跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
如何在 Trusted Extensions 中启用 IPv6 网络
如何将 Trusted Extensions 系统连接到其他 Trusted Extensions 系统
如何在 Trusted Extensions 中创建 "Security Administrator"(安全管理员)角色
如何创建 "System Administrator"(系统管理员)角色
如何在 Trusted Extensions 中创建可以承担角色的用户
在 Trusted Extensions 中创建集中起始目录
如何在 Trusted Extensions 中创建起始目录服务器
如何让用户登录每个 NFS 服务器来访问每个标签处的远程起始目录。
如何通过在每个服务器上配置自动挂载程序来使用户能够访问其远程起始目录
如何在 Trusted Extensions 中将文件复制到便携介质
如何在 Trusted Extensions 中从便携介质复制文件
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务(任务)
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域(任务)
14. 在 Trusted Extensions 中管理和挂载文件(任务)
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
23. Trusted Extensions 中的软件管理(参考)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
在 Trusted Extensions 中创建角色的过程与在 Oracle Solaris中创建角色的过程相同。但对于评估配置,需要 "Security Administrator"(安全管理员)角色。
|
开始之前
您是全局区域中的 root 角色。
有关该命令的信息,请参见 roleadd(1M) 手册页。
可以使用下列信息作为参考:
Role name(角色名称)-secadmin
-c Local Security Officer
请勿提供专有信息。
-m home-directory
-u role-UID
-S repository
-K key=value
指定 "Information Security"(信息安全)和 "User Security"(用户安全)权限配置文件。
注 - 对于所有管理角色,请使用管理标签作为标签范围、审计 pfexec 命令的使用、设置 lock_after_retries=no,且不设置口令失效日期。
# roleadd -c "Local Security Officer" -m \ -u 110 -K profiles="Information Security,User Security" -S files \ -K lock_after_retries=no \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin
# passwd -r files secadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for secadmin #
指定至少包含六个字母数字字符的口令。安全管理员角色的口令以及所有口令都必须难以猜出,从而减少通过试猜口令而让有敌意的人获取未经授权访问的机会。
可能的角色包括:
admin 角色-System Administrator(系统管理员)权限配置文件
oper 角色-Operator(操作员)权限配置文件
示例 4-4 在 LDAP 中创建 "Security Administrator"(安全管理员)角色
对第一个系统配置 "local Security Administrator"(本地安全管理员)角色后,管理员会在 LDAP 系统信息库中创建 "Security Administrator"(安全管理员)角色。在该方案中,LDAP 客户机可由在 LDAP 中定义的 "Security Administrator"(安全管理员)角色进行管理。
# roleadd -c "Site Security Officer" -d server1:/rpool/pool1/BayArea/secadmin -u 111 -K profiles="Information Security,User Security" -S ldap \ -K lock_after_retries=no -K audit_flags=lo,ex:no \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin
管理员提供角色的初始口令。
# passwd -r ldap secadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for secadmin #
接下来的步骤
要将本地角色分配给本地用户,请参见如何在 Trusted Extensions 中创建可以承担角色的用户。
开始之前
您是全局区域中的 root 角色。
# roleadd -c "Local System Administrator" -m -u 111 -K audit_flags=lo,ex:no\ -K profiles="System Administrator" -K lock_after_retries=no \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH sysadmin
# passwd -r files sysadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for sysadmin #
在站点安全策略允许的情况下,可以选择创建能承担多个管理角色的用户。
