Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Procedimientos de administradores de Oracle Solaris Trusted Extensions |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
Personalización del entorno de usuario para la seguridad (mapa de tareas)
Cómo modificar atributos de etiquetas de usuarios predeterminados
Cómo modificar los valores predeterminados de policy.conf
Cómo configurar los archivos de inicio para los usuarios en Trusted Extensions
Cómo extender el tiempo de espera cuando se vuelve a etiquetar la información
Cómo iniciar una sesión en modo a prueba de fallos en Trusted Extensions
Gestión de usuarios y derechos con Solaris Management Console (mapa de tareas)
Cómo modificar el rango de etiquetas de un usuario en Solaris Management Console
Cómo crear perfiles de derechos para autorizaciones convenientes
Cómo restringir el conjunto de privilegios de un usuario
Cómo impedir el bloqueo de cuentas de los usuarios
Cómo habilitar a un usuario para que cambie el nivel de seguridad de los datos
Cómo eliminar una cuenta de usuario de un sistema Trusted Extensions
Manejo de otras tareas en Solaris Management Console (mapa de tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
En el siguiente mapa de tareas se describen las tareas comunes que puede llevar a cabo para personalizar un sistema para todos los usuarios o una cuenta de usuario individual.
|
Puede modificar los atributos de etiquetas de usuarios predeterminados durante la configuración del primer sistema. Los cambios se deben copiar en cada host de Trusted Extensions.
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.
Para conocer los valores predeterminados, consulte Valores predeterminados del archivo label_encodings.
Utilice el editor de confianza. Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions. En Trusted CDE, también puede utilizar la acción Edit Label Encodings. Para obtener detalles, consulte Cómo iniciar acciones administrativas de CDE en Trusted Extensions.
El archivo label_encodings debe ser el mismo en todos los hosts.
La modificación de los valores predeterminados de policy.conf en Trusted Extensions es similar a la modificación de cualquier archivo de sistema relativo a la seguridad en el SO Oracle Solaris. En Trusted Extensions, se utiliza un editor de confianza para modificar archivos de sistema.
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.
Para conocer las palabras clave de Trusted Extensions consulte la Tabla 6-1.
Utilice el editor de confianza para editar el archivo del sistema. Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.
Ejemplo 7-1 Cambio de la configuración del tiempo de inactividad del sistema
En este ejemplo, el administrador de la seguridad desea que los sistemas inactivos regresen a la pantalla de inicio de sesión. El valor predeterminado bloquea los sistemas inactivos. Por lo tanto, el rol de administrador de la seguridad agrega el siguiente par palabra clave=valor IDLECMD al archivo /etc/security/policy.conf:
IDLECMD=LOGOUT
El administrador también desea que los sistemas permanezcan inactivos durante un período más corto antes de que se cierre la sesión. Por lo tanto, el rol de administrador de la seguridad agrega el siguiente par palabra clave=valor IDLETIME al archivo policy.conf:
IDLETIME=10
Así, el sistema cierra la sesión del usuario si el sistema permanece inactivo durante 10 min.
Ejemplo 7-2 Modificación del conjunto de privilegios básico de cada usuario
En este ejemplo, el administrador de la seguridad de una instalación de Sun Ray no quiere que los usuarios comunes vean los procesos de otros usuarios de Sun Ray. Por lo tanto, en todos los sistemas que estén configurados con Trusted Extensions, el administrador elimina proc_info desde el conjunto de privilegios básico. La configuración PRIV_DEFAULT del archivo /etc/policy.conf se modifica de la siguiente manera:
PRIV_DEFAULT=basic,!proc_info
Ejemplo 7-3 Asignación de las autorizaciones relacionadas con la impresión a todos los usuarios de un sistema
En este ejemplo, el administrador de la seguridad habilita un equipo de un quiosco público para que imprima sin etiquetas si se escribe lo siguiente en el archivo del equipo /etc/security/policy.conf. La próxima vez que inicie, los trabajos de impresión de todos los usuarios de este quiosco se imprimen sin las etiquetas de las páginas.
AUTHS_GRANTED= solaris.print.unlabeled
A continuación, el administrador decide quitar las páginas de la carátula y del ubicador para ahorrar papel. Primero, se asegura de que la casilla Always Print Banners de Print Manager no esté seleccionada. Luego, modifica la entrada policy.conf para que se lea lo siguiente y reinicia. Así, todos los trabajos de impresión quedan sin etiquetas y no tienen las páginas de la carátula ni del ubicador.
AUTHS_GRANTED= solaris.print.unlabeled,solaris.print.nobanner
Los usuarios pueden introducir los archivos .copy_files y .link_files en el directorio principal en la etiqueta que corresponde a la etiqueta de sensibilidad mínima. Los usuarios también pueden modificar los archivos .copy_files y .link_files que ya existen en la etiqueta mínima de los usuarios. Este procedimiento sirve para que el rol de administrador automatice la configuración del sitio.
Antes de empezar
Debe estar en el rol de administrador del sistema en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.
Agregará los archivos .copy_files y .link_files a la lista de archivos de inicio.
# cd /etc/skel # touch .copy_files .link_files
Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.
/etc/skel/.copy_files
Consulte Archivos .copy_files y .link_files para obtener ideas. Para ver archivos de muestra, consulte el Ejemplo 7-4.
