Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Procedimientos de administradores de Oracle Solaris Trusted Extensions |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
Personalización del entorno de usuario para la seguridad (mapa de tareas)
Cómo modificar atributos de etiquetas de usuarios predeterminados
Cómo modificar los valores predeterminados de policy.conf
Cómo configurar los archivos de inicio para los usuarios en Trusted Extensions
Cómo extender el tiempo de espera cuando se vuelve a etiquetar la información
Cómo iniciar una sesión en modo a prueba de fallos en Trusted Extensions
Gestión de usuarios y derechos con Solaris Management Console (mapa de tareas)
Cómo modificar el rango de etiquetas de un usuario en Solaris Management Console
Cómo crear perfiles de derechos para autorizaciones convenientes
Cómo restringir el conjunto de privilegios de un usuario
Cómo impedir el bloqueo de cuentas de los usuarios
Cómo habilitar a un usuario para que cambie el nivel de seguridad de los datos
Cómo eliminar una cuenta de usuario de un sistema Trusted Extensions
Manejo de otras tareas en Solaris Management Console (mapa de tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
En Trusted Extensions, debe utilizar Solaris Management Console para administrar los usuarios, las autorizaciones, los derechos y los roles. Para gestionar a los usuarios y sus atributos de seguridad, asuma el rol de administrador de la seguridad. El siguiente mapa de tareas describe las tareas comunes que debe realizar para los usuarios que operan en un entorno con etiquetas.
|
Puede que desee ampliar el rango de etiquetas de un usuario para proporcionarle acceso de lectura a una aplicación administrativa. Por ejemplo, un usuario que puede iniciar sesión en la zona global, luego, podría ejecutar Solaris Management Console. El usuario podría ver los contenidos, pero no cambiarlos.
Como alternativa, puede que desee restringir el rango de etiquetas del usuario. Por ejemplo, un usuario invitado puede estar limitado a una etiqueta.
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global.
Utilice una caja de herramientas del ámbito adecuado. Para obtener detalles, consulte Inicialización del servidor de Solaris Management Console en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.
Puede que se muestre el indicador de contraseña.
También puede reducir la etiqueta mínima.
Cuando la política de seguridad del sitio lo permita, quizás desee crear un perfil de derechos que contenga las autorizaciones para los usuarios que pueden realizar tareas que requieren autorización. Para habilitar a todos los usuarios de un sistema en particular que se van a autorizar, consulte Cómo modificar los valores predeterminados de policy.conf.
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global.
Utilice una caja de herramientas del ámbito adecuado. Para obtener detalles, consulte Inicialización del servidor de Solaris Management Console en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.
Puede que se muestre el indicador de contraseña.
Para conocer el procedimiento paso a paso, consulte How to Create or Change a Rights Profile de System Administration Guide: Security Services.
En la siguiente figura, la ventana Authorizations Included muestra las autorizaciones que pueden ser convenientes para los usuarios.
Allocate Device: autoriza a un usuario para que asigne un dispositivo periférico, como un micrófono.
De manera predeterminada, los usuarios de Oracle Solaris pueden leer y escribir en un CD-ROM. Sin embargo, en Trusted Extensions, solamente los usuarios que pueden asignar un dispositivo pueden acceder a la unidad de CD-ROM. Para asignar la unidad para su uso se requiere autorización. Por lo tanto, para leer y escribir en un CD-ROM en Trusted Extensions, los usuarios necesitan la autorización Allocate Device.
Downgrade DragNDrop or CutPaste Info: autoriza a un usuario a seleccionar la información de un archivo de nivel superior y colocarla en un archivo de nivel inferior archivo.
Downgrade File Label: autoriza a un usuario a disminuir el nivel de seguridad de un archivo
DragNDrop or CutPaste without viewing contents: autoriza a un usuario a mover información sin que se vea la información que se mueve.
Print Postscript: autoriza a un usuario a imprimir archivos PostScript.
Print without Banner: autoriza a un usuario a que haga copias impresas sin la página de la carátula.
Print without Label: autoriza a un usuario a que haga copias impresas que no muestren etiquetas.
Remote Login: autoriza a un usuario a iniciar sesión de manera remota.
Shutdown the System: autoriza a un usuario a cerrar el sistema y una zona.
Upgrade DragNDrop or CutPaste Info: autoriza a un usuario a seleccionar información de un archivo de nivel inferior y colocarla en un archivo de nivel superior.
