Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Configuración y administración de Trusted Extensions Oracle Solaris 11 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions (tareas)
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions (tareas)
14. Gestión y montaje de archivos en Trusted Extensions (tareas)
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
Control de dispositivos en Trusted Extensions (mapa de tareas)
Uso de dispositivos en Trusted Extensions (mapa de tareas)
Gestión de dispositivos en Trusted Extensions (mapa de tareas)
Cómo configurar un dispositivo en Trusted Extensions
Cómo revocar o reclamar un dispositivo en Trusted Extensions
Cómo proteger los dispositivos no asignables en Trusted Extensions
Cómo agregar una secuencia de comandos device_clean en Trusted Extensions
Personalización de autorizaciones para dispositivos en Trusted Extensions (mapa de tareas)
Cómo crear nuevas autorizaciones para dispositivos
Cómo agregar autorizaciones específicas del sitio a un dispositivo en Trusted Extensions
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions (referencia)
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
En el siguiente mapa de tareas, se describen los procedimientos para cambiar las autorizaciones para dispositivos en el sitio.
|
Si no se especifica ninguna autorización cuando se crea un dispositivo, de manera predeterminada, todos los usuarios pueden utilizar el dispositivo. Si se especifica una autorización, de manera predeterminada, solamente los usuarios autorizados pueden utilizar el dispositivo.
Para obtener información sobre cómo impedir cualquier acceso a un dispositivo asignable sin la debida autorización, consulte el Ejemplo 21-1.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Utilice el nombre de dominio de Internet de la organización en orden inverso seguido de componentes arbitrarios adicionales opcionales, como el nombre de la compañía. Separe los componentes con puntos. Finalice los encabezados con un punto.
domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html
Agregue las autorizaciones (una autorización por línea). Las líneas se dividen con fines de visualización. Se incluyen las autorizaciones grant que habilitan a los administradores para asignar las autorizaciones nuevas.
domain-suffix.domain-prefix.grant:::Grant All Company Authorizations:: help=CompanyGrant.html domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations:: help=CompanyGrantDevice.html domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device:: help=CompanyTapeAllocate.html domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device:: help=CompanyFloppyAllocate.html
Para obtener información, consulte la página del comando man ldapaddent(1M).
Agregue las autorizaciones nuevas a la lista de autorizaciones requeridas en Device Manager. Para conocer el procedimiento, consulte Cómo agregar autorizaciones específicas del sitio a un dispositivo en Trusted Extensions.
Ejemplo 21-2 Creación de autorizaciones para dispositivos específicas
Un administrador de la seguridad de NewCo necesita establecer autorizaciones para dispositivos específicas para la compañía.
En primer lugar, el administrador escribe los siguientes archivos de ayuda y los coloca en el directorio /usr/lib/help/auths/locale/C:
Newco.html NewcoGrant.html NewcoGrantDevice.html NewcoTapeAllocate.html NewcoFloppyAllocate.html
Luego, el administrador agrega un encabezado a todas las autorizaciones para newco.com en el archivo auth_attr.
# auth_attr file com.newco.:::NewCo Header::help=Newco.html
A continuación, el administrador agrega entradas de autorización al archivo:
com.newco.grant:::Grant All NewCo Authorizations:: help=NewcoGrant.html com.newco.grant.device:::Grant NewCo Device Authorizations:: help=NewcoGrantDevice.html com.newco.device.allocate.tape:::Allocate Tape Device:: help=NewcoTapeAllocate.html com.newco.device.allocate.floppy:::Allocate Floppy Device:: help=NewcoFloppyAllocate.html
Las líneas se dividen con fines de visualización.
Las entradas auth_attr crean las siguientes autorizaciones:
Una autorización para conceder todas las autorizaciones de NewCo
Una autorización para conceder las autorizaciones para dispositivos de NewCo
Una autorización para asignar una unidad de cinta
Una autorización para asignar una unidad de disquete
Ejemplo 21-3 Creación de autorizaciones Trusted Path y Non-Trusted Path
De manera predeterminada, la autorización Allocate Devices habilita la asignación desde adentro y desde afuera de Trusted Path.
