Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Guía del usuario de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
1. Introducción a Trusted Extensions
2. Inicio de sesión en Trusted Extensions (tareas)
3. Trabajo en Trusted Extensions (tareas)
Seguridad de escritorio visible en Trusted Extensions
Proceso de cierre de sesión de Trusted Extensions
Trabajo en un sistema con etiquetas
Cómo bloquear y desbloquear la pantalla
Cómo cerrar una sesión de Trusted Extensions
Cómo ver los archivos en un espacio de trabajo etiquetado
Cómo acceder a las páginas del comando man de Trusted Extensions
Cómo acceder a los archivos de inicialización en cada etiqueta
Cómo mostrar de manera interactiva una etiqueta de ventana
Cómo encontrar el puntero del mouse
Cómo realizar algunas tareas comunes de escritorio en Trusted Extensions
Realizar acciones de confianza
Cómo cambiar la contraseña en Trusted Extensions
Cómo iniciar sesión en una etiqueta diferente
Cómo asignar un dispositivo en Trusted Extensions
Cómo desasignar un dispositivo en Trusted Extensions
Cómo asumir un rol en Trusted Extensions
Cómo cambiar la etiqueta de un espacio de trabajo
Cómo agregar un espacio de trabajo en una etiqueta mínima
Cómo cambiar a un espacio de trabajo en una etiqueta diferente
Cómo mover una ventana a un espacio de trabajo diferente
Cómo determinar la etiqueta de un archivo
Cómo mover datos entre ventanas de etiquetas diferentes
Cómo actualizar los datos de un conjunto de datos con varios niveles
Cómo disminuir de nivel los datos de un conjunto de datos con varios niveles
Las siguientes tareas relacionadas con la seguridad requieren la ruta de confianza.
Precaución - Si cuando intenta realizar una acción relacionada con la seguridad falta el símbolo de confianza, póngase en contacto con el administrador de la seguridad inmediatamente. Los problemas del sistema pueden ser graves. |
A diferencia de SO Oracle Solaris, Trusted Extensions proporciona una interfaz gráfica de usuario para cambiar la contraseña. La interfaz gráfica de usuario arrastra el puntero hasta que se haya completado la operación de la contraseña. Para detener un proceso que ha arrastrado el puntero, consulte el Ejemplo 3-5.
Para seleccionar la opción de menú de contraseña, haga clic en la banda de confianza Trusted Path.
Figura 3-3 Menú Trusted Path
Nota - La opción de menú Change Workspace Password de Trusted Path está activa cuando el sitio ejecuta un servicios de nombres separado por zona.
Esta acción confirma que usted es el usuario legítimo de ese nombre de usuario. Por motivos de seguridad, la contraseña no se muestra cuando se introduce.
Precaución - Al introducir la contraseña, asegúrese de que el cursor se encuentre sobre el cuadro de diálogo Change Password y de que se muestre el símbolo de confianza. Si el cursor no se encuentra sobre el cuadro de diálogo, es posible que, sin darse cuenta, introduzca su contraseña en una ventana diferente, donde otro usuario podría verla. Si el símbolo de confianza no se muestra, es posible que alguien esté intentando robar su contraseña. Póngase en contacto con el administrador de la seguridad inmediatamente. |
Nota - Si elige Change Password y el sitio está utilizando cuentas locales, la contraseña nueva no entrará en vigor hasta que se reinicie la zona o el sistema. Para reiniciar la zona, se le debe asignar el perfil de derechos de seguridad de la zona. Para reiniciar el sistema, se le debe asignar el perfil de derechos de mantenimiento y reparación. Si no se le asigna ninguno de estos perfiles, póngase en contacto con el administrador del sistema para programar un reinicio.
Ejemplo 3-5 Comprobar si el indicador de contraseña es de confianza
En un sistema x86 con un teclado Sun, se le solicita una contraseña al usuario. Se arrastró el puntero del mouse y se ubicó en el cuadro de diálogo de contraseña. Para comprobar que la solicitud sea de confianza, el usuario presiona simultáneamente las teclas Meta y Stop. Si el puntero permanece en el cuadro de diálogo, el usuario sabe que la petición de contraseña es de confianza.
Si el puntero no permanece en el cuadro de diálogo, el usuario sabe que la petición de contraseña no es de confianza. El usuario debe ponerse en contacto con el administrador.
