imported>Truebidoo: /* growthexperiments-addlink-summary-summary:1|1|0 */

2025-01-21T10:15:04Z

growthexperiments-addlink-summary-summary:1|1|0

Neue Seite

'''Role Based Access Control''' ('''RBAC'''; deutsch: ''Rollenbasierte Zugriffskontrolle'') ist in [[Mehrbenutzersystem]]en oder [[Rechnernetz]]en ein Verfahren sowie ein [[Entwurfsmuster]] zur Zugriffssteuerung und -kontrolle auf Dateien oder Dienste. Das '''RBAC'''-Modell wurde 1992 von David F. Ferraiolo und D. Richard Kuhn beschrieben<ref>
{{Internetquelle
|autor=David F. Ferraiolo, D. Richard Kuhn
|titel=Role Based Access Controls
|hrsg=15th National Computer Security Conference
|datum=1992
|url=https://csrc.nist.gov/files/pubs/conference/1992/10/13/rolebased-access-controls/final/docs/ferraiolo-kuhn-92.pdf
|format=PDF; 62 kB
|abruf=03. November 2023
|sprache=englisch
}}</ref> und 2004 als [[American National Standards Institute|ANSI]]-Norm 359-2004 verabschiedet.

Die alternative Methode, einem realen Benutzer (User) direkt Rechte und Zugriffe auf verschiedene Systeme zu geben, stellte sich durch die steigende Zahl von Benutzern als unübersichtlich und daher fehlerträchtig dar. Das auf [[Benutzerrolle]]n basierende [[Berechtigungskonzept]] soll nun die Rechte anhand von Arbeitsprozessen abstrahieren.

== RBAC-Modell ==
Bei der rollenbasierten Zugriffskontrolle werden den Benutzern des Computers oder [[Netzwerk]]s Rollen zugeordnet. Benutzer können dabei mehrere [[Benutzerrolle]]n besitzen. An eine Rolle sind beispielsweise 1 bis n Gruppenzugehörigkeiten gebunden. Je nach Rollenzuordnung des Benutzers (und den damit verbundenen Gruppenzugehörigkeiten) erteilt oder sperrt das System dann das [[Zugriffsrecht]] auf [[Betriebsmittel (Informatik)|Betriebsmittel]]. Häufig werden vor allem Lesen, Schreiben und Ausführen von Dateien mittels RBAC kontrolliert; das Verfahren ist jedoch nicht darauf beschränkt.

Eine Gruppe ist also nicht zwingend einer Rolle gleichzusetzen.<ref>{{Internetquelle |autor=Mike Wiesner |url=http://mwiesner.com/2008/03/28/rollen-sind-keine-gruppen/ |titel=Rollen sind keine Gruppen |datum=2017-06-27 |abruf=2018-02-07 |archiv-url=https://web.archive.org/web/20170627145237/http://mwiesner.com/2008/03/28/rollen-sind-keine-gruppen/ |archiv-datum=2017-06-27}}</ref> Der Grund dafür ist, dass sich die Unterteilung der Benutzer danach richtet, in welcher Rolle, also in Ausübung welcher Aufgaben, sie auf den Computer zugreifen. Das englische Wort „Role“ wird im IT-bezogenen deutschen Sprachgebrauch unter anderem für [[Webmaster]], [[Postmaster (E-Mail)|Postmaster]], [[Newsmaster]], [[Netzwerkadministrator]]en, [[Systemadministrator]]en und Ähnliches verwendet und soll verdeutlichen, dass es sich nicht zwangsläufig um verschiedene Personen handelt, sondern dass zum Beispiel ein und dieselbe Person mal in der Rolle des Webmasters [[Webseite]]n aktualisiert, dann in der Rolle des Postmasters Beschwerden über sein offenes Mail-Relay liest und als Nächstes in der Rolle des Systemadministrators Software installiert.
Für die Ausübung sind dabei je nach Rolle möglicherweise unterschiedliche Zugriffsberechtigungen notwendig, die auch eine Zuordnung eines Benutzers zu mehr als einer Gruppe erforderlich machen.

Wegen der dreistufigen Gliederung in Benutzer, Rollen und Gruppen ist es möglich, Zugriffsrechte eines Benutzers über eine Rollenzuordnung und daran gebundene Gruppenzuordnungen zu kontrollieren.

Für die Verwaltung dieser Zuordnungen werden in der Regel [[Identitätsmanagement]]-Systeme (IDM) implementiert. Diese ermöglichen die Zuordnung von Benutzern zu jeweils 1 bis n Gruppen in 1 bis n Computersystemen lediglich über die Bindung an wenigstens eine Rolle. Voraussetzung hierfür ist unter anderem die Erstellung eines einheitlichen Nutzer-Rollenkonzepts. Diese Systeme erlauben es auch, die Konformität mit IT-Sicherheitsvorgaben sicherzustellen. Dazu kann in konfigurierbaren Zeitabständen ein Vergleich der Gruppenzugehörigkeit(en) eines Benutzers in 1 bis n Computersystemen mit den Rollendefinitionen im Regelwerk des IDM-Systems erfolgen. Das IDM-System kann diese Abweichung (Non-Compliance) dann bei Bedarf korrigieren und somit eine Zugriffskonsistenz sicherstellen.

== Benutzung ==
Die Benutzung von RBAC zur Verwaltung von Benutzerrechten wird weitgehend als bestes Verfahren angesehen.
Diese Art der Zugriffskontrolle wurde in verschiedenen Systemen umgesetzt. Systeme wie [[Microsoft]] [[Active Directory]], [[Microsoft SQL Server]], [[SELinux]], [[grsecurity]], [[FreeBSD]], [[Solaris (Betriebssystem)|Solaris]], [[Oracle (Datenbanksystem)|Oracle RDBMS]], [[PostgreSQL|PostgreSQL 8.1]], [[SAP R/3]], [[FusionForge]], [[Kubernetes]] und viele weitere benutzen eine Ausprägung des RBAC-Modells.

== Siehe auch ==
* [[Mandatory Access Control]]
* [[Discretionary Access Control]]
* [[Attributbasierte Zugriffskontrolle]]

== Weblinks ==
* https://csrc.nist.gov/projects/role-based-access-control – Die offizielle Website des National Institute of Standards and Technology zu RBAC
* https://www.rsbac.org/ – Rule Set Based Access Control (RSBAC) – Rahmenwerk mit Umsetzung eines erweiterten Rollenmodells (RC) für Linux Systeme
* {{Webarchiv |url=http://www.nsa.gov/research/selinux/index.shtml |text=''Security-Enhanced Linux.'' |wayback=20090117005117}} (SELinux) Bestandteil von u. a. RedHat Fedora Core
* https://grsecurity.net/ – Greater Security (Grsecurity)
* https://kubernetes.io/docs/reference/access-authn-authz/rbac/ – Using RBAC Authorization in Kubernetes

== Fußnoten ==
<references/>

[[Kategorie:Zugriffskontrolle]]

Role Based Access Control - Versionsgeschichte

imported>Truebidoo: /* growthexperiments-addlink-summary-summary:1|1|0 */