JavaScript is required to for searching.
跳过导航链接
退出打印视图
系统管理指南:安全性服务     Oracle Solaris 10 8/11 Information Library (简体中文)
Oracle 技术网
文档库
PDF
打印视图
反馈
search filter icon
search icon

文档信息

前言

第 1 部分安全性概述

1.  安全性服务(概述)

第 2 部分系统、文件和设备安全性

2.  管理计算机安全性(概述)

3.  控制对系统的访问(任务)

4.  控制对设备的访问(任务)

5.  使用基本审计报告工具(任务)

6.  控制对文件的访问(任务)

7.  使用自动安全性增强工具(任务)

第 3 部分角色、权限配置文件和特权

8.  使用角色和特权(概述)

9.  使用基于角色的访问控制(任务)

10.  基于角色的访问控制(参考)

权限配置文件的内容

Primary Administrator(主管理员)权限配置文件

System Administrator(系统管理员)权限配置文件

Operator(操作员)权限配置文件

Printer Management(打印机管理)权限配置文件

Basic Solaris User(基本 Solaris 用户)权限配置文件

All(所有)权限配置文件

权限配置文件的顺序

查看权限配置文件的内容

授权命名和委托

授权命名约定

授权粒度示例

授权中的委托授权

支持 RBAC 的数据库

RBAC 数据库关系

RBAC 数据库和命名服务

user_attr 数据库

auth_attr 数据库

prof_attr 数据库

exec_attr 数据库

policy.conf 文件

RBAC 命令

管理 RBAC 的命令

要求授权的命令

11.  特权(任务)

12.  特权(参考)

第 4 部分加密服务

13.  Oracle Solaris 加密框架(概述)

14.  Oracle Solaris 加密框架(任务)

15.  Oracle Solaris 密钥管理框架

第 5 部分验证服务和安全通信

16.  使用验证服务(任务)

17.  使用 PAM

18.  使用 SASL

19.  使用 Oracle Solaris 安全 Shell(任务)

20.  Oracle Solaris 安全 Shell(参考)

第 6 部分Kerberos 服务

21.  Kerberos 服务介绍

22.  规划 Kerberos 服务

23.  配置 Kerberos 服务(任务)

24.  Kerberos 错误消息和故障排除

25.  管理 Kerberos 主体和策略(任务)

26.  使用 Kerberos 应用程序(任务)

27.  Kerberos 服务(参考)

第 7 部分Oracle Solaris 审计

28.  Oracle Solaris 审计(概述)

29.  规划 Oracle Solaris 审计

30.  管理 Oracle Solaris 审计(任务)

31.  Oracle Solaris 审计(参考)

词汇表

索引

权限配置文件的内容

本节介绍了一些典型的权限配置文件。权限配置文件可以包括授权、带有安全属性的命令以及补充权限配置文件。权限配置文件根据功能的强弱从高到低列出。有关如何将权限配置文件分配给站点中角色的建议,请参见如何规划 RBAC 实现

每个权限配置文件都有关联的帮助文件。这些帮助文件以 HTML 格式提供,并且可定制。这些文件位于 /usr/lib/help/profiles/locale/C 目录下。

Primary Administrator(主管理员)权限配置文件

Primary Administrator(主管理员)权限配置文件指定给系统上功能最强的角色。拥有 Primary Administrator(主管理员)权限配置文件的角色具有超级用户功能。

如有必要,可以为站点定制帮助文件 RtPriAdmin.html。帮助文件存储在 /usr/lib/help/profiles/locale/C 目录下。

另请注意,如果 Primary Administrator(主管理员)权限配置文件与站点的安全策略不一致,则可以修改该配置文件或者根本就不指定该配置文件。但是,需要在一个或多个其他权限配置文件中处理 Primary Administrator(主管理员)权限配置文件中的安全功能。然后将这些权限配置文件指定给角色。

表 10-1 Primary Administrator(主管理员)权限配置文件的内容

目的
内容
执行所有管理任务
命令*:uid=0;gid=0

授权solaris.*solaris.grant

帮助文件RtPriAdmin.html

System Administrator(系统管理员)权限配置文件

System Administrator(系统管理员)权限配置文件专用于 System Administrator(系统管理员)角色。由于 System Administrator(系统管理员)不具有 Primary Administrator(主管理员)具有的广泛功能,因此不使用通配符。相反,此配置文件是一组不涉及安全性的独立的补充管理权限配置文件。显示其中一个补充权限配置文件中带有安全属性的命令。

请注意,将在补充权限配置文件列表的末尾指定 All(所有)权限配置文件。

表 10-2 System Administrator(系统管理员)权限配置文件的内容

目的
内容
执行大多数非安全性管理任务
补充权限配置文件:Audit Review(审计查看)、Printer Management(打印机管理)、Cron Management(计时程序管理)、Device Management(设备管理)、File System Management(文件系统管理)、Mail Management(邮件管理)、Maintenance and Repair(维护和修复)、Name Service Management(名称服务管理)、Network Management(网络管理)、Object Access Management(对象访问管理)、Process Management(进程管理)、Software Installation(软件安装)、Project Management(项目管理)、User Management(用户管理)、All(所有)

