JavaScript is required to for searching.
跳过导航链接
退出打印视图
Trusted Extensions 配置和管理     Oracle Solaris 11 Information Library (简体中文)
Oracle 技术网
文档库
PDF
打印视图
反馈
search filter icon
search icon

文档信息

前言

第 1 部分Trusted Extensions 的初始配置

1.  Trusted Extensions 的安全规划

2.  Trusted Extensions 的配置任务列表

3.  将 Trusted Extensions 功能添加到 Oracle Solaris(任务)

4.  配置 Trusted Extensions(任务)

5.  为 Trusted Extensions 配置 LDAP(任务)

第 2 部分管理 Trusted Extensions

6.  Trusted Extensions 管理概念

7.  Trusted Extensions 管理工具

8.  Trusted Extensions 系统上的安全要求(概述)

9.  执行 Trusted Extensions 中的常见任务(任务)

10.  Trusted Extensions 中的用户、权限和角色(概述)

11.  在 Trusted Extensions 中管理用户、权限和角色(任务)

12.  Trusted Extensions 中的远程管理(任务)

13.  在 Trusted Extensions 中管理区域(任务)

14.  在 Trusted Extensions 中管理和挂载文件(任务)

15.  可信网络(概述)

16.  在 Trusted Extensions 中管理网络(任务)

17.  Trusted Extensions 和 LDAP(概述)

18.  Trusted Extensions 中的多级别邮件(概述)

19.  管理有标签打印(任务)

20.  Trusted Extensions 中的设备(概述)

21.  管理 Trusted Extensions 的设备(任务)

在 Trusted Extensions 中操作设备(任务列表)

在 Trusted Extensions 中使用设备(任务列表)

在 Trusted Extensions 中管理设备(任务列表)

如何在 Trusted Extensions 中配置设备

如何在 Trusted Extensions 中撤销或回收设备

如何在 Trusted Extensions 中保护不可分配的设备

如何在 Trusted Extensions 中添加 Device_Clean (设备清除)脚本

在 Trusted Extensions 中定制设备授权(任务列表)

如何创建新的设备授权

如何在 Trusted Extensions 中将特定于站点的授权添加到设备

如何指定设备授权

22.  Trusted Extensions 审计(概述)

23.  Trusted Extensions 中的软件管理(参考)

A.  站点安全策略

创建和管理安全策略

站点安全策略和 Trusted Extensions

计算机安全建议

物理安全建议

人员安全建议

常见安全违规

其他安全参考信息

B.  Trusted Extensions 的配置核对表

用于配置 Trusted Extensions 的核对表

C.  Trusted Extensions 管理快速参考

Trusted Extensions 中的管理接口

由 Trusted Extensions 扩展的 Oracle Solaris 接口

Trusted Extensions 中更为严厉的安全缺省值

Trusted Extensions 中的受限选项

D.  Trusted Extensions 手册页列表

按字母顺序排列的 Trusted Extensions 手册页

Trusted Extensions 修改的 Oracle Solaris 手册页

词汇表

索引

在 Trusted Extensions 中定制设备授权(任务列表)

下面的任务列表描述了在您的站点更改设备授权的过程。

任务
说明
参考
创建新的设备授权。
创建特定于站点的授权。
如何创建新的设备授权
将授权添加到设备。
将特定于站点的授权添加到选定设备。
如何在 Trusted Extensions 中将特定于站点的授权添加到设备
将设备授权指定给用户和角色。
使用户和角色能够使用新授权。
如何指定设备授权

如何创建新的设备授权

如果在创建设备时没有指定授权,则缺省情况下,所有用户均可使用此设备。如果指定了授权,则缺省情况下,只有经授权的用户才能使用此设备。

要在不使用授权的情况下阻止对可分配设备的所有访问,请参见示例 21-1

开始之前

您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。

  1. 编辑 auth_attr 文件。
  2. 为新授权创建一个标题。

    使用您的组织的反序 Internet 域名,后跟可选的其他任意组件,如您公司的名称。以点分隔组件。使用点结束标题名。

    domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html
  3. 添加新的授权条目。

    添加授权,每行一个授权。在示例中,为了便于显示,对行进行了拆分。授权包括 grant 授权,它使得管理员能够指定新的授权。

    domain-suffix.domain-prefix.grant:::Grant All Company Authorizations::
help=CompanyGrant.html
domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations::
help=CompanyGrantDevice.html
domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device::
help=CompanyTapeAllocate.html
domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device::
help=CompanyFloppyAllocate.html
  4. 保存文件并关闭编辑器。
  5. 如果您使用 LDAP 作为命名服务,请更新 Oracle Directory Server 企业版 (Directory Server) 上的 auth_attr 条目。