En el siguiente ejemplo, la política de seguridad del sitio requiere la restricción de la asignación de CD-ROM remota. El administrador de la seguridad crea la autorización com.someco.device.cdrom.local. Esta autorización corresponde a las unidades de CD-ROM que se asignan con Trusted Path. La autorización com.someco.device.cdrom.remote corresponde a los pocos usuarios que tienen permiso para asignar una unidad de CD-ROM fuera de Trusted Path.
El administrador de la seguridad crea los archivos de ayuda, agrega las autorizaciones a la base de datos auth_attr, agrega las autorizaciones para los dispositivos y, luego, aplica las autorizaciones en los perfiles de derechos. Los perfiles se asignan a los usuarios que tienen permiso para asignar dispositivos.
A continuación, se muestran las entradas de base de datos auth_attr:
com.someco.:::SomeCo Header::help=Someco.html com.someco.grant:::Grant All SomeCo Authorizations:: help=SomecoGrant.html com.someco.grant.device:::Grant SomeCo Device Authorizations:: help=SomecoGrantDevice.html com.someco.device.cdrom.local:::Allocate Local CD-ROM Device:: help=SomecoCDAllocateLocal.html com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device:: help=SomecoCDAllocateRemote.html
A continuación, se muestra la asignación de Device Manager:
Trusted Path permite que los usuarios autorizados utilicen Device Manager al asignar la unidad de CD-ROM local.
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.local
Non-Trusted Path permite que los usuarios asignen un dispositivo de manera remota mediante el comando allocate.
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.remote
A continuación, se muestran las entradas de derechos de perfiles:
# Local Allocator profile com.someco.device.cdrom.local # Remote Allocator profile com.someco.device.cdrom.remote
A continuación, se muestran los perfiles de derechos de los usuarios autorizados:
# List of profiles for regular authorized user Local Allocator Profile ... # List of profiles for role or authorized user Remote Allocator Profile ...
Antes de empezar
Debe estar con el rol de administrador de la seguridad o con un rol que incluya la autorización Configure Device Attributes. Ya debe haber creado las autorizaciones específicas del sitio, como se describe en Cómo crear nuevas autorizaciones para dispositivos.
Las autorizaciones nuevas se muestran en la lista Not Required.
La autorización Allocate Device habilita a los usuarios para que asignen un dispositivo. Las autorizaciones Allocate Device y Revoke or Reclaim Device son adecuadas para los roles administrativos.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Si los perfiles existentes no son adecuados, el administrador de la seguridad puede crear un perfil nuevo. Para ver un ejemplo, consulte Cómo crear perfiles de derechos para autorizaciones convenientes.
Para conocer el procedimiento paso a paso, consulte Cómo cambiar las propiedades RBAC de un usuario de Administración de Oracle Solaris: servicios de seguridad.
Los siguientes perfiles de derechos habilitan un rol para que asigne dispositivos:
All Authorizations
Device Management
Media Backup
Media Restore
Object Label Management
Software Installation
Los siguientes perfiles de derechos habilitan un rol para que revoque o reclame dispositivos:
All Authorizations
Device Management
Los siguientes perfiles de derechos habilitan un rol para que cree o configure dispositivos:
All Authorizations
Device Security
Ejemplo 21-4 Asignación de nuevas autorizaciones para dispositivos
En este ejemplo, el administrador de la seguridad configura las nuevas autorizaciones para dispositivos del sistema y asigna el perfil de derechos con las autorizaciones nuevas a usuarios de confianza. El administrador de la seguridad realiza lo siguiente:
Crea nuevas autorizaciones para dispositivos, como se indica en Cómo crear nuevas autorizaciones para dispositivos.
En Device Manager, agrega las nuevas autorizaciones para dispositivos a las unidades de cinta y de disquete.
Coloca las autorizaciones nuevas en el perfil de derechos NewCo Allocation.
Agrega el perfil de derechos NewCo Allocation a los perfiles de usuarios y roles que están autorizados a asignar unidades de cinta y de disquete.
Así, los usuarios y los roles autorizados pueden usar las unidades de cinta y de disquete del sistema.