Desde enlace
En contraste con el modelo DAC, que está orientado alrededor de los objetos, el modelo AzMan RBAC intenta orientar la experiencia administrativa común alrededor de los roles de los usuarios. En lugar de asignar permisos a los objetos, un marco AzMan RBAC permite a las aplicaciones presentar a los administradores una experiencia de gestión más alineada con la estructura organizativa de una empresa. AzMan RBAC proporciona un objeto central, un rol, que se asigna a un usuario para realizar un trabajo en particular o una función de aplicación. Idealmente, una aplicación RBAC está diseñada para que el administrador requiera menos conocimiento de la estructura de almacenamiento de objetos. Este enfoque se puede utilizar si la aplicación RBAC proporciona una abstracción simplificada en colecciones de recursos a las que se hace referencia como ámbitos.
¿Puede alguien explicarme cómo es esto diferente de las ACL de usuario / grupo?
por ejemplo
Diga que quiero que los administradores tengan acceso de lectura a / mnt / network_performance_reports, que los administradores de sistemas tengan acceso completo de lectura / escritura y que todos los demás no tengan acceso.
Pienso que (en Linux con POSIX ACLs, no conozco realmente Windows) podría
- establezca una ACL predeterminada en / mnt para que todo lo que está debajo sea efectivamente chmod 0700 (directorios) o 0600 (archivos).
- cree un grupo de administradores de sistemas y configure una ACL predeterminada de lectura / escritura para administradores de sistemas
- cree un grupo de administradores y configure una ACL predeterminada de solo lectura para los administradores
Eso no es exactamente fácil de manejar (¡no centralizado, blech!) pero hace lo mismo, ¿no es así? No creo que entienda muy bien el concepto.
Cuando las personas hablan sobre RBAC en sistemas operativos, ¿están hablando efectivamente sobre una capa de abstracción sobre los sistemas MAC / DAC para facilitar la gestión de los mismos para grandes organizaciones? ¿O están hablando de algo que es diferente internamente ; es decir, ¿está asociado con métodos y estructuras de datos completamente diferentes en el núcleo del sistema operativo?