Personalización del entorno de usuario para la seguridad (mapa de tareas)

En el siguiente mapa de tareas se describen las tareas comunes que puede llevar a cabo para personalizar un sistema para todos los usuarios o una cuenta de usuario individual.

Cómo modificar atributos de etiquetas de usuarios predeterminados

Puede modificar los atributos de etiquetas de usuarios predeterminados durante la configuración del primer sistema. Los cambios se deben copiar en cada host de Trusted Extensions.

Antes de empezar

Debe estar en el rol de administrador de la seguridad en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.

1. Revise la configuración predeterminada de los atributos de usuario en el archivo /etc/security/tsol/label_encodings.

   Para conocer los valores predeterminados, consulte Valores predeterminados del archivo label_encodings.

2. Modifique la configuración de los atributos de usuario en el archivo label_encodings.

   Utilice el editor de confianza. Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions. En Trusted CDE, también puede utilizar la acción Edit Label Encodings. Para obtener detalles, consulte Cómo iniciar acciones administrativas de CDE en Trusted Extensions.

   El archivo label_encodings debe ser el mismo en todos los hosts.

3. Distribuya una copia del archivo en cada host de Trusted Extensions.

Cómo modificar los valores predeterminados de policy.conf

La modificación de los valores predeterminados de policy.conf en Trusted Extensions es similar a la modificación de cualquier archivo de sistema relativo a la seguridad en el SO Oracle Solaris. En Trusted Extensions, se utiliza un editor de confianza para modificar archivos de sistema.

Antes de empezar

Debe estar en el rol de administrador de la seguridad en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.

1. Revise los valores predeterminados en el archivo /etc/security/policy.conf.

   Para conocer las palabras clave de Trusted Extensions consulte la Tabla 6-1.

2. Modifique la configuración.

   Utilice el editor de confianza para editar el archivo del sistema. Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.

Ejemplo 7-1 Cambio de la configuración del tiempo de inactividad del sistema

En este ejemplo, el administrador de la seguridad desea que los sistemas inactivos regresen a la pantalla de inicio de sesión. El valor predeterminado bloquea los sistemas inactivos. Por lo tanto, el rol de administrador de la seguridad agrega el siguiente par palabra clave=valor IDLECMD al archivo /etc/security/policy.conf:

IDLECMD=LOGOUT

El administrador también desea que los sistemas permanezcan inactivos durante un período más corto antes de que se cierre la sesión. Por lo tanto, el rol de administrador de la seguridad agrega el siguiente par palabra clave=valor IDLETIME al archivo policy.conf:

IDLETIME=10

Así, el sistema cierra la sesión del usuario si el sistema permanece inactivo durante 10 min.

Ejemplo 7-2 Modificación del conjunto de privilegios básico de cada usuario

En este ejemplo, el administrador de la seguridad de una instalación de Sun Ray no quiere que los usuarios comunes vean los procesos de otros usuarios de Sun Ray. Por lo tanto, en todos los sistemas que estén configurados con Trusted Extensions, el administrador elimina proc_info desde el conjunto de privilegios básico. La configuración PRIV_DEFAULT del archivo /etc/policy.conf se modifica de la siguiente manera:

PRIV_DEFAULT=basic,!proc_info

Ejemplo 7-3 Asignación de las autorizaciones relacionadas con la impresión a todos los usuarios de un sistema

En este ejemplo, el administrador de la seguridad habilita un equipo de un quiosco público para que imprima sin etiquetas si se escribe lo siguiente en el archivo del equipo /etc/security/policy.conf. La próxima vez que inicie, los trabajos de impresión de todos los usuarios de este quiosco se imprimen sin las etiquetas de las páginas.

AUTHS_GRANTED= solaris.print.unlabeled

A continuación, el administrador decide quitar las páginas de la carátula y del ubicador para ahorrar papel. Primero, se asegura de que la casilla Always Print Banners de Print Manager no esté seleccionada. Luego, modifica la entrada policy.conf para que se lea lo siguiente y reinicia. Así, todos los trabajos de impresión quedan sin etiquetas y no tienen las páginas de la carátula ni del ubicador.

