Gestión de dispositivos en Trusted Extensions (mapa de tareas)

El siguiente mapa de tareas describe los procedimientos que se deben llevar a cabo para proteger los dispositivos en el sitio.

Tarea	Descripción	Para obtener instrucciones
Establecer o modificar la política de dispositivos.	Se modifican los privilegios necesarios para acceder a un dispositivo.	Configuring Device Policy (Task Map) de System Administration Guide: Security Services
Autorizar a los usuarios a asignar un dispositivo.	El rol de administrador de la seguridad asigna un perfil de derechos al usuario con la autorización Allocate Device.	How to Authorize Users to Allocate a Device de System Administration Guide: Security Services
Autorizar a los usuarios a asignar un dispositivo.	El rol de administrador de la seguridad asigna un perfil al usuario con las autorizaciones específicas del sitio.	Personalización de autorizaciones para dispositivos en Trusted Extensions (mapa de tareas)
Configurar un dispositivo.	Se seleccionan funciones de seguridad para proteger el dispositivo.	Cómo configurar un dispositivo en Trusted Extensions
Revocar o reclamar un dispositivo.	Usar Device Allocation Manager para hacer que un dispositivo esté disponible para su uso.	Cómo revocar o reclamar un dispositivo en Trusted Extensions
Revocar o reclamar un dispositivo.	Se utilizan los comandos de Oracle Solaris para hacer que un dispositivo esté disponible o no para su uso.	Forcibly Allocating a Device de System Administration Guide: Security Services Forcibly Deallocating a Device de System Administration Guide: Security Services
Impedir el acceso a un dispositivo asignable.	Se proporciona control de acceso específico a un dispositivo.	Ejemplo 17-4
Impedir el acceso a un dispositivo asignable.	Se rechaza el acceso de cualquier usuario a un dispositivo asignable.	Ejemplo 17-1
Proteger las impresoras y los búferes de trama.	Se garantiza que los dispositivos no asignables no se puedan asignar.	Cómo proteger los dispositivos no asignables en Trusted Extensions
Configurar dispositivos de inicio de sesión de serie.	Activar el inicio de sesiones mediante un puerto de serie.	Cómo configurar una línea de serie para el inicio de sesiones
Activar un programa reproductor de CD para su uso.	Activar un programa reproductor de audio para que se abra automáticamente al insertar un CD de música.	Cómo configurar un programa reproductor de audio para que se use en Trusted CDE
Impedir la visualización de File Manager.	Impedir la visualización de File Manager después de la asignación de un dispositivo.	Cómo impedir la visualización de File Manager después de la asignación de un dispositivo
Utilizar una secuencia de comandos device-clean nueva.	Se agrega una secuencia de comandos nueva en los lugares adecuados.	Cómo agregar una secuencia de comandos device_clean en Trusted Extensions

Cómo configurar un dispositivo en Trusted Extensions

De manera predeterminada, los dispositivos asignables tienen un rango de etiquetas de ADMIN_LOW a ADMIN_HIGH y se deben asignar para su uso. Además, los usuarios deben estar autorizados para asignar dispositivos. Estos valores predeterminados se pueden cambiar.

Los siguientes dispositivos se pueden asignar para su uso:

audion: indica un micrófono y un altavoz
cdromn: indica una unidad de CD-ROM
floppyn: indica una unidad de disquete
mag_tapen: indica una unidad de cinta (transmisión por secuencias)
rmdiskn: indica un disco extraíble, como una unidad Jaz o Zip, o medios USB conectables

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

En el menú Trusted Path, seleccione Allocate Device.
Aparece Device Allocation Manager.
Vea las configuraciones de seguridad predeterminadas.
Haga clic en Device Administration y, a continuación, resalte el dispositivo. La siguiente figura muestra un dispositivo de audio que el rol de usuario root está visualizando.
(Opcional) Restrinja el rango de etiquetas en el dispositivo.
1. Establezca la etiqueta mínima.
  Haga clic en el botón Min Label... y seleccione una etiqueta mínima del generador de etiquetas. Para obtener información sobre el generador de etiquetas, consulte Generador de etiquetas en Trusted Extensions.
2. Establezca la etiqueta máxima.
  Haga clic en el botón Max Label... y seleccione una etiqueta máxima del generador de etiquetas.
Especifique si el dispositivo se puede asignar localmente.
En el cuadro de diálogo Device Allocation Configuration, en For Allocations From Trusted Path, seleccione una opción de la lista Allocatable By. De manera predeterminada, la opción Authorized Users está activada. Por lo tanto, el dispositivo es asignable y los usuarios deben estar autorizados.
- Para hacer que el dispositivo no sea asignable, haga clic en No Users.
  Si configura una impresora, un búfer de trama u otro dispositivo que no deba ser asignable, seleccione No Users.
- Para hacer que el dispositivo sea asignable, pero que no requiera autorización, haga clic en All Users.
Especifique si el dispositivo se puede asignar de manera remota.
En la sección For Allocations From Non-Trusted Path, seleccione una opción de la lista Allocatable By. De manera predeterminada, la opción Same As Trusted Path está activada.
- Para solicitar autorización del usuario, seleccione Allocatable by Authorized Users.
- Para hacer que los usuarios remotos no puedan asignar el dispositivo, seleccione No Users.
- Para hacer que cualquiera pueda asignar el dispositivo, seleccione All Users.
Si el dispositivo es asignable, y su sitio ha creado nuevas autorizaciones para dispositivos, seleccione la autorización adecuada.
El cuadro de diálogo siguiente muestra que se requiere la autorización solaris.device.allocate para asignar el dispositivo cdrom0.

