Если запущено без определений роли, устанавливаются три предопределенных роли: General User (0), Role Admin (1) and System Admin (2). Получаются три предопределенных установки ролей из жестко встроенных установок в модуле FC.
Если запущено без установок типа, то устанавливаются по три типа на объект. Это тип по умолчанию ``General'' (0), который также используется как значение по умолчанию для всех атрибутов типа, тип ``Security'' (1) и тип ``System'' (2). На самом деле только ``General'' используется в установках по умолчанию, но примеры пригодности установлены для всех типов.
Как обычно в RSBAC, пользователь root имеет rc_def_role 2 и пользователь 400 имеет rc_def_role 1, как предустановленное значение в ACI установках пользователя по умолчанию.
Пожалуйста, помните: Предопределенные роли - это роли, созданные для того, чтобы вы могли начать. Они могут быть изменены как все другие роли! Вы можете запросто заблокировать себя, если измените их без достаточного понимания происходящего. Наиболее подходящий способ это, скопировав роль, производить изменения в новой роли.
Однако, режим обслуживания позволит вам изменять роли, если вы включите поддержку для обслуживания правил RC в конфигурации ядра.
В целях безопасности, проверяйте вашу конфигурацию с разным количеством ролей и используйте, при необходимости, rc_copy_role для их копирования.
Для соблюдения правила наименьшей привилегированности, вы можете сделать роль пользователя 0 по умолчанию фиктивной и устанавливать роль для каждого пользователя непосредственно. Таким образом, добавляя новых пользователей, никто ничего не получит.
Расширенное Администрирование с разделением обязанностей (с 1.0.9а-pre2 и далее)
Новейшие версии RC содержат сложную модель разделения обязанностей. Для этого были сделаны следующие дополнения:
ASSIGN: Назначить этот тип объекту. Вам также необходим MODIFY_ATTRIBUTE на объектах старого типа.
ACCESS_CONTROL: Изменение нормальных (старых) прав доступа для этого типа для ваших администрированных ролей.
SUPERVISOR: Изменение этих новых специальных прав на этот тип для ваших администрированных ролей.
Если нет роли, имеющей право SUPERVISOR на тип, то разделение всегда зафиксировано (снова, пока не перезагружено Maint ядро, или кто-то все еще имеет административный тип Role-Admin старого типа).