跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域
14. 在 Trusted Extensions 中管理和挂载文件
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
在 Trusted Extensions 中操作设备(任务列表)
在 Trusted Extensions 中使用设备(任务列表)
在 Trusted Extensions 中管理设备(任务列表)
如何在 Trusted Extensions 中撤销或回收设备
如何在 Trusted Extensions 中保护不可分配的设备
如何在 Trusted Extensions 中添加 Device_Clean (设备清除)脚本
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
下面的任务列表描述了在您的站点更改设备授权的过程。
|
如果一个设备不需要授权,那么缺省情况下,所有用户都能使用此设备。如果需要授权,则只有经授权的用户才能使用此设备。
要拒绝对可分配设备的所有访问,请参见示例 21-1。要创建并使用新授权,请参见示例 21-3。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
帮助文件为 HTML 格式。命名约定为 AuthName.html,如 DeviceAllocateCD.html 中所示。
$ auths add -t "Authorization description" -h /full/path/to/helpfile.html authorization-name
$ profiles rights-profile profiles:rights-profile > add auths="authorization-name"...
# usermod -P "rights-profile" username # rolemod -P "rights-profile" rolename
在 "Device Manager"(设备管理器)中,将新授权添加到所需授权列表中。有关过程,请参见如何在 Trusted Extensions 中将特定于站点的授权添加到设备。
示例 21-2 创建细粒度设备授权
在此示例中,NewCo 的安全管理员需要为公司构建细粒度设备授权。
首先,管理员将创建以下帮助文件:
Newco.html NewcoDevAllocateCDVD.html NewcoDevAllocateUSB.html
接下来,管理员将创建一个模板帮助文件,可以基于该文件复制其他帮助文件,然后进行修改。
<HTML> -- Copyright 2012 Newco. All rights reserved. -- NewcoDevAllocateCDVD.html --> <HEAD> <TITLE>Newco Allocate CD or DVD Authorization</TITLE> </HEAD> <BODY> The com.newco.dev.allocate.cdvd authorization enables you to allocate the CD drive on your system for your exclusive use. <p> The use of this authorization by a user other than the authorized account is a security violation. <p> </BODY> </HTML>
创建帮助文件后,管理员使用 auths 命令创建每个设备授权。由于授权应用于整个公司,因此管理员将授权置于 LDAP 系统信息库中。该命令包含到帮助文件的路径名。
管理员创建了两个设备授权和一个 Newco 授权标题。
一个授权用于授权用户分配 CD-ROM 或 DVD 驱动器。
# auths add -S ldap -t "Allocate CD or DVD" \ -h /docs/helps/NewcoDevAllocateCDVD.html com.newco.dev.allocate.cdvd
一个授权用于授权用户分配 USB 设备。
# auths add -S ldap -t "Allocate USB" \ -h /docs/helps/NewcoDevAllocateUSB.html com.newco.dev.allocate.usb
Newco 授权标题标识所有 Newco 授权。
# auths add -S ldap -t "Newco Auth Header" \ -h /docs/helps/Newco.html com.newco
示例 21-3 创建并指定可信路径和非可信路径设备授权
缺省情况下,"Allocate Devices"(分配设备)授权允许从可信路径和可信路径外进行分配。
在下面的示例中,站点安全策略要求限制远程 CD-ROM 和 DVD 分配。安全管理员创建了 com.newco.dev.allocate.cdvd.local 授权。该授权适用于使用可信路径分配的 CD-ROM 和 DVD 驱动器。com.newco.dev.allocate.cdvd.remote 授权适用于少数用户,他们可以在可信路径外分配 CD-ROM 或 DVD 驱动器。
安全管理员创建帮助文件、将设备授权添加到 auth_attr 数据库、将授权添加到设备,然后将授权置于权限配置文件中。root 角色将配置文件指定给允许分配设备的用户。
以下命令将设备授权添加到 auth_attr 数据库:
$ auths add -S ldap -t "Allocate Local DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDLocal.html \ com.newco.dev.allocate.cdvd.local $ auths add -S ldap -t "Allocate Remote DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDRemote.html \ com.newco.dev.allocate.cdvd.remote
下面显示 "Device Manager"(设备管理器)分配:
CD-ROM 驱动器的本地分配受可信路径保护。
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.local
远程分配不受可信路径保护,因此,远程用户必须可信。最后,管理员将仅为两个角色授权远程分配。
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.remote
以下命令为这些授权创建 Newco 权限配置文件,并将授权添加到配置文件:
$ profiles -S ldap "Remote Allocator" profiles:Remote Allocator > set desc="Allocate Remote CDs and DVDs" profiles:Remote Allocator > set help="/docs/helps/NewcoDevRemoteCDVD.html" profiles:Remote Allocator > add auths="com.newco.dev.allocate.cdvd.remote" profiles:Remote Allocator > end profiles:Remote Allocator > exit
$ profiles -S ldap "Local Only Allocator" profiles:Local Only Allocator > set desc="Allocate Local CDs and DVDs" profiles:Local Only Allocator > set help="/docs/helps/NewcoDevLocalCDVD.html" profiles:Local Only Allocator > add auths="com.newco.dev.allocate.cdvd.local" profiles:Local Only Allocator > end profiles:Local Only Allocator > exit
以下命令将权限配置文件指定给授权的用户。root 角色指定配置文件。在该站点上,仅授权角色可远程分配外围设备。
# usermod -P "Local Only Allocator" jdoe # usermod -P "Local Only Allocator" kdoe
# rolemod -P "Remote Allocator" secadmin # rolemod -P "Remote Allocator" sysadmin
开始之前
您必须是 "Security Administrator"(安全管理员)角色,或者是具有 "Configure Device Attributes"(配置设备属性)授权的角色。您必须已创建了特定于站点的授权,如如何创建新的设备授权中所述。
新授权显示在 "Not Required"(非必需)列表中。
"Allocate Device"(分配设备)授权允许用户分配设备。"Allocate Device"(分配设备)授权和 "Revoke or Reclaim Device"(撤销或回收设备)授权适用于管理角色。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
如果现有的配置文件不适用,安全管理员可以创建新的配置文件。有关示例,请参见如何创建权限配置文件以实现方便的授权。
有关逐步操作过程,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何更改用户的安全属性"。
"All Authorizations"(所有授权)
"Device Management"(设备管理)
"Media Backup"(介质备份)
"Object Label Management"(对象标签管理)
"Software Installation"(软件安装)
"All Authorizations"(所有授权)
"Device Management"(设备管理)
"All Authorizations"(所有授权)
"Device Security"(设备安全)
示例 21-2 显示如何指定授权。