AIX中基于角色的访问控制，第2部分

有效权限集（Effective Privilege Set，EPS）是某个进程当前处于活动状态的权限的列表。EPS 始 终是该进程的 MPS 的子集，并且在执行特权操作时，内核将使用 EPS 进行访问权限检查。EPS 并不是一 成不变的，并且可以由进程对其进行控制。EPS 可以与 MPS 相等，但不能超出 MPS。

进程可以执行 EPS 的动态控制，以执行最少特权原则。

可继承的权限集

可继承的权限集（Inheritable Privilege Set，EPS）定义了从父进程传递到子进程的 MPS 和 EPS 的权限。

IPS 可以包括 LPS 中的任何权限，但是不能超出 LPS。

可以采用下面的方式，在进程中设置 IPS：

如果该进程具有适当的权限，那么它可以以编程的方式，通过 setppriv() 系统调用来扩展 IPS。

在执行某个特权命令时，将与该命令相关联的 inheritprivs 属性中指定的权限分配给 IPS。

使用过的权限集

使用过的权限集（Used Privilege Set，UPS）描述在进程的生存期内曾用于访问检查的权限。UPS 可 用于确定该进程所需的权限。

无论内核何时检查一个进程是否具有给定的权限，它都将会在该权限的 UPS 中存储一个成功的检查。

工作负载分区权限集（Workload Partition Privilege Set，WPS）

可以将一个系统 WPAR 配置为限制全局环境中允许的特权操作。可以通过 WPS 对系统 WPAR 中允许的 特权操作进行控制。

全局环境的 root 可以使用 WPS 将有限的权限集分配给 WPAR。可以在 /etc/wpar/secattrs 配置文 件中、或者在启动 WPAR 期间使用 startwpar 命令指定 WPS。WPAR 中运行的所有进程都将使它们的 LPS 与它们的 WPS 相等。

图 15 显示增强的 RABAC 权限集的图形表示形式。

图 15 增强的 RBAC 权限集

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!