管理用户和权限（任务列表）

请告诉我们如何提高我们的文档：

Your rating has been updated

感谢您的反馈！

您的反馈将非常有助于我们提供更好的文档。您是否愿意参与我们的内容改进并提供进一步的意见？

在 Trusted Extensions 中，您将承担 "Security Administrator"（安全管理员）角色，以便管理用户、授权、权限和角色。下面的任务列表介绍了您为在有标签环境中工作的用户执行的常见任务。

任务	说明	参考
修改用户的标签范围。	修改用户可在其上工作的标签。这些修改可以收缩或扩展 `label_encodings` 文件允许的范围。	如何修改用户的标签范围
创建权限配置文件以实现方便的授权。	有几种对一般用户可能很有用的授权。为有资格获得这些授权的用户创建配置文件。	如何创建权限配置文件以实现方便的授权
修改用户的缺省特权集。	从用户的缺省特权集中删除特权。	如何收缩用户的特权集
防止锁定特定用户的帐户。	可以承担角色的用户必须关闭帐户锁定。	如何防止锁定用户帐户
使用户能够重新为数据设置标签。	授予用户对信息进行降级或升级的权限。	如何允许用户更改数据的安全级别
从系统中删除用户。	完全删除用户及其进程。	如何从 Trusted Extensions 系统删除用户帐户

如何修改用户的标签范围

您可能想要扩展用户的标签范围来给予用户对管理应用程序的读取访问权。例如，可登录全局区域的用户也可以查看在特定标签中运行的系统列表。该用户可以查看但不能更改内容。

另一方面，您也可能想要收缩用户的标签范围。例如，可以将来宾用户限制到一个标签中。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

执行以下操作之一：
- 要扩展用户的标签范围，请指定一个更高级别的安全许可。
```
# usermod -K min_label=INTERNAL -K clearance=ADMIN_HIGH jdoe
```
  也可以通过降低最小标签的级别，来扩展用户的标签范围。
```
# usermod -K min_label=PUBLIC -K clearance=INTERNAL jdoe
```
  有关更多信息，请参见 usermod(1M) 和 user_attr(4) 手册页。
- 要将标签范围限制为一个标签，请使安全许可等于最小标签。
```
# usermod -K min_label=INTERNAL -K clearance=INTERNAL jdoe
```

如何创建权限配置文件以实现方便的授权

如果站点安全策略允许，您可能希望创建权限配置文件，该文件包含对可执行需要授权的任务的用户进行的授权。要使特定系统的每个用户得以授权，请参见如何修改 policy.conf 缺省值。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

创建包含以下一种或多种授权的权限配置文件。
有关逐步操作过程，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何创建权限配置文件"。

下列授权可能便于用户使用：
- solaris.device.allocate－授权用户分配外围设备，例如麦克风或 CD-ROM。
  
  缺省情况下，Oracle Solaris 用户可以对 CD-ROM 进行读取和写入。不过，在 Trusted Extensions 中，只有可以分配设备的用户能够访问 CD-ROM 驱动器。分配供使用的驱动器需要授权。因此，要在 Trusted Extensions 中对 CD-ROM 进行读取和写入，用户需要 "Allocate Device"（分配设备）授权。
- solaris.label.file.downgrade－授权用户降低文件的安全级别。
- solaris.label.file.upgrade－授权用户提高文件的安全级别。
- solaris.label.win.downgrade－授权用户从较高级别文件选择信息并将所选信息放到较低级别文件中。
- solaris.label.win.noview－授权用户移动信息而不查看所移动的信息。
- solaris.label.win.upgrade－授权用户从较低级别文件选择信息并将所选信息放到较高级别文件中。
- solaris.login.remote－授权用户远程登录。
- solaris.print.nobanner－授予用户打印无标题页打印件的权限。
- solaris.print.unlabeled－授予用户打印不显示标签的打印件的权限。
- solaris.system.shutdown－授权用户关闭系统和关闭区域。
将权限配置文件指定给用户或角色。
有关逐步操作过程，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何更改用户的安全属性"。

