依赖于系统服务,应该将合适的特权分配给需要与这些服务进行交互的命令。当具有授权和特权的用户调用某个具有相同授权的命令时,分配给该命令的特权会传递到该进程,从而允许用户成功执行此操作。图 1 演示了 RBAC。developerWorks Domain RBAC 提高了复杂世界中的安全性 第 2 页,共 5图1.RBACEnhanced RBAC 为管理员提供了一种将角色和职责委托给非根用户的方法,但它无法为管理员提供一种将这些授权用户进一步限制于特定系统资源的机制。Domain RBAC 通过 Enhanced RBAC 提供了这一限制。域用例Domain RBAC 非常适用于需要责
5、任委托和影响范围的场景。典型的 RBAC 角色允许根用户将某些系统管理区域委托给某些用户。通过使用域,根用户现在可将授权用户的影响限制于一组有限的资源,并通过高效使用资源的冲突集 (conflictset) 属性,根用户也可选择阻止访问指定的资源集合。这一灵活性使用户能够调节环境的安全策略。考虑以下这种情形:一个系统有 3 个网络接口,分别对应于数据库通信、Internet 通信和内部网通信。每个接口的管理最好由一位用户管理,这样内部网接口管理员无法修改其他接口的特征,数据库和 Internet 接口管理员也是如此。图 2 演示了这种理想的访问矩阵。 developerWorksAIX Dom
6、ain RBAC 提高了复杂世界中的安全性 第 3 页,共 5图2.访问矩阵Domain RBAC 可在这类场景中提供帮助,将管理员和网络接口限制在适当的域中。加固的安全性简言之,Domain RBAC 是一种限制未授权用户对资源的访问的机制,通过某个给定角色为特权和授权用户提供对象隔离。因此,域建立了用户和资源的一种逻辑隔离。这样一种隔离对于通过同一个系统为多个组织提供服务的情况很有用。对于 SAN,可使用域分类存储设备上的文件系统,域访问规则可控制对文件系统的访问。本文的英文原文最先在 IBM Systems Magazine 在线网站()上发布。developerWorks Domai
7、n RBAC 提高了复杂世界中的安全性 第 4 页,共 5参考资料 “Domain RBAC 简介”(developerWorks,2011 年 11 月):本文言简意赅地介绍了如何使用Domain RBAC 获得对资源和对象的粒度访问。此外,还给出了在资源上实现 Domain RBAC 的示例。 AIX and UNIX 专区:developerWorks 的“AIX and UNIX 专区”提供了大量与 AIX 系统管理的所有方面相关的信息,您可以利用它们来扩展自己的 UNIX 技能。 AIX and UNIX 新手入门:访问“AIX and UNIX 新手入门”页面可了解更多关于 AIX
8、 和 UNIX 的内容。 AIX and UNIX 专题汇总:AIX and UNIX 专区已经为您推出了很多的技术专题,为您总结了很多热门的知识点。我们在后面还会继续推出很多相关的热门专题给您,为了方便您的访问,我们在这里为您把本专区的所有专题进行汇总,让您更方便的找到您需要的内容。 AIX and UNIX 下载中心:在这里你可以下载到可以运行在 AIX 或者是 UNIX 系统上的 IBM 服务器软件以及工具,让您可以提前免费试用他们的强大功能。 IBM Systems Magazine for AIX 中文版:本杂志的内容更加关注于趋势和企业级架构应用方面的内容,同时对于新兴的技术、产品
9、、应用方式等也有很深入的探讨。IBM Systems Magazine 的内容都是由十分资深的业内人士撰写的,包括 IBM 的合作伙伴、IBM 的主机工程师以及高级管理人员。所以,从这些内容中,您可以了解到更高层次的应用理念,让您在选择和应用 IBM 系统时有一个更好的认识。 加入 developerWorks 中文社区。查看开发人员推动的博客、论坛、组和维基,并与其他developerWorks 用户交流。 developerWorksAIX Domain RBAC 提高了复杂世界中的安全性 第 5 页,共 5作者简介George M KoikaraGeorge M Koikara 是 AIX 开发领域的一名高级程序员,从事过多种 AIX 技术工作。他是一名安全专家,特别擅长可信计算和多级别安全性技术。他领导并开发了 AIX 6.1 的很多安全特性。Guha Prasad VenkataramanGuha Prasad Venkataraman 是一位 AIX 架构师,领导着 AIX 印度开发团队。他拥有 19年的 IT 从业经验,还对 AIX 网络安全做出了突出贡献。 版权所有 IBM 公司 2012(