Upgrade File Label: autoriza a un usuario a aumentar el nivel de seguridad de un archivo.
Si necesita asistencia, consulte la ayuda en pantalla. Para conocer el procedimiento paso a paso, consulte How to Change the RBAC Properties of a User de System Administration Guide: Security Services.
Ejemplo 7-5 Asignación de una autorización relacionada con la impresión a un rol
En el siguiente ejemplo, el administrador de la seguridad le permite a un rol imprimir los trabajos sin etiquetas en las páginas del cuerpo.
En Solaris Management Console, el administrador de la seguridad navega hasta Administrative Roles. El administrador ve los perfiles de derechos que se incluyen en un rol en particular y, luego, se asegura de que las autorizaciones relacionadas con la impresión se incluyan en uno de los perfiles de derechos del rol.
Puede que la seguridad del sitio requiera que a los usuarios se les otorgue menos privilegios que los asignados de manera predeterminada. Por ejemplo, en un sitio que utiliza Trusted Extensions en los sistemas Sun Ray, puede que desee impedir que los usuarios vean los procesos de los demás usuarios en el servidor Sun Ray.
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global.
Utilice una caja de herramientas del ámbito adecuado. Para obtener detalles, consulte Inicialización del servidor de Solaris Management Console en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.
Puede que se muestre el indicador de contraseña.
Con la eliminación del privilegio proc_session, se impide que el usuario examine cualquier proceso que se encuentre fuera de su sesión actual. Con la eliminación del privilegio file_link_any, se impide que el usuario establezca enlaces físicos con archivos que no sean de su propiedad.
Precaución - No elimine los privilegios proc_fork o proc_exec. Sin estos privilegios, el usuario no podrá utilizar el sistema. |
Trusted Extensions amplía las funciones de seguridad del usuario en Solaris Management Console a fin de que se incluya el bloqueo de cuentas. Desactive el bloqueo de cuentas para los usuarios que pueden asumir un rol.
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global.
Utilice una caja de herramientas del ámbito adecuado. Para obtener detalles, consulte Inicialización del servidor de Solaris Management Console en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.
Puede que se muestre el indicador de contraseña.
Se puede autorizar a un usuario común o a un rol a cambiar el nivel de seguridad, o las etiquetas, de los archivos y los directorios. El usuario o el rol, además de tener la autorización, deben estar configurados para trabajar en más de una etiqueta. Las zonas con etiquetas deben estar configuradas de modo que se permita volver a etiquetar. Para conocer el procedimiento, consulte Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas.
Precaución - El cambio del nivel de seguridad de los datos es una operación privilegiada. Esta tarea la deben realizar únicamente los usuarios de confianza. |
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global.
Las siguientes autorizaciones habilitan al usuario para que vuelva a etiquetar un archivo:
Downgrade File Label
Upgrade File Label
Las siguientes autorizaciones habilitan al usuario para que vuelva a etiquetar la información de un archivo:
Downgrade DragNDrop or CutPaste Info
DragNDrop or CutPaste Info Without Viewing
Upgrade DragNDrop or CutPaste Info
Si necesita asistencia, consulte la ayuda en pantalla. Para conocer el procedimiento paso a paso, consulte How to Change the RBAC Properties of a User de System Administration Guide: Security Services.
Cuando se elimina del sistema a un usuario, debe asegurarse de que también se eliminen el directorio principal del usuario y cualquier otro objeto que sea propiedad del usuario. Como alternativa a la eliminación de objetos que sean propiedad del usuario, puede transferir la propiedad de estos objetos a un usuario válido.
También debe asegurarse de que se eliminen todos los trabajos por lotes que estén asociados con el usuario. Ningún objeto o proceso que pertenezca a un usuario eliminado puede permanecer en el sistema.
Antes de empezar
Debe estar en el rol de administrador del sistema.
Utilice una caja de herramientas del ámbito adecuado. Para obtener detalles, consulte Inicialización del servidor de Solaris Management Console en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.
Puede que se muestre el indicador de contraseña.
Se le indicará que elimine el directorio principal del usuario y sus archivos de correo. Cuando acepta el indicador, el directorio principal del usuario y sus archivos de correo se eliminan solamente en la zona global.
Nota - Deberá buscar y eliminar los archivos temporales del usuario en todas las etiquetas, como los archivos de los directorios /tmp.