如何收缩用户的特权集

站点安全策略可能要求授予用户的特权要少于缺省情况下指定给用户的特权。例如，在 Sun Ray 系统上使用 Trusted Extensions 的站点，您可能希望阻止用户查看 Sun Ray 服务器上其他用户的进程。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

删除 "basic"（基本）集中的一个或多个特权。

注意 - 请勿删除 proc_fork 或 proc_exec 特权。如果没有这些特权，用户无法使用系统。
```
# usermod -K defaultpriv=basic,!proc_info,!proc_session,!file_link_any
```
通过删除 proc_info 特权，可以防止用户检查其他用户发起的任何进程。通过删除 proc_session 特权，可以防止用户检查其当前会话以外的任何进程。通过删除 file_link_any 特权，可以防止用户生成指向不归其所有的文件的硬链接。

另请参见

有关收集权限配置文件中特权限制的示例，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何创建权限配置文件"中的示例。

要限制系统中所有用户的特权，请参见示例 11-2。

如何防止锁定用户帐户

对可承担角色的所有用户执行以下过程。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

对本地用户关闭帐户锁定。
```
# usermod -K lock_after_retries=no jdoe
```
要对 LDAP 用户关闭帐户锁定，请指定 LDAP 系统信息库。
```
# usermod -S ldap -K lock_after_retries=no jdoe
```

如何允许用户更改数据的安全级别

可以授权一般用户或角色更改文件和目录或所选文本的安全级别或标签。除了具有授权外，该用户或角色还必须配置为以多个标签工作。而且，必须将有标签区域配置为允许重新设置标签。有关过程，请参见如何在有标签区域中允许重新为文件设置标签。

注意 - 更改数据的安全级别是一个特权操作。此任务仅适用于值得信任的用户。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

将"Object Label Management"（对象标签管理）权限配置文件指定给相应的用户和角色。
有关逐步操作过程，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何更改用户的安全属性"。

示例 11-5 允许用户升级而非降级文件标签

"Object Label Management"（对象标签管理）权限配置文件允许用户升级和降级标签。在此示例中，管理员允许可信用户升级数据，但不能将其降级。

管理员创建了一个基于"Object Label Management"（对象标签管理）配置文件的权限配置文件，并删除了新配置文件中的"Downgrade File Label"（降级文件标签）和 "Downgrade DragNDrop or CutPaste Info"（降级 DragNDrop 或 CutPaste 信息）授权。

# profiles -p "Object Label Management"
profiles:Object Label Management> set name="Object Upgrade"
profiles:Object Upgrade> info auths
...
profiles:Object Upgrade> remove auths="solaris.label.file.downgrade,
solaris.label.win.downgrade"
profiles:Object Upgrade> commit
profiles:Object Upgrade> end

然后，管理员将配置文件指定给可信用户。

# usermod -P +"Object Upgrade" jdoe

如何从 Trusted Extensions 系统删除用户帐户

从系统删除用户时，必须确保同时删除用户的起始目录以及用户拥有的所有对象。作为删除用户拥有的对象的替代方法，您可以将这些对象的所有权变更到一个有效用户。

您还必须确保删除与该用户关联的所有批处理作业。系统上不能保留任何属于已删除用户的对象或进程。

开始之前

您必须具有全局区域中的 "System Administrator"（系统管理员）角色。

归档用户在每个标签的起始目录。
归档用户在每个标签的邮件文件。
删除用户帐户。
```
# userdel -r jdoe
```
在每个有标签区域中，手动删除用户的目录和邮件文件。
注 - 您应当负责查找和删除用户在所有标签的临时文件，例如 /tmp 目录中的文件。

有关其他注意事项，请参见用户删除操作。

跳过导航链接
退出打印视图
	Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文)