AUTHS_GRANTED= solaris.print.unlabeled,solaris.print.nobanner

Cómo configurar los archivos de inicio para los usuarios en Trusted Extensions

Los usuarios pueden introducir los archivos .copy_files y .link_files en el directorio principal en la etiqueta que corresponde a la etiqueta de sensibilidad mínima. Los usuarios también pueden modificar los archivos .copy_files y .link_files que ya existen en la etiqueta mínima de los usuarios. Este procedimiento sirve para que el rol de administrador automatice la configuración del sitio.

Antes de empezar

Debe estar en el rol de administrador del sistema en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.

1. Cree dos archivos de inicio de Trusted Extensions.

   Agregará los archivos .copy_files y .link_files a la lista de archivos de inicio.

   # cd /etc/skel
   # touch .copy_files .link_files

2. Personalice el archivo .copy_files.
   1. Inicie el editor de confianza.

      Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.

   2. Escriba el nombre de ruta completo del archivo .copy_files.

      /etc/skel/.copy_files

   3. Escriba en .copy_files, uno por línea, los archivos que se copiarán en el directorio principal del usuario en todas las etiquetas.

      Consulte Archivos .copy_files y .link_files para obtener ideas. Para ver archivos de muestra, consulte el Ejemplo 7-4.

3. Personalice el archivo .link_files.
   1. Escriba el nombre de ruta completo del archivo .link_files en el editor de confianza.

      /etc/skel/.link_files

   2. Escriba en .link_files, uno por línea, los archivos que se enlazarán con el directorio principal del usuario en todas las etiquetas.
4. Personalice los otros archivos de inicio para sus usuarios.

   • Para ver una explicación de lo que se debe incluir en los archivos de inicio, consulte Customizing a User’s Work Environment de System Administration Guide: Basic Administration.

   • Para obtener detalles, consulte How to Customize User Initialization Files de System Administration Guide: Basic Administration.

   • Si desea ver un ejemplo, consulte el Ejemplo 7-4.

5. (Opcional) Cree un subdirectorio skelP para los usuarios cuyo shell predeterminado sea un shell del perfil.

   P indica el shell Profile.

6. Copie los archivos de inicio personalizados en el directorio de estructura básica apropiado.
7. Utilice el nombre de ruta skelX apropiado cuando cree el usuario.

   X representa la letra con la que comienza el nombre del shell; por ejemplo, B para un shell Bourne, K para un shell Korn, C para un shell C y P para un shell Profile.

Ejemplo 7-4 Personalización de los archivos de inicio para los usuarios

En este ejemplo, el administrador de la seguridad configura archivos para el directorio principal de cada usuario. Los archivos se encuentran en su lugar antes de que cualquier usuario inicie sesión. Los archivos están en la etiqueta mínima del usuario. En este sitio, el shell predeterminado de los usuarios es el shell C.

El administrador de la seguridad crea un archivo .copy_files y un archivo .link_files en el editor de confianza que contengan lo siguiente:

## .copy_files for regular users
## Copy these files to my home directory in every zone
.mailrc
.mozilla
.soffice
:wq

## .link_files for regular users with C shells
## Link these files to my home directory in every zone
.cshrc
.login
.Xdefaults
.Xdefaults-hostname
:wq

## .link_files for regular users with Korn shells
# Link these files to my home directory in every zone
.ksh
.profile
.Xdefaults
.Xdefaults-hostname
:wq

En los archivos de inicialización del shell, el administrador garantiza que los trabajos de impresión de los usuarios se dirijan a una impresora con etiquetas.

## .cshrc file
setenv PRINTER conf-printer1
setenv LPDEST  conf-printer1

## .ksh file
export PRINTER conf-printer1
export LPDEST  conf-printer1

El administrador modifica el archivo .Xdefaults-home-directory-server para forzar el comando dtterm como origen del archivo .profile para un terminal nuevo.

## Xdefaults-HDserver
Dtterm*LoginShell: true

Los archivos personalizados se copian en el directorio de estructura básica apropiado.