为保证可以创建用户,"System Administrator"(系统管理员)角色负责创建用户和指定初始口令,而 "Security Administrator"(安全管理员)角色则负责指定与安全相关的属性(如角色)。
开始之前
您必须在全局区域中承担 root 角色。或者,如果强制执行职责分离,必须存在可承担 "Security Administrator"(安全管理员)和 "System Administrator"(系统管理员)不同角色的用户以承担其角色,并执行此过程中的相应步骤。
root 角色或 "System Administrator"(系统管理员)角色执行此步骤。
请勿在注释中放置专有信息。
# useradd -c "Second User" -u 1201 -d /home/jdoe jdoe
root 角色或 "Security Administrator"(安全管理员)角色执行此步骤。
注 - 对于可承担角色的用户,请关闭帐户锁定,且不设置口令失效日期。同时,审计 pfexec 命令的使用。
# usermod -K lock_after_retries=no -K idletime=5 -K idlecmd=lock \ -K audit_flags=lo,ex:no jdoe
# passwd jdoe New Password: Type password Re-enter new Password:Retype password
注 - 初始设置团队选择口令时,必须选择难以猜出的口令,从而减少通过试猜口令而让有敌意的人获取未经授权访问的机会。
root 角色或 "Security Administrator"(安全管理员)角色执行此步骤。
# usermod -R oper jdoe
在检查了站点安全策略以后,可能需要向您的首批用户授予 "Convenient Authorizations"(方便授权)权限配置文件。使用此配置文件,用户可以分配设备、打印 PostScript 文件、进行无标签打印、远程登录以及关闭系统。要创建配置文件,请参见如何创建权限配置文件以实现方便的授权。
在多级别系统上,可以为用户和角色设置一些文件,这些文件列出要复制或链接到其他标签的用户初始化文件。有关更多信息,请参见.copy_files 和 .link_files 文件。
示例 4-5 使用 useradd 命令创建本地用户
在此示例中,root 角色创建一个可承担 "Security Administrator"(安全管理员)角色的本地用户。有关详细信息,请参见 useradd(1M) 和 atohexlabel(1M) 手册页。
该用户将具有比缺省标签范围更广的标签范围。因此,root 角色确定用户的最小标签和安全许可标签的十六进制格式。
# atohexlabel public 0x0002-08-08 # atohexlabel -c "confidential restricted" 0x0004-08-78
其次,root 角色参考表 1-2,然后创建用户。管理员将用户的起始目录放置到 /export/home1,而不是缺省的 /export/home 中。
# useradd -c "Local user for Security Admin" -d /export/home1/jandoe \ -K idletime=10 -K idlecmd=logout -K lock_after_retries=no -K min_label=0x0002-08-08 -K clearance=0x0004-08-78 jandoe
接着,root 角色指定初始口令。
# passwd -r files jandoe New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for jandoe #
最后,root 角色将 "Security Administrator"(安全管理员)角色添加到用户的定义中。该角色是在如何在 Trusted Extensions 中创建 "Security Administrator"(安全管理员)角色中创建的。
# usermod -R secadmin jandoe
要检验每个角色,请承担相应的角色。然后,执行只有该角色可以执行的任务,并尝试不允许该角色执行的任务。
开始之前
如果您配置了 DNS 或路由,则必须在创建角色之后,检验该角色是否有效之前,进行重新引导。
在以下可信窗口条中,用户名为 tester。
有关更改用户属性所需的授权,请参见 passwd(1) 手册页。
"System Administrator"(系统管理员)角色应该能够创建用户和修改需要 solaris.user.manage 授权的用户属性,如用户的登录 shell。"System Administrator"(系统管理员)角色应该不能更改需要 solaris.account.setpolicy 授权的用户属性。
"Security Administrator"(安全管理员)角色应该能够更改需要 solaris.account.setpolicy 授权的用户属性。"Security Administrator"(安全管理员)应该不能创建用户或更改用户的登录 shell。
重新引导系统时,必须重新建立设备与底层存储之间的关联。
开始之前
您已经创建了至少一个有标签的区域。配置系统后,您已重新引导。您可承担 root 角色。
# svcs zones STATE STIME FMRI offline - svc:/system/zones:default
# svcadm restart svc:/system/zones:default
一般用户现在可以登录了。他们的会话位于有标签区域中。