帮助文件RtSysAdmin.html
补充配置文件之一中的命令
Object Access Management(对象访问管理)权限配置文件solaris 策略:/usr/bin/chgrp:privs=file_chown/usr/bin/chmod:privs=file_chown/usr/bin/chown:privs=file_chown /usr/bin/setfacl:privs=file_chown

suser 策略:/usr/bin/chgrp:euid=0/usr/bin/chmod:euid=0/usr/bin/chown:euid=0/usr/bin/getfacl:euid=0/usr/bin/setfacl:euid=0

Operator(操作员)权限配置文件

Operator(操作员)权限配置文件是一个功能较弱的配置文件,提供执行备份和打印机维护的功能。恢复文件的功能与安全性的相关性更密切。因此,在此配置文件中,缺省值将不包括恢复文件的功能。

表 10-3 Operator(操作员)权限配置文件的内容

目的
内容
执行简单的管理任务
补充权限配置文件:Printer Management(打印机管理)、Media Backup(介质备份)、All(所有)

帮助文件RtOperator.html

Printer Management(打印机管理)权限配置文件

Printer Management(打印机管理)是适用于特定任务区域的典型权限配置文件。此配置文件包括授权和命令。下表显示了部分命令列表。

表 10-4 Printer Management(打印机管理)权限配置文件的内容

目的
内容
管理打印机、守护进程和假脱机
授权solaris.print.*solaris.label.printsolaris.admin.printer.deletesolaris.admin.printer.modifysolaris.admin.printer.readsolaris.smf.manage.discovery.printers.*solaris.smf.value.discovery.printers.*

命令/usr/lib/lp/local/lpadmin:uid=lp;gid =lp/usr/sbin/lpfilter:euid=lp;uid=lp/usr/sbin/lpforms:euid=lp/usr/sbin/lpusers:euid=lp/usr/sbin/ppdmgr:euid=0

帮助文件RtPrntMngmnt.html

Basic Solaris User(基本 Solaris 用户)权限配置文件

缺省情况下,会通过 policy.conf 文件将 Basic Solaris User(基本 Solaris 用户)权限配置文件自动分配给所有用户。此配置文件提供了正常操作中有用的基本授权。请注意,Basic Solaris User(基本 Solaris 用户)权限配置文件提供的便利必须与站点的安全要求平衡。需要更严格安全性的站点可能希望从 policy.conf 文件中删除此配置文件。

表 10-5 Basic Solaris User(基本 Solaris 用户)权限配置文件的内容

目的
内容
自动将权限分配给所有用户
授权solaris.profmgr.readsolaris.jobs.usersolaris.mail.mailqsolaris.device.mount.removablesolaris.admin.usermgr.readsolaris.admin.logsvc.readsolaris.admin.fsmgr.readsolaris.admin.serialmgr.readsolaris.admin.diskmgr.readsolaris.admin.procmgr.usersolaris.compsys.readsolaris.admin.printer.readsolaris.admin.prodreg.readsolaris.admin.dcmgr.readsolaris.snmp.readsolaris.project.readsolaris.admin.patchmg.readsolaris.network.hosts.readsolaris.admin.volmgr.read

补充权限配置文件:All(所有)

帮助文件RtDefault.html

All(所有)权限配置文件

All(所有)权限配置文件使用通配符来包括所有命令。此配置文件提供了可访问未在其他权限配置文件中显式指定的所有命令的角色。如果没有 All(所有)权限配置文件或使用通配符的其他权限配置文件,则角色只能访问显式指定的命令。如此有限的命令集不是很实用。此配置文件中不包括任何授权。

All(所有)权限配置文件(如果使用)应该是指定的最终权限配置文件。这种最后位置可确保应用其他权限配置文件中的显式安全属性分配。

表 10-6 All(所有)权限配置文件的内容

目的
内容
以用户或角色的身份执行任何一个命令
命令:*

帮助文件RtAll.html

权限配置文件的顺序

权限配置文件中的命令按顺序进行解释。第一次出现的命令版本是用于此角色或用户的命令的唯一版本。不同的权限配置文件可以包括相同命令。因此,配置文件列表中权限配置文件的顺序至关重要。应该首先列出具有最多功能的权限配置文件。

权限配置文件在 Solaris Management Console GUI 和 prof_attr 文件中列出。在 Solaris Management Console GUI 中,具有最多功能的权限配置文件应该是指定权限配置文件列表中最顶部的配置文件。在 prof_attr 文件中,具有最多功能的权限配置文件应该是补充配置文件列表中的第一个配置文件。此放置方法可确保带有安全属性的命令列在不带安全属性的相同命令之前。

查看权限配置文件的内容

Solaris Management Console Rights(权限)工具提供了一种检查权限配置文件内容的方法。

prof_attrexec_attr 文件提供划分更细的视图。prof_attr 文件包含在系统上定义的每个权限配置文件的名称。此文件还包括每个配置文件的授权、特权和补充权限配置文件。exec_attr 文件包含权限配置文件的名称及其带有安全属性的命令。

版权所有 © 2002, 2011, Oracle 和/或其附属公司。 保留所有权利。 法律声明
上一页 下一页