Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Procedimientos de administradores de Trusted Extensions Oracle Solaris 10 1/13 Information Library (Español) |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
Control de dispositivos en Trusted Extensions (mapa de tareas)
Uso de dispositivos en Trusted Extensions (mapa de tareas)
Gestión de dispositivos en Trusted Extensions (mapa de tareas)
Cómo configurar un dispositivo en Trusted Extensions
Cómo revocar o reclamar un dispositivo en Trusted Extensions
Cómo proteger los dispositivos no asignables en Trusted Extensions
Cómo configurar una línea de serie para el inicio de sesiones
Cómo configurar un programa reproductor de audio para que se use en Trusted CDE
Cómo impedir la visualización de File Manager después de la asignación de un dispositivo
Cómo agregar una secuencia de comandos device_clean en Trusted Extensions
Personalización de autorizaciones para dispositivos en Trusted Extensions (mapa de tareas)
Cómo crear nuevas autorizaciones para dispositivos
Cómo agregar autorizaciones específicas del sitio a un dispositivo en Trusted Extensions
Cómo asignar autorizaciones para dispositivos
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
El siguiente mapa de tareas describe los procedimientos que se deben llevar a cabo para proteger los dispositivos en el sitio.
|
De manera predeterminada, los dispositivos asignables tienen un rango de etiquetas de ADMIN_LOW a ADMIN_HIGH y se deben asignar para su uso. Además, los usuarios deben estar autorizados para asignar dispositivos. Estos valores predeterminados se pueden cambiar.
Los siguientes dispositivos se pueden asignar para su uso:
audion: indica un micrófono y un altavoz
cdromn: indica una unidad de CD-ROM
floppyn: indica una unidad de disquete
mag_tapen: indica una unidad de cinta (transmisión por secuencias)
rmdiskn: indica un disco extraíble, como una unidad Jaz o Zip, o medios USB conectables
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Aparece Device Allocation Manager.
Haga clic en Device Administration y, a continuación, resalte el dispositivo. La siguiente figura muestra un dispositivo de audio que el rol de usuario root está visualizando.
Haga clic en el botón Min Label... y seleccione una etiqueta mínima del generador de etiquetas. Para obtener información sobre el generador de etiquetas, consulte Generador de etiquetas en Trusted Extensions.
Haga clic en el botón Max Label... y seleccione una etiqueta máxima del generador de etiquetas.
En el cuadro de diálogo Device Allocation Configuration, en For Allocations From Trusted Path, seleccione una opción de la lista Allocatable By. De manera predeterminada, la opción Authorized Users está activada. Por lo tanto, el dispositivo es asignable y los usuarios deben estar autorizados.
Si configura una impresora, un búfer de trama u otro dispositivo que no deba ser asignable, seleccione No Users.
En la sección For Allocations From Non-Trusted Path, seleccione una opción de la lista Allocatable By. De manera predeterminada, la opción Same As Trusted Path está activada.
El cuadro de diálogo siguiente muestra que se requiere la autorización solaris.device.allocate para asignar el dispositivo cdrom0.
Para crear y utilizar autorizaciones para dispositivos específicas del sitio, consulte Personalización de autorizaciones para dispositivos en Trusted Extensions (mapa de tareas).
Si un dispositivo no aparece en Device Allocation Manager, puede que ya se encuentre asignado o que esté en estado de error de asignación. El administrador del sistema puede recuperar el dispositivo para su uso.
Antes de empezar
Debe estar con el rol de administrador del sistema en la zona global. Este rol cuenta con la autorización solaris.device.revoke.
En la siguiente figura, el dispositivo de audio ya está asignado a un usuario.
Seleccione el nombre del dispositivo y active el campo State.
La opción No Users de la sección Allocatable By del cuadro de diálogo Device Configuration con frecuencia se utiliza para el búfer de trama y la impresora, que no requieren asignación para su uso.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Haga clic en el botón Min Label... y seleccione una etiqueta mínima del generador de etiquetas. Para obtener información sobre el generador de etiquetas, consulte Generador de etiquetas en Trusted Extensions.
Haga clic en el botón Max Label... y seleccione una etiqueta máxima del generador de etiquetas.
Ejemplo 17-1 Impedir la asignación remota del dispositivo de audio
La opción No Users de la sección Allocatable By impide que los usuarios remotos escuchen las conversaciones en un sistema remoto.
El administrador de la seguridad configura el dispositivo de audio en Device Allocation Manager de la siguiente manera:
Device Name: audio For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: solaris.device.allocate
Device Name: audio For Allocations From: Non-Trusted Pathh Allocatable By: No Users
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Figura 17-1 Herramienta Serial Ports de Solaris Management Console
Escriba una contraseña cuando se le solicite. Siga la ayuda en pantalla para configurar el puerto de serie.
El rango de etiquetas predeterminado es de ADMIN_LOW a ADMIN_HIGH.
Ejemplo 17-2 Restricción del rango de etiquetas de un puerto de serie
Después de crear un dispositivo de inicio de sesión, el administrador de la seguridad restringe el rango de etiquetas del puerto de serie a una sola etiqueta: Public. El administrador define los siguientes valores en los cuadros de diálogo de Device Administration.
Device Name: /dev/term/[a|b] Device Type: tty Clean Program: /bin/true Device Map: /dev/term/[a|b] Minimum Label: Public Maximum Label: Public Allocatable By: No Users
El siguiente procedimiento activa a un reproductor de audio para que se abra automáticamente en un espacio de trabajo de Trusted CDE cuando un usuario inserta un CD de música. Para obtener información sobre el procedimiento del usuario, consulte el ejemplo de How to Allocate a Device in Trusted Extensions de Trusted Extensions User’s Guide.
Nota - En el espacio de trabajo de Trusted JDS, los usuarios especifican el comportamiento de los medios extraíbles del mismo modo que lo especifican en un espacio de trabajo que no es de confianza.
Antes de empezar
Debe estar con el rol de administrador del sistema en la zona global.
Utilice el editor de confianza. Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.
action media action_program.so path-to-program
Ejemplo 17-3 Configuración de un programa reproductor de audio para su uso
En el siguiente ejemplo, el administrador del sistema hace que el programa workman esté disponible para todos los usuarios de un sistema. El programa workman es un programa reproductor de audio.
# /etc/rmmount.conf file action cdrom action_workman.so /usr/local/bin/workman
De manera predeterminada, File Manager aparece cuando se monta un dispositivo. Si no monta dispositivos que tengan sistemas de archivos, quizás desee impedir la visualización de File Manager.
Antes de empezar
Debe estar con el rol de administrador del sistema en la zona global.
Utilice el editor de confianza. Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.
action cdrom action_filemgr.so action floppy action_filemgr.so
El siguiente ejemplo muestra las acciones action_filemgr.so comentadas para los dispositivos cdrom y diskette.
# action cdrom action_filemgr.so # action floppy action_filemgr.so
Cuando un CDROM o disquete está asignado, File Manager no se visualiza.
Si no se especifica ninguna secuencia de comandos device_clean cuando se crea un dispositivo, se usa la secuencia de comandos predeterminada /bin/true.
Antes de empezar
Debe tener lista una secuencia de comandos que purgue todos los datos utilizables del dispositivo físico y que devuelva 0 para que el proceso se realice correctamente. Para los dispositivos con medios extraíbles, la secuencia de comandos intenta expulsar el medio si el usuario no lo hace. La secuencia de comandos coloca el dispositivo en estado de error de asignación si el medio no se expulsa. Para obtener detalles sobre los requisitos, consulte la página del comando man device_clean(5).
Debe estar con el rol de usuario root en la zona global.