$ cp .copy_files .link_files .cshrc .login .profile \
.mailrc .Xdefaults .Xdefaults-home-directory-server \
/etc/skelC
$ cp .copy_files .link_files .ksh .profile \
.mailrc .Xdefaults .Xdefaults-home-directory-server \
/etc/skelK

Errores más frecuentes

Si crea archivos .copy_files en la etiqueta más baja y, a continuación, inicia sesión en una zona superior para ejecutar el comando updatehome, y el comando falla con un error de acceso, intente realizar lo siguiente:

• Verifique que desde la zona de nivel superior pueda ver el directorio de nivel inferior.

  higher-level zone# ls /zone/lower-level-zone/home/username
  ACCESS ERROR: there are no files under that directory

• Si no puede ver el directorio, reinicie el servicio de montaje automático en la zona de nivel superior:

  higher-level zone# svcadm restart autofs

Salvo que use montajes de NFS para los directorios principales, el montador automático de la zona de nivel superior debe montar en bucle de retorno de /zone/lower-level-zone/export/home/username a /zone/lower-level-zone/home/username.

Cómo extender el tiempo de espera cuando se vuelve a etiquetar la información

En Trusted Extensions, Selection Manager media en las transferencias de información entre etiquetas. Selection Manager aparece para las operaciones de arrastrar y soltar, y para las operaciones de cortar y pegar. Algunas aplicaciones requieren que se defina un tiempo de espera apropiado para que Selection Manager tenga tiempo para intervenir. Un valor de dos minutos es suficiente.

---

Precaución - No cambie el valor de tiempo de espera predeterminado en un sistema sin etiquetas. Las operaciones fallan con el valor de tiempo de espera más largo.

---

Antes de empezar

Debe estar en el rol de administrador del sistema en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.

1. Para la aplicación StarOffice, realice lo siguiente:
   1. Navegue hasta el archivo office-install-directory/VCL.xcu.

      Donde office-install-directory es el directorio de instalación de StarOffice, por ejemplo:

      office-top-dir/share/registry/data/org/staroffice

   2. Cambie el valor de la propiedad SelectionTimeout a 120.

      Utilice el editor de confianza. Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.

      El valor predeterminado es de 3 s. Un valor de 120 establece el tiempo de espera en 2 min.

2. Para los usuarios de las aplicaciones que dependen de la biblioteca GNOME Toolkit (GTK), cambie el valor de la propiedad de tiempo de espera de selección a 2 min.

   ---

   Nota - De manera alternativa, puede hacer que cada usuario cambie el valor de la propiedad de tiempo de espera de selección.

   ---

   La mayoría de las aplicaciones de Sun Java Desktop System utilizan la biblioteca GTK. Los exploradores web como Mozilla, Firefox y Thunderbird utilizan la biblioteca GTK.

   De manera predeterminada, el valor de tiempo de espera de selección es 300 (o 5 s). Un valor de 7.200 establece el tiempo de espera en 2 min.

   1. Cree un archivo de inicio de GTK.

      Nombre el archivo como .gtkrc-mine. El archivo .gtkrc-mine pertenece al directorio principal del usuario en la etiqueta mínima.

   2. Agregue el valor de tiempo de espera de selección al archivo.

      ## $HOME/.gtkrc-mine file
      *gtk-selection-timeout: 7200

      Como en el SO Oracle Solaris, gnome-settings-daemon lee este archivo en el inicio.

3. (Opcional) Agregue el archivo .gtkrc-mine a la lista en el archivo .link_files de cada usuario.

   Para obtener detalles, consulte Cómo configurar los archivos de inicio para los usuarios en Trusted Extensions.

Cómo iniciar una sesión en modo a prueba de fallos en Trusted Extensions

En Trusted Extensions, el inicio de sesión en modo a prueba de fallos está protegido. Si un usuario común personalizó los archivos de inicialización del shell y ahora no puede iniciar sesión, puede utilizar el inicio de sesión en modo a prueba de fallos para reparar los archivos del usuario.

Antes de empezar

Debe conocer la contraseña root.

1. Como en el SO Oracle Solaris, elija Options –> Failsafe Session en la pantalla de inicio de sesión.
2. Cuando aparezca el indicador, haga que el usuario proporcione el nombre de usuario y la contraseña.
3. En el indicador de la contraseña del usuario root, proporcione la contraseña para root.

   Ya puede depurar los archivos de inicialización del usuario.