La etiqueta del primer espacio de trabajo que aparece en los inicios de sesión posteriores al primer inicio de sesión puede ser cualquier etiqueta que se encuentre dentro del rango de etiquetas.
Los usuarios pueden configurar las características de sesión de inicio para cada una de las etiquetas en las que inician sesión.
Antes de empezar
Debe iniciar una sesión de varios niveles.
Para obtener detalles, consulte Cómo agregar un espacio de trabajo en una etiqueta mínima.
Para obtener detalles, consulte Cómo realizar algunas tareas comunes de escritorio en Trusted Extensions.
La opción de menú Allocate Device le permite montar y asignar un dispositivo para su uso exclusivo. Si intenta utilizar un dispositivo sin asignarlo, obtendrá el mensaje de error “Permiso denegado”.
Antes de empezar
Debe estar autorizado para asignar un dispositivo.
Los dispositivos que tiene permitido asignar en su etiqueta actual aparecen en Available Devices:
audion: indica un micrófono y un altavoz
cdromn: indica una unidad de CD-ROM
floppyn: indica una unidad de disquete
mag_tapen: indica una unidad de cinta (transmisión por secuencias)
rmdiskn: indica un disco extraíble, como una unidad Jaz o Zip, o medios USB conectables
El siguiente cuadro de diálogo indica que usted no está autorizado para asignar dispositivos:
Mueva el dispositivo de la lista de dispositivos disponibles a la lista de dispositivos asignados.
Este paso inicia la secuencia de comandos de limpieza. La secuencia de comandos de limpieza garantiza que no queden datos de otras transacciones en los medios.
Tenga en cuenta que la etiqueta del espacio de trabajo actual se aplica al dispositivo. Los datos transferidos a los medios del dispositivo o desde dichos medios deben ser dominados por esta etiqueta.
Las instrucciones garantizan que los medios tienen la etiqueta correcta. Por ejemplo, las siguientes instrucciones aparecen para el uso del micrófono:
Luego, se monta el dispositivo. El nombre del dispositivo ahora aparecerá en la lista de dispositivos asignados. Este dispositivo ahora está asignado para su uso exclusivo.
Errores más frecuentes
Si el dispositivo que quiere usar no aparece en la lista, póngase en contacto con el administrador. Es posible que el dispositivo se encuentre en estado de error o esté siendo utilizado por otra persona. O bien, es posible que no tenga autorización para utilizar el dispositivo.
Si cambia a un espacio de trabajo de rol diferente o a un espacio de trabajo en una etiqueta diferente, es posible que el dispositivo asignado no funcione en esa etiqueta. Para utilizar el dispositivo en la etiqueta nueva, debe desasignar el dispositivo en la primera etiqueta y, luego, asignar el dispositivo en la etiqueta nueva. Cuando mueve el Device Manager a un espacio de trabajo en una etiqueta diferente, las listas de dispositivos disponibles y asignados cambian para reflejar el contexto correcto.
Si no aparece la ventana del explorador de archivos, abra la ventana manualmente y, luego, navegue hasta el directorio raíz: /. En este directorio, vaya hacia el dispositivo asignado para ver el contenido.
El dispositivo ya está disponible para que lo utilice otro usuario autorizado.
A diferencia de SO Oracle Solaris, Trusted Extensions proporciona una interfaz gráfica de usuario para asumir un rol.
Esta acción confirma que puede asumir este rol de manera legítima. Por motivos de seguridad, la contraseña no se muestra cuando se introduce.
Precaución - Al introducir la contraseña, asegúrese de que el cursor se encuentre sobre el cuadro de diálogo Change Password y de que se muestre el símbolo de confianza. Si el cursor no se encuentra sobre el cuadro de diálogo, es posible que, sin darse cuenta, introduzca su contraseña en una ventana diferente, donde otro usuario podría verla. Si el símbolo de confianza no se muestra, es posible que alguien esté intentando robar su contraseña. Póngase en contacto con el administrador de la seguridad inmediatamente. |
Después de que se acepta la contraseña del rol, el espacio de trabajo actual se convierte en el espacio de trabajo del rol. Debe encontrarse en la zona global. Puede realizar las tareas permitidas por los perfiles de derechos en el rol.
