Role Based Access Control

Role Based Access Control (RBAC; deutsch: Rollenbasierte Zugriffskontrolle) ist in Mehrbenutzersystemen oder Rechnernetzen ein Verfahren zur Zugriffssteuerung und -kontrolle auf Dateien oder Dienste. Das RBAC-Modell wurde 1992 von D.F Ferraiolo und D.R. Kuhn beschrieben^[1] und 2004 als ANSI-Norm 359-2004 verabschiedet.

RBAC-Modell

Bei der rollenbasierten Zugriffskontrolle werden den Benutzern des Computers oder Netzwerks Rollen zugeordnet. Benutzer können dabei mehrere Benutzerrollen besitzen. An eine Rolle sind beispielsweise 1 bis n Gruppenzugehörigkeiten gebunden. Je nach Rollenzuordnung des Benutzers (und den damit verbundenen Gruppenzugehörigkeiten) erteilt oder sperrt das System dann das Zugriffsrecht auf Ressourcen. Häufig werden vor allem Lesen, Schreiben und Ausführen von Dateien mittels RBAC kontrolliert; das Verfahren ist jedoch nicht darauf beschränkt.

Eine Gruppe ist also nicht zwingend einer Rolle gleichzusetzen. Der Grund dafür ist, dass sich die Unterteilung der Benutzer danach richtet, in welcher Rolle, also in Ausübung welcher Aufgaben, sie auf den Computer zugreifen. Das englische Wort „Role“ wird im IT-bezogenen deutschen Sprachgebrauch unter anderem für Webmaster, Postmaster, Newsmaster, Netzwerkadministratoren, Systemadministratoren und ähnliches verwendet und soll verdeutlichen, dass es sich nicht zwangsläufig um verschiedene Personen handelt, sondern dass zum Beispiel ein- und dieselbe Person mal in der Rolle des Webmasters Webseiten aktualisiert, dann in der Rolle des Postmasters Beschwerden über sein offenes Mail-Relay liest und als nächstes in der Rolle des Systemadministrators Software installiert. Für die Ausübung sind dabei je nach Rolle möglicherweise unterschiedliche Zugriffberechtigungen notwendig, die auch eine Zuordnung eines Benutzers zu mehr als einer Gruppe erforderlich machen.

Wegen der dreistufigen Gliederung in Benutzer, Rollen und Gruppen ist es möglich, Zugriffsrechte eines Benutzers über eine Rollenzuordung und daran gebundene Gruppenzuordnungen zu kontrollieren.

Für die Verwaltung dieser Zuordnungen werden in der Regel Identitätsmanagement-Systeme (IDM) implementiert. Diese ermöglichen die Zuordnung von Benutzern zu jeweils 1 bis n Gruppen in 1 bis n Computersystemen lediglich über die Bindung an wenigstens eine Rolle. Voraussetzung hierfür ist unter anderem die Erstellung eines einheitlichen Nutzer-Rollenkonzepts. Diese Systeme erlauben es auch, die Konformität mit IT-Sicherheitsvorgaben sicherzustellen. Dazu kann in konfigurierbaren Zeitabständen ein Vergleich der Gruppenzugehörigeit(en) eines Benutzers in 1 bis n Computersystemen mit den Rollendefinitionen im Regelwerk des IDM-Systems erfolgen. Das IDM-System kann diese Abweichung (Non-Compliance) dann bei Bedarf korrigieren und somit eine Zugriffskonsistenz sicherstellen.

Benutzung

Die Benutzung von RBAC zur Verwaltung von Benutzerrechten wird weitgehend als bestes Verfahren angesehen. Diese Art der Zugriffskontrolle wurde in verschiedenen Systemen umgesetzt. Systeme wie Microsoft Active Directory, Microsoft SQL Server, SELinux, grsecurity, FreeBSD, Solaris, Oracle RDBMS, PostgreSQL 8.1, SAP R/3, FusionForge und viele weitere benutzen eine Ausprägung des RBAC-Modells.

Siehe auch

• Mandatory Access Control
• Discretionary Access Control
• Benutzerrolle

Weblinks

• http://csrc.nist.gov/rbac/ – Die offizielle Website des National Institute of Standards and Technology zu RBAC
• http://www.rsbac.org – Rule Set Based Access Control (RSBAC) – Rahmenwerk mit Umsetzung eines erweiterten Rollenmodells (RC) für Linux Systeme
• http://www.nsa.gov/research/selinux/index.shtml – Security Enhanced Linux (SELinux) Bestandteil von u. a. RedHat Fedora Core
• http://www.grsecurity.org – Greater Security (Grsecurity)
• http://www.openrbac.de/ – RBAC Open-Source-Implementierung

Fußnoten

1. ↑ D.F. Ferraiolo, D.R. Kuhn: Role Based Access Control. 15th National Computer Security Conference, 1992, abgerufen am 13. März 2008 (PDF, englisch).