Para ver una explicación de lo que se debe incluir en los archivos de inicio, consulte Customizing a User’s Work Environment de System Administration Guide: Basic Administration.
Para obtener detalles, consulte How to Customize User Initialization Files de System Administration Guide: Basic Administration.
Si desea ver un ejemplo, consulte el Ejemplo 7-4.
P indica el shell Profile.
X representa la letra con la que comienza el nombre del shell; por ejemplo, B para un shell Bourne, K para un shell Korn, C para un shell C y P para un shell Profile.
Ejemplo 7-4 Personalización de los archivos de inicio para los usuarios
En este ejemplo, el administrador de la seguridad configura archivos para el directorio principal de cada usuario. Los archivos se encuentran en su lugar antes de que cualquier usuario inicie sesión. Los archivos están en la etiqueta mínima del usuario. En este sitio, el shell predeterminado de los usuarios es el shell C.
El administrador de la seguridad crea un archivo .copy_files y un archivo .link_files en el editor de confianza que contengan lo siguiente:
## .copy_files for regular users ## Copy these files to my home directory in every zone .mailrc .mozilla .soffice :wq
## .link_files for regular users with C shells ## Link these files to my home directory in every zone .cshrc .login .Xdefaults .Xdefaults-hostname :wq
## .link_files for regular users with Korn shells # Link these files to my home directory in every zone .ksh .profile .Xdefaults .Xdefaults-hostname :wq
En los archivos de inicialización del shell, el administrador garantiza que los trabajos de impresión de los usuarios se dirijan a una impresora con etiquetas.
## .cshrc file setenv PRINTER conf-printer1 setenv LPDEST conf-printer1
## .ksh file export PRINTER conf-printer1 export LPDEST conf-printer1
El administrador modifica el archivo .Xdefaults-home-directory-server para forzar el comando dtterm como origen del archivo .profile para un terminal nuevo.
## Xdefaults-HDserver Dtterm*LoginShell: true
Los archivos personalizados se copian en el directorio de estructura básica apropiado.
$ cp .copy_files .link_files .cshrc .login .profile \ .mailrc .Xdefaults .Xdefaults-home-directory-server \ /etc/skelC $ cp .copy_files .link_files .ksh .profile \ .mailrc .Xdefaults .Xdefaults-home-directory-server \ /etc/skelK
Errores más frecuentes
Si crea archivos .copy_files en la etiqueta más baja y, a continuación, inicia sesión en una zona superior para ejecutar el comando updatehome, y el comando falla con un error de acceso, intente realizar lo siguiente:
Verifique que desde la zona de nivel superior pueda ver el directorio de nivel inferior.
higher-level zone# ls /zone/lower-level-zone/home/username ACCESS ERROR: there are no files under that directory
Si no puede ver el directorio, reinicie el servicio de montaje automático en la zona de nivel superior:
higher-level zone# svcadm restart autofs
Salvo que use montajes de NFS para los directorios principales, el montador automático de la zona de nivel superior debe montar en bucle de retorno de /zone/lower-level-zone/export/home/username a /zone/lower-level-zone/home/username.
En Trusted Extensions, Selection Manager media en las transferencias de información entre etiquetas. Selection Manager aparece para las operaciones de arrastrar y soltar, y para las operaciones de cortar y pegar. Algunas aplicaciones requieren que se defina un tiempo de espera apropiado para que Selection Manager tenga tiempo para intervenir. Un valor de dos minutos es suficiente.
Precaución - No cambie el valor de tiempo de espera predeterminado en un sistema sin etiquetas. Las operaciones fallan con el valor de tiempo de espera más largo. |
Antes de empezar
Debe estar en el rol de administrador del sistema en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.
Donde office-install-directory es el directorio de instalación de StarOffice, por ejemplo:
office-top-dir/share/registry/data/org/staroffice
Utilice el editor de confianza. Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.
El valor predeterminado es de 3 s. Un valor de 120 establece el tiempo de espera en 2 min.
Nota - De manera alternativa, puede hacer que cada usuario cambie el valor de la propiedad de tiempo de espera de selección.
La mayoría de las aplicaciones de Sun Java Desktop System utilizan la biblioteca GTK. Los exploradores web como Mozilla, Firefox y Thunderbird utilizan la biblioteca GTK.
De manera predeterminada, el valor de tiempo de espera de selección es 300 (o 5 s). Un valor de 7.200 establece el tiempo de espera en 2 min.
Nombre el archivo como .gtkrc-mine. El archivo .gtkrc-mine pertenece al directorio principal del usuario en la etiqueta mínima.
## $HOME/.gtkrc-mine file *gtk-selection-timeout: 7200
Como en el SO Oracle Solaris, gnome-settings-daemon lee este archivo en el inicio.
Para obtener detalles, consulte Cómo configurar los archivos de inicio para los usuarios en Trusted Extensions.
En Trusted Extensions, el inicio de sesión en modo a prueba de fallos está protegido. Si un usuario común personalizó los archivos de inicialización del shell y ahora no puede iniciar sesión, puede utilizar el inicio de sesión en modo a prueba de fallos para reparar los archivos del usuario.
Antes de empezar
Debe conocer la contraseña root.
Ya puede depurar los archivos de inicialización del usuario.