La capacidad para configurar etiquetas de espacio de trabajo en Trusted Extensions proporciona una forma útil de trabajar en etiquetas diferentes dentro de la misma sesión de varios niveles.
Utilice este procedimiento para trabajar en el mismo espacio de trabajo, en una etiqueta diferente. Para crear un espacio de trabajo en una etiqueta diferente, consulte Cómo agregar un espacio de trabajo en una etiqueta mínima.
Antes de empezar
Debe iniciar una sesión de varios niveles.
También puede hacer clic en un panel del espacio de trabajo.
En la ilustración siguiente, se muestra al usuario haciendo clic en el botón Trusted Path.
Figura 3-4 Label Builder
Después de hacer clic en este botón, el usuario puede seleccionar entre las etiquetas de usuario. La etiqueta del espacio de trabajo se cambia por la etiqueta nueva. En un sistema donde las etiquetas están codificadas con color, las ventanas nuevas están marcadas con el color nuevo.
Si el sitio ejecuta un servicio de nombres separado por zona, se les solicita a los usuarios que proporcionen una contraseña al ingresar a un espacio de trabajo en una etiqueta nueva.
La capacidad para configurar etiquetas de espacio de trabajo en Trusted Extensions proporciona una forma útil de trabajar en etiquetas diferentes dentro de la misma sesión de varios niveles. Puede agregar espacios de trabajo en la etiqueta mínima.
Para cambiar la etiqueta del espacio de trabajo actual, consulte Cómo cambiar la etiqueta de un espacio de trabajo.
Antes de empezar
Debe iniciar una sesión de varios niveles.
Los espacios de trabajo nuevos se crean en la etiqueta mínima. También puede utilizar este cuadro de diálogo para nombrar los espacios de trabajo. El nombre aparece en la pista.
Cuando el mouse se desplaza por encima del panel del espacio de trabajo, el nombre aparece en la pista.
Para obtener detalles, consulte Cómo cambiar la etiqueta de un espacio de trabajo.
Antes de empezar
Debe iniciar una sesión de varios niveles.
Si el sitio ejecuta un servicio de nombres separado por zona, se les solicita a los usuarios que proporcionen una contraseña al ingresar a un espacio de trabajo en una etiqueta nueva.
Errores más frecuentes
Si ha iniciado una sesión de un solo nivel, debe cerrar la sesión para trabajar en una etiqueta diferente. Luego, debe iniciar sesión en la etiqueta deseada. Si está autorizado, también puede iniciar una sesión de varios niveles.
Si arrastra la ventana a un espacio de trabajo en una etiqueta diferente, la ventana conserva su etiqueta original. Las acciones de esa ventana se realizan en la etiqueta de la ventana, no en la etiqueta del espacio de trabajo que las contiene. Es útil mover una ventana si desea comparar la información. Es posible que también desee utilizar aplicaciones en distintas etiquetas sin necesidad de moverse entre espacios de trabajo.
La ventana arrastrada ahora aparece en el segundo espacio de trabajo.
La ventana seleccionada ahora aparece en todos los espacios de trabajo.
En general, la etiqueta de un archivo es evidente. Sin embargo, si tiene permiso para ver los archivos en una etiqueta inferior al espacio de trabajo actual, es posible que la etiqueta de un archivo no sea evidente. En concreto, la etiqueta de un archivo puede ser diferente de la etiqueta del explorador de archivos.
Consejo - También puede utilizar la opción de menú Query Label del menú Trusted Path.
Al igual que en un sistema Oracle Solaris, puede mover datos entre ventanas en Trusted Extensions. Sin embargo, los datos deben estar en la misma etiqueta. Al transferir información entre ventanas con distintas etiquetas, actualiza o degrada la sensibilidad de dicha información.
Antes de empezar
La política de seguridad de su sitio debe permitir este tipo de transferencia, la zona contenedora debe permitir volver a etiquetar y usted debe estar autorizado a mover los datos entre las etiquetas.
Por lo tanto, el administrador debe haber realizado las siguientes tareas:
Debe iniciar una sesión de varios niveles.
Para obtener detalles, consulte Cómo agregar un espacio de trabajo en una etiqueta mínima.
Para obtener detalles, consulte Cómo determinar la etiqueta de un archivo.
