Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Procedimientos de administradores de Trusted Extensions Oracle Solaris 10 1/13 Information Library (Español) |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
Control de dispositivos en Trusted Extensions (mapa de tareas)
Uso de dispositivos en Trusted Extensions (mapa de tareas)
Gestión de dispositivos en Trusted Extensions (mapa de tareas)
Cómo configurar un dispositivo en Trusted Extensions
Cómo revocar o reclamar un dispositivo en Trusted Extensions
Cómo proteger los dispositivos no asignables en Trusted Extensions
Cómo configurar una línea de serie para el inicio de sesiones
Cómo configurar un programa reproductor de audio para que se use en Trusted CDE
Cómo impedir la visualización de File Manager después de la asignación de un dispositivo
Cómo agregar una secuencia de comandos device_clean en Trusted Extensions
Personalización de autorizaciones para dispositivos en Trusted Extensions (mapa de tareas)
Cómo crear nuevas autorizaciones para dispositivos
Cómo agregar autorizaciones específicas del sitio a un dispositivo en Trusted Extensions
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
En el siguiente mapa de tareas, se describen los procedimientos para cambiar las autorizaciones para dispositivos en el sitio.
|
Si un dispositivo no requiere una autorización, de manera predeterminada, todos los usuarios pueden utilizar el dispositivo. Si se requiere una autorización, solamente los usuarios autorizados pueden utilizar el dispositivo.
Para denegar el acceso total a un dispositivo asignable, consulte el Ejemplo 17-1.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Utilice el editor de confianza. Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.
Utilice el nombre de dominio de Internet de la organización en orden inverso seguido de componentes arbitrarios adicionales opcionales, como el nombre de la compañía. Separe los componentes con puntos. Finalice los encabezados con un punto.
domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html
Agregue las autorizaciones (una autorización por línea). Las líneas se dividen con fines de visualización. Se incluyen las autorizaciones grant que activan a los administradores para asignar las autorizaciones nuevas.
domain-suffix.domain-prefix.grant:::Grant All Company Authorizations:: help=CompanyGrant.html domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations:: help=CompanyGrantDevice.html domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device:: help=CompanyTapeAllocate.html domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device:: help=CompanyFloppyAllocate.html
Para obtener información, consulte la página del comando man ldapaddent(1M).
Utilice Solaris Management Console. Asuma el rol de administrador de la seguridad y siga el procedimiento de Oracle Solaris How to Create or Change a Rights Profile de System Administration Guide: Security Services.
Agregar las autorizaciones nuevas a la lista de autorizaciones requeridas en Device Allocation Manager. Para conocer el procedimiento, consulte Cómo agregar autorizaciones específicas del sitio a un dispositivo en Trusted Extensions.
Ejemplo 17-4 Creación de autorizaciones para dispositivos específicas
Un administrador de la seguridad de NewCo necesita establecer autorizaciones para dispositivos específicas para la compañía.
En primer lugar, el administrador escribe los siguientes archivos de ayuda y los coloca en el directorio /usr/lib/help/auths/locale/C:
Newco.html NewcoGrant.html NewcoGrantDevice.html NewcoTapeAllocate.html NewcoFloppyAllocate.html
Luego, el administrador agrega un encabezado a todas las autorizaciones para newco.com en el archivo auth_attr.
# auth_attr file com.newco.:::NewCo Header::help=Newco.html
A continuación, el administrador agrega entradas de autorización al archivo:
com.newco.grant:::Grant All NewCo Authorizations:: help=NewcoGrant.html com.newco.grant.device:::Grant NewCo Device Authorizations:: help=NewcoGrantDevice.html com.newco.device.allocate.tape:::Allocate Tape Device:: help=NewcoTapeAllocate.html com.newco.device.allocate.floppy:::Allocate Floppy Device:: help=NewcoFloppyAllocate.html
Las líneas se dividen con fines de visualización.
Las entradas auth_attr crean las siguientes autorizaciones:
Una autorización para conceder todas las autorizaciones de NewCo
Una autorización para conceder las autorizaciones para dispositivos de NewCo
Una autorización para asignar una unidad de cinta
Una autorización para asignar una unidad de disquete
Ejemplo 17-5 Creación de autorizaciones Trusted Path y Non-Trusted Path
De manera predeterminada, la autorización Allocate Devices activa la asignación desde adentro y desde afuera de Trusted Path.
En el siguiente ejemplo, la política de seguridad del sitio requiere la restricción de la asignación de CD-ROM remota. El administrador de la seguridad crea la autorización com.someco.device.cdrom.local. Esta autorización corresponde a las unidades de CD-ROM que se asignan con Trusted Path. La autorización com.someco.device.cdrom.remote corresponde a los pocos usuarios que tienen permiso para asignar una unidad de CD-ROM fuera de Trusted Path.
El administrador de la seguridad crea los archivos de ayuda, agrega las autorizaciones a la base de datos auth_attr, agrega las autorizaciones para los dispositivos y, luego, aplica las autorizaciones en los perfiles de derechos. Los perfiles se asignan a los usuarios que tienen permiso para asignar dispositivos.
A continuación, se muestran las entradas de base de datos auth_attr:
com.someco.:::SomeCo Header::help=Someco.html com.someco.grant:::Grant All SomeCo Authorizations:: help=SomecoGrant.html com.someco.grant.device:::Grant SomeCo Device Authorizations:: help=SomecoGrantDevice.html com.someco.device.cdrom.local:::Allocate Local CD-ROM Device:: help=SomecoCDAllocateLocal.html com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device:: help=SomecoCDAllocateRemote.html
A continuación, se muestra la asignación de Device Allocation Manager:
Trusted Path activa a los usuarios autorizados para que utilicen Device Allocation Manager al asignar la unidad de CD-ROM local.
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.local
Non-Trusted Path activa a los usuarios para que asignen un dispositivo de manera remota mediante el comando allocate.
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.remote
A continuación, se muestran las entradas de derechos de perfiles:
# Local Allocator profile com.someco.device.cdrom.local # Remote Allocator profile com.someco.device.cdrom.remote
A continuación, se muestran los perfiles de derechos de los usuarios autorizados:
# List of profiles for regular authorized user Local Allocator Profile ... # List of profiles for role or authorized user Remote Allocator Profile ...
Antes de empezar
Debe estar con el rol de administrador de la seguridad o con un rol que incluya la autorización Configure Device Attributes. Ya debe haber creado las autorizaciones específicas del sitio, como se describe en Cómo crear nuevas autorizaciones para dispositivos.
Las autorizaciones nuevas se muestran en la lista Not Required.
La autorización Allocate Device activa a los usuarios para que asignen un dispositivo. Las autorizaciones Allocate Device y Revoke or Reclaim Device son adecuadas para los roles administrativos.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Si los perfiles existentes no son adecuados, el administrador de la seguridad puede crear un perfil nuevo. Para ver un ejemplo, consulte Cómo crear perfiles de derechos para autorizaciones convenientes.
Si necesita asistencia, consulte la ayuda en pantalla. Para conocer el procedimiento paso a paso, consulte How to Change the RBAC Properties of a User de System Administration Guide: Security Services.
Los siguientes perfiles de derechos activan un rol para que asigne dispositivos:
All Authorizations
Device Management
Media Backup
Object Label Management
Software Installation
Los siguientes perfiles de derechos activan un rol para que revoque o reclame dispositivos:
All Authorizations
Device Management
Los siguientes perfiles de derechos activan un rol para que cree o configure dispositivos:
All Authorizations
Device Security
Ejemplo 17-6 Asignación de nuevas autorizaciones para dispositivos
En este ejemplo, el administrador de la seguridad configura las nuevas autorizaciones para dispositivos del sistema y asigna el perfil de derechos con las autorizaciones nuevas a usuarios de confianza. El administrador de la seguridad realiza lo siguiente:
Crea nuevas autorizaciones para dispositivos, como se establece en Cómo crear nuevas autorizaciones para dispositivos
En Device Allocation Manager, agrega las nuevas autorizaciones para dispositivos a las unidades de cintas y de disquetes
Coloca las autorizaciones nuevas en el perfil de derechos NewCo Allocation
Agrega el perfil de derechos NewCo Allocation a los perfiles de usuarios y roles que están autorizados para asignar unidades de cintas y de disquetes
Así, los usuarios y los roles autorizados pueden usar las unidades de cinta y de disquetes del sistema.