    有关信息,请参见 ldapaddent(1M) 手册页。

  6. 将新授权添加到相应的权限配置文件。然后,将配置文件指定给用户和角色。
  7. 使用授权来限制对磁带机和磁盘驱动器的访问。

    在 "Device Manager"(设备管理器)中,将新授权添加到所需授权列表中。有关过程,请参见如何在 Trusted Extensions 中将特定于站点的授权添加到设备

示例 21-2 创建细粒度设备授权

NewCo 的安全管理员需要为公司构建细粒度设备授权。

首先,管理员编写以下帮助文件,并将这些文件置于 /usr/lib/help/auths/locale/C 目录中:

Newco.html
NewcoGrant.html
NewcoGrantDevice.html
NewcoTapeAllocate.html
NewcoFloppyAllocate.html

然后,管理员在 auth_attr 文件中为 newco.com 的所有授权添加一个标题。

# auth_attr file
com.newco.:::NewCo Header::help=Newco.html

接下来,管理员向文件中添加授权条目:

com.newco.grant:::Grant All NewCo Authorizations::
help=NewcoGrant.html
com.newco.grant.device:::Grant NewCo Device Authorizations::
help=NewcoGrantDevice.html
com.newco.device.allocate.tape:::Allocate Tape Device::
help=NewcoTapeAllocate.html
com.newco.device.allocate.floppy:::Allocate Floppy Device::
help=NewcoFloppyAllocate.html

在示例中,为了便于显示,对行进行了拆分。

auth_attr 条目创建了以下授权:

示例 21-3 创建可信路径和非可信路径授权

缺省情况下,"Allocate Devices"(分配设备)授权允许从可信路径和可信路径外进行分配。

在下面的示例中,站点安全策略要求限制远程 CD-ROM 分配。安全管理员创建了 com.someco.device.cdrom.local 授权。该授权适用于使用可信路径分配的 CD-ROM 驱动器。com.someco.device.cdrom.remote 授权适用于少数用户,他们可以在可信路径外分配 CD-ROM 驱动器。

安全管理员创建帮助文件、将授权添加到 auth_attr 数据库、将授权添加到设备,然后将授权置于权限配置文件中。配置文件被指定给允许分配设备的用户。

如何在 Trusted Extensions 中将特定于站点的授权添加到设备

开始之前

您必须是 "Security Administrator"(安全管理员)角色,或者是具有 "Configure Device Attributes"(配置设备属性)授权的角色。您必须已创建了特定于站点的授权,如如何创建新的设备授权中所述。

  1. 执行如何在 Trusted Extensions 中配置设备过程。
    1. 选择一个需要由新授权来保护的设备。
    2. 单击 "Administration"(管理)按钮。
    3. 单击 "Authorizations"(授权)按钮。

      新授权显示在 "Not Required"(非必需)列表中。

    4. 将新授权添加到授权的 "Required"(必需)列表中。
  2. 要保存更改,请单击 "OK"(确定)。

如何指定设备授权

"Allocate Device"(分配设备)授权允许用户分配设备。"Allocate Device"(分配设备)授权和 "Revoke or Reclaim Device"(撤销或回收设备)授权适用于管理角色。

开始之前

您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。

如果现有的配置文件不适用,安全管理员可以创建新的配置文件。有关示例,请参见如何创建权限配置文件以实现方便的授权

示例 21-4 指定新的设备授权

在本例中,安全管理员为系统配置新的设备授权,并将包含新授权的权限配置文件指定给可信用户。安全管理员执行以下操作:

  1. 如何创建新的设备授权中所述创建新的设备授权

  2. 在 "Device Manager"(设备管理器)中,将新的设备授权添加到磁带机和磁盘驱动器

  3. 将新授权置于 "NewCo Allocation"(NewCo 分配)权限配置文件中

  4. 将 "NewCo Allocation"(NewCo 分配)权限配置文件添加到被授权分配磁带机和磁盘驱动器的用户和角色的配置文件中

现在,经授权的用户和角色可以在此系统上使用磁带机和磁盘驱动器了。

版权所有 © 1992, 2011, Oracle 和/或其附属公司。 保留所有权利。 法律声明
上一页 下一页