Para obtener detalles, consulte Cómo mover una ventana a un espacio de trabajo diferente.
Se muestra el cuadro de diálogo de confirmación de gestor de selecciones.
Figura 3-5 Cuadro de diálogo de confirmación del gestor de selecciones
Este cuadro de diálogo:
Describe por qué se necesita la confirmación de la transacción.
Identifica la etiqueta y el propietario del archivo de origen.
Identifica la etiqueta y el propietario del archivo de destino.
Identifica el tipo de datos seleccionados para transferir, el tipo de archivo de destino y el tamaño de los datos en bytes. De manera predeterminada, los datos seleccionados están visibles en formato de texto.
Indica el tiempo restante para completar la transacción. La cantidad de tiempo y el uso del temporizador depende de la configuración del sitio.
Los conjuntos de datos de varios niveles en Trusted Extensions facilitan la tarea de volver a etiquetar archivos. Para obtener más información sobre los conjuntos de datos de varios niveles, consulte Conjuntos de datos de varios niveles para volver a etiquetar archivos de Configuración y administración de Trusted Extensions.
Antes de empezar
Debe estar autorizado para cambiar la etiqueta de los archivos. Puede operar en dos etiquetas o más, una de los cuales domina la otra.
Un conjunto de datos de varios niveles se monta en al menos una de las zonas con etiquetas, y el nombre de montaje es idéntico, por ejemplo, /multi, en todas las zonas que montan el conjunto de datos.
Para permitir volver a etiquetar, el administrador debe haber realizado las siguientes tareas:
Debe iniciar una sesión de varios niveles.
Por ejemplo, para actualizar un archivo de PUBLIC a INTERNAL, cree un espacio de trabajo en la etiqueta INTERNAL.
Para obtener detalles, consulte Cómo agregar un espacio de trabajo en una etiqueta mínima.
En este ejemplo, el nombre de archivo es temppub1.
$ ls /multi/public temppub1
$ setlabel "cnf : internal" /multi/public/temppub1
$ getlabel /multi/public/temppub1 /multi/public/temppub1: "CONFIDENTIAL : INTERNAL USE ONLY"
$ mv /multi/public/temppub1 /multi/internal/temppub1
Para disminuir de nivel la fecha, primero mueva el archivo a su directorio de destino y, luego, cámbiele la fecha. Para obtener una explicación, consulte Conjuntos de datos de varios niveles para volver a etiquetar archivos de Configuración y administración de Trusted Extensions.
Antes de empezar
Debe estar autorizado para disminuir el nivel de los archivos. El administrador ha montado un conjunto de datos de varios niveles en al menos una de las zonas con etiquetas y ha usado un nombre estándar, como /multi, para todos los montajes del conjunto de datos a los que puede tener acceso y ha permitido el cambio de etiqueta en esa zona.
Por lo tanto, el administrador debe haber realizado las siguientes tareas:
Debe iniciar una sesión de varios niveles.
Por ejemplo, cree un espacio de trabajo internal.
Para obtener detalles, consulte Cómo agregar un espacio de trabajo en una etiqueta mínima.
% pfbash $
Para obtener detalles, consulte Cómo determinar la etiqueta de un archivo.
Nota - Si el archivo de origen tiene la misma etiqueta que su directorio principal, no se puede bajar de nivel. Debe mover el archivo. Mover el archivo es una operación privilegiada.
$ mv /multi/internal-directory/file /multi/public-directory
$ cd /multi/public-directory $ setlabel public file
$ getlabel /multi/public-directory/file /multi/public-directory/file: PUBLIC
Puede editar el archivo en la etiqueta PUBLIC.
Ejemplo 3-6 Cambio de la etiqueta de un directorio
En este ejemplo, un usuario autorizado cambia la etiqueta de un directorio.
En primer lugar, el usuario mueve o elimina todos los archivos del directorio.
$ getlabel /multi/conf /multi/conf: CONFIDENTIAL : NEED TO KNOW $ mv /multi/conf/* /multi/confNTK/temp
A continuación, el usuario establece la etiqueta del directorio y verifica la nueva etiqueta.
$ setlabel "Confidential : Internal Use Only" /multi/conf getlabel /multi/conf /multi/conf: "CONFIDENTIAL : INTERNAL USE ONLY"