RBAC (Control de acceso basado en role)
Se usa en situaciones diversas y en diferentes aplicaciones, desde Hypervisor a Exchange, pero el concepto siempre es el mismo.
En lugar de otorgar unos privilegios determinados a un usuario para que este realice las funciones y solo las funciones que hemos decidido que haga (por ejemplo, el Administrador de solo vista de Exchange), definimos un role que pueda hacer esas funciones y depués asignamos ese role a todos aquellos usuarios que queremos que desempeñen dicha función.
Vamos a poner un ejemplo facilito, que al menos nos sirva de introducción al tema. Supongamos que tenemos un Windows Server 2008 R2, con Hypervisor, en el que no hemos instalado, SCVMM (System Center Virtual Machine Manager) ni SCOM (System Center Communication Manager), ya que estos podrían realizar las funciones que vamos a describir.
La idea es definir una almacen centralizado de roles (si ya me lo dan definido, mejor que mejor) y una vez que hayamos aquilatado cada uno de esos posibles roles, asociarlos a los usuarios que queremos que realicen esas funciones.
Decíamos que si nos lo dan definidos mejor que mejor, y Microsoft nos puede dar definidos, ciertos almacenes, que podremos leer del propio Directorio Activo, de un fichero XML, o de una base de datos SQL.
Vamos a adentrarnos en nuestro W2K8R2 con Hypervisor y ejecutamos el comando «azman» (es el apócope de authorization manager) y veremos algo como esto:
Nos dice que no hemos seleccionado ningún almacén de autorización:
Así que lo primero que haremos será seleccionar uno.
Para ello hacemos clic derecho en Administrador de Autorización, y seleccionamos Abrir Almacén de Autorización, y tenemos la opción de elegir entre:
Y elegimos el archivo xml, que en este caso se encuentra en el path que vemos:
Seleccionamos el almacén inicial:
Y nos queda algo como esto:
Donde podemos ver si hay roles definidos,
y definir otros nuevos:
Para ello elegimos cuáles son las tareas u operaciones que podrá realizar el role propuesto:
Por ejemplo, arrancar o parar máquinas virtuales.
Y una vez creado nuestro rol particular:
Solo nos queda asignarlo al usuario que queremos desempeñe dichas funciones.
Al final, sentido común, como siempre.
Hasta pronto.