Rollenbasierte Zugriffskontrolle

Die Artikel Rollenkonzept und Role Based Access Control überschneiden sich thematisch. Hilf mit, die Artikel besser voneinander abzugrenzen oder zu vereinigen. Beteilige dich dazu an der Diskussion über diese Überschneidungen. Bitte entferne diesen Baustein erst nach vollständiger Abarbeitung der Redundanz. Avron 00:52, 9. Aug. 2008 (CEST)

Role Based Access Control (RBAC; deutsch: Rollenbasierte Zugriffskontrolle) ist in Mehrbenutzersystemen oder Rechnernetzen ein Verfahren zur Zugriffssteuerung und -kontrolle auf Dateien oder Dienste. Das RBAC-Modell wurde 1992 von D.F Ferraiolo und D.R. Kuhn beschrieben^[1] und 2004 als ANSI-Norm 359-2004 verabschiedet.

Bei der rollenbasierten Zugriffskontrolle werden den Benutzern des Computers oder Netzwerks Rollen zugeordnet. Benutzer können dabei mehrere Benutzerrollen besitzen. An eine Rolle sind beispielsweise 1 bis n Gruppenzugehörigkeiten gebunden. Je nach Rollenzuordnung des Benutzers (und den damit verbundenen Gruppenzugehörigkeiten) erteilt oder sperrt das System dann das Zugriffsrecht auf Ressourcen. Häufig werden vor allem Lesen, Schreiben und Ausführen von Dateien mittels RBAC kontrolliert; das Verfahren ist jedoch nicht darauf beschränkt.

Eine Gruppe ist also nicht zwingend einer Rolle gleichzusetzen. Der Grund dafür ist, dass sich die Unterteilung der Benutzer danach richtet, in welcher Rolle, also in Ausübung welcher Aufgaben, sie auf den Computer zugreifen. Das englische Wort „Role“ wird im IT-bezogenen deutschen Sprachgebrauch unter anderem für Webmaster, Postmaster, Newsmaster, Netzwerkadministratoren, Systemadministratoren und ähnliches verwendet und soll verdeutlichen, dass es sich nicht zwangsläufig um verschiedene Personen handelt, sondern dass zum Beispiel ein- und dieselbe Person mal in der Rolle des Webmasters Webseiten aktualisiert, dann in der Rolle des Postmasters Beschwerden über sein offenes Mail-Relay liest und als nächstes in der Rolle des Systemadministrators Software installiert. Für die Ausübung sind dabei je nach Rolle möglicherweise unterschiedliche Zugriffberechtigungen notwendig, die auch eine Zuordnung eines Benutzers zu mehr als einer Gruppe erforderlich machen.

Wegen der dreistufigen Gliederung in Benutzer, Rollen und Gruppen ist es möglich, Zugriffsrechte eines Benutzers über eine Rollenzuordung und daran gebundene Gruppenzuordnungen zu kontrollieren.

Für die Verwaltung dieser Zuordnungen werden in der Regel Identitätsmanagement-Systeme (IDM) implementiert. Diese ermöglichen die Zuordnung von Benutzern zu jeweils 1 bis n Gruppen in 1 bis n Computersystemen lediglich über die Bindung an wenigstens eine Rolle. Voraussetzung hierfür ist unter anderem die Erstellung eines einheitlichen Nutzer-Rollenkonzepts. Diese Systeme erlauben es auch, die Konformität mit IT-Sicherheitsvorgaben sicherzustellen. Dazu kann in konfigurierbaren Zeitabständen ein Vergleich der Gruppenzugehörigeit(en) eines Benutzers in 1 bis n Computersystemen mit den Rollendefinitionen im Regelwerk des IDM-Systems erfolgen. Das IDM-System kann diese Abweichung (Non-Compliance) dann bei Bedarf korrigieren und somit eine Zugriffskonsistenz sicherstellen.

Weblinks

• http://csrc.nist.gov/rbac/ Die offizielle Website des National Institute of Standards and Technology zu RBAC
• http://www.rsbac.org Rule Set Based Access Control (RSBAC) - Rahmenwerk mit Umsetzung eines erweiterten Rollenmodells (RC) für Linux Systeme
• http://www.nsa.gov/selinux/index.cfm Security Enhanced Linux (SELinux) Bestandteil von u.A. RedHat Fedora Core
• http://www.grsecurity.org/ Greater Security (Grsecurity)

Fussnoten

1. ↑ D.F. Ferraiolo, D.R. Kuhn: Role Based Access Control. 15th National Computer Security Conference, 1992. Abgerufen am 13. März 2008. (PDF, englisch)

Siehe Auch

• Mandatory Access Control
• Discretionary Access Control
• Benutzerrolle