Процесс проходит авторизацию для своей первоначальной роли (которая является заданной по умолчанию ролью его владельца создавшего родительский процесс или ролью root в случае первого процесса (init)) и для всех последующих ролей которые он может иметь.
Процесс может менять роли только на подходящие (через специальный системный вызов), на роли, заданные по умолчанию, его новых владельцев путём изменения владельца (через setuid) или форсированием роли программы при её выполнении.
Формально это правило может быть выражено следующим образом:
Правило 3.4: `` p:process,rolem,rolen:role:
с rolen = rolem или rolen rolem совместима с rolem rolen
или rolen = rc-def-role(владелец*(p))
или rolen = rc-forced-role*(p).
Правило 5: `` p:process, o:object: