Personalización de autorizaciones para dispositivos en Trusted Extensions (mapa de tareas)

En el siguiente mapa de tareas, se describen los procedimientos para cambiar las autorizaciones para dispositivos en el sitio.

Cómo crear nuevas autorizaciones para dispositivos

Si un dispositivo no requiere una autorización, de manera predeterminada, todos los usuarios pueden utilizar el dispositivo. Si se requiere una autorización, solamente los usuarios autorizados pueden utilizar el dispositivo.

Para denegar el acceso total a un dispositivo asignable, consulte el Ejemplo 17-1.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

1. Edite el archivo auth_attr.

   Utilice el editor de confianza. Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.

2. Cree un encabezado para las autorizaciones nuevas.

   Utilice el nombre de dominio de Internet de la organización en orden inverso seguido de componentes arbitrarios adicionales opcionales, como el nombre de la compañía. Separe los componentes con puntos. Finalice los encabezados con un punto.

   domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html

3. Agregue entradas de autorización nuevas.

   Agregue las autorizaciones (una autorización por línea). Las líneas se dividen con fines de visualización. Se incluyen las autorizaciones grant que activan a los administradores para asignar las autorizaciones nuevas.

   domain-suffix.domain-prefix.grant:::Grant All Company Authorizations::
   help=CompanyGrant.html
   domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations::
   help=CompanyGrantDevice.html
   domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device::
   help=CompanyTapeAllocate.html
   domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device::
   help=CompanyFloppyAllocate.html

4. Guarde el archivo y cierre el editor.
5. Si usa LDAP como servicio de nombres, actualice las entradas de auth_attr en el Oracle Directory Server Enterprise Edition (servidor de directorios).

   Para obtener información, consulte la página del comando man ldapaddent(1M).

6. Agregue las autorizaciones nuevas a los perfiles de derechos adecuados. Luego, asigne los perfiles a los usuarios y los roles.

   Utilice Solaris Management Console. Asuma el rol de administrador de la seguridad y siga el procedimiento de Oracle Solaris How to Create or Change a Rights Profile de System Administration Guide: Security Services.

7. Utilice la autorización para restringir el acceso a unidades de cintas y de disquetes.

   Agregar las autorizaciones nuevas a la lista de autorizaciones requeridas en Device Allocation Manager. Para conocer el procedimiento, consulte Cómo agregar autorizaciones específicas del sitio a un dispositivo en Trusted Extensions.

Ejemplo 17-4 Creación de autorizaciones para dispositivos específicas

Un administrador de la seguridad de NewCo necesita establecer autorizaciones para dispositivos específicas para la compañía.

En primer lugar, el administrador escribe los siguientes archivos de ayuda y los coloca en el directorio /usr/lib/help/auths/locale/C:

Newco.html
NewcoGrant.html
NewcoGrantDevice.html
NewcoTapeAllocate.html
NewcoFloppyAllocate.html

Luego, el administrador agrega un encabezado a todas las autorizaciones para newco.com en el archivo auth_attr.

# auth_attr file
com.newco.:::NewCo Header::help=Newco.html

A continuación, el administrador agrega entradas de autorización al archivo:

com.newco.grant:::Grant All NewCo Authorizations::
help=NewcoGrant.html
com.newco.grant.device:::Grant NewCo Device Authorizations::
help=NewcoGrantDevice.html
com.newco.device.allocate.tape:::Allocate Tape Device::
help=NewcoTapeAllocate.html
com.newco.device.allocate.floppy:::Allocate Floppy Device::
help=NewcoFloppyAllocate.html

Las líneas se dividen con fines de visualización.

Las entradas auth_attr crean las siguientes autorizaciones:

• Una autorización para conceder todas las autorizaciones de NewCo

• Una autorización para conceder las autorizaciones para dispositivos de NewCo

• Una autorización para asignar una unidad de cinta

• Una autorización para asignar una unidad de disquete

Ejemplo 17-5 Creación de autorizaciones Trusted Path y Non-Trusted Path

De manera predeterminada, la autorización Allocate Devices activa la asignación desde adentro y desde afuera de Trusted Path.

En el siguiente ejemplo, la política de seguridad del sitio requiere la restricción de la asignación de CD-ROM remota. El administrador de la seguridad crea la autorización com.someco.device.cdrom.local. Esta autorización corresponde a las unidades de CD-ROM que se asignan con Trusted Path. La autorización com.someco.device.cdrom.remote corresponde a los pocos usuarios que tienen permiso para asignar una unidad de CD-ROM fuera de Trusted Path.

El administrador de la seguridad crea los archivos de ayuda, agrega las autorizaciones a la base de datos auth_attr, agrega las autorizaciones para los dispositivos y, luego, aplica las autorizaciones en los perfiles de derechos. Los perfiles se asignan a los usuarios que tienen permiso para asignar dispositivos.

• A continuación, se muestran las entradas de base de datos auth_attr:

  com.someco.:::SomeCo Header::help=Someco.html
  com.someco.grant:::Grant All SomeCo Authorizations::
  help=SomecoGrant.html
  com.someco.grant.device:::Grant SomeCo Device Authorizations::
  help=SomecoGrantDevice.html
  com.someco.device.cdrom.local:::Allocate Local CD-ROM Device::
  help=SomecoCDAllocateLocal.html
  com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device::
  help=SomecoCDAllocateRemote.html

• A continuación, se muestra la asignación de Device Allocation Manager:

  Trusted Path activa a los usuarios autorizados para que utilicen Device Allocation Manager al asignar la unidad de CD-ROM local.

  Device Name: cdrom_0
  For Allocations From: Trusted Path
  Allocatable By: Authorized Users
  Authorizations: com.someco.device.cdrom.local

  Non-Trusted Path activa a los usuarios para que asignen un dispositivo de manera remota mediante el comando allocate.

  Device Name: cdrom_0
  For Allocations From: Non-Trusted Path
  Allocatable By: Authorized Users
  Authorizations: com.someco.device.cdrom.remote

• A continuación, se muestran las entradas de derechos de perfiles:

  # Local Allocator profile
  com.someco.device.cdrom.local
  
  # Remote Allocator profile
  com.someco.device.cdrom.remote

• A continuación, se muestran los perfiles de derechos de los usuarios autorizados:

  # List of profiles for regular authorized user
  Local Allocator Profile
  ...
  
  # List of profiles for role or authorized user
  Remote Allocator Profile
  ...

Cómo agregar autorizaciones específicas del sitio a un dispositivo en Trusted Extensions

Antes de empezar

Debe estar con el rol de administrador de la seguridad o con un rol que incluya la autorización Configure Device Attributes. Ya debe haber creado las autorizaciones específicas del sitio, como se describe en Cómo crear nuevas autorizaciones para dispositivos.

1. Siga el procedimiento de Cómo configurar un dispositivo en Trusted Extensions.
   1. Seleccione un dispositivo que deba protegerse con las autorizaciones nuevas.
   2. Haga clic en el botón Device Administration.
   3. Haga clic en el botón Authorizations.

      Las autorizaciones nuevas se muestran en la lista Not Required.

   4. Agregue las autorizaciones nuevas a la lista de autorizaciones Required.
2. Para guardar los cambios, haga clic en OK.

Cómo asignar autorizaciones para dispositivos

La autorización Allocate Device activa a los usuarios para que asignen un dispositivo. Las autorizaciones Allocate Device y Revoke or Reclaim Device son adecuadas para los roles administrativos.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

Si los perfiles existentes no son adecuados, el administrador de la seguridad puede crear un perfil nuevo. Para ver un ejemplo, consulte Cómo crear perfiles de derechos para autorizaciones convenientes.

• Asigne al usuario un perfil de derechos que cuente con la autorización Allocate Device.

  Si necesita asistencia, consulte la ayuda en pantalla. Para conocer el procedimiento paso a paso, consulte How to Change the RBAC Properties of a User de System Administration Guide: Security Services.

  Los siguientes perfiles de derechos activan un rol para que asigne dispositivos:

  • All Authorizations

  • Device Management

  • Media Backup

  • Object Label Management

  • Software Installation

  Los siguientes perfiles de derechos activan un rol para que revoque o reclame dispositivos:

  • All Authorizations

  • Device Management

  Los siguientes perfiles de derechos activan un rol para que cree o configure dispositivos:

  • All Authorizations

  • Device Security

Ejemplo 17-6 Asignación de nuevas autorizaciones para dispositivos

En este ejemplo, el administrador de la seguridad configura las nuevas autorizaciones para dispositivos del sistema y asigna el perfil de derechos con las autorizaciones nuevas a usuarios de confianza. El administrador de la seguridad realiza lo siguiente:

1. Crea nuevas autorizaciones para dispositivos, como se establece en Cómo crear nuevas autorizaciones para dispositivos

2. En Device Allocation Manager, agrega las nuevas autorizaciones para dispositivos a las unidades de cintas y de disquetes

3. Coloca las autorizaciones nuevas en el perfil de derechos NewCo Allocation

4. Agrega el perfil de derechos NewCo Allocation a los perfiles de usuarios y roles que están autorizados para asignar unidades de cintas y de disquetes

Así, los usuarios y los roles autorizados pueden usar las unidades de cinta y de disquetes del sistema.