Para crear y utilizar autorizaciones para dispositivos específicas del sitio, consulte Personalización de autorizaciones para dispositivos en Trusted Extensions (mapa de tareas).
Para guardar los cambios, haga clic en OK.

Cómo revocar o reclamar un dispositivo en Trusted Extensions

Si un dispositivo no aparece en Device Allocation Manager, puede que ya se encuentre asignado o que esté en estado de error de asignación. El administrador del sistema puede recuperar el dispositivo para su uso.

Antes de empezar

Debe estar con el rol de administrador del sistema en la zona global. Este rol cuenta con la autorización solaris.device.revoke.

En el menú Trusted Path, seleccione Allocate Device.
En la siguiente figura, el dispositivo de audio ya está asignado a un usuario.
Haga clic en el botón Device Administration.
Compruebe el estado de un dispositivo.
Seleccione el nombre del dispositivo y active el campo State.
- Si el campo State dice Allocate Error State, haga clic en el botón Reclaim.
- Si el campo State dice Allocated, realice una de las siguientes acciones:
  - Solicite al usuario del campo Owner que desasigne el dispositivo.
  - Para llevar a cabo la desasignación forzosa del dispositivo, haga clic en el botón Revoke.
Cierre Device Allocation Manager.

Cómo proteger los dispositivos no asignables en Trusted Extensions

La opción No Users de la sección Allocatable By del cuadro de diálogo Device Configuration con frecuencia se utiliza para el búfer de trama y la impresora, que no requieren asignación para su uso.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

En el menú Trusted Path, seleccione Allocate Device.
En Device Allocation Manager, haga clic en el botón Device Administration.
Seleccione la impresora o el búfer de trama nuevos.
1. Para hacer que el dispositivo no sea asignable, haga clic en No Users.
2. (Opcional) Restrinja el rango de etiquetas en el dispositivo.
  1. Establezca la etiqueta mínima.
    Haga clic en el botón Min Label... y seleccione una etiqueta mínima del generador de etiquetas. Para obtener información sobre el generador de etiquetas, consulte Generador de etiquetas en Trusted Extensions.
  2. Establezca la etiqueta máxima.
    Haga clic en el botón Max Label... y seleccione una etiqueta máxima del generador de etiquetas.

Ejemplo 17-1 Impedir la asignación remota del dispositivo de audio

La opción No Users de la sección Allocatable By impide que los usuarios remotos escuchen las conversaciones en un sistema remoto.

El administrador de la seguridad configura el dispositivo de audio en Device Allocation Manager de la siguiente manera:

Device Name: audio
For Allocations From: Trusted Path
Allocatable By: Authorized Users
Authorizations: solaris.device.allocate

Device Name: audio
For Allocations From: Non-Trusted Pathh
Allocatable By: No Users

Cómo configurar una línea de serie para el inicio de sesiones

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

Abra Solaris Management Console en el ámbito Files.
Figura 17-1 Herramienta Serial Ports de Solaris Management Console
En Devices and Hardware, vaya a Serial Ports.
Escriba una contraseña cuando se le solicite. Siga la ayuda en pantalla para configurar el puerto de serie.
Para cambiar el rango de etiquetas predeterminado, abra Device Allocation Manager.
El rango de etiquetas predeterminado es de ADMIN_LOW a ADMIN_HIGH.

Ejemplo 17-2 Restricción del rango de etiquetas de un puerto de serie

Después de crear un dispositivo de inicio de sesión, el administrador de la seguridad restringe el rango de etiquetas del puerto de serie a una sola etiqueta: Public. El administrador define los siguientes valores en los cuadros de diálogo de Device Administration.

Device Name: /dev/term/[a|b]
Device Type: tty
Clean Program: /bin/true
Device Map: /dev/term/[a|b]
Minimum Label: Public
Maximum Label: Public
Allocatable By: No Users

Cómo configurar un programa reproductor de audio para que se use en Trusted CDE

El siguiente procedimiento activa a un reproductor de audio para que se abra automáticamente en un espacio de trabajo de Trusted CDE cuando un usuario inserta un CD de música. Para obtener información sobre el procedimiento del usuario, consulte el ejemplo de How to Allocate a Device in Trusted Extensions de Trusted Extensions User’s Guide.

Nota - En el espacio de trabajo de Trusted JDS, los usuarios especifican el comportamiento de los medios extraíbles del mismo modo que lo especifican en un espacio de trabajo que no es de confianza.

Antes de empezar

Debe estar con el rol de administrador del sistema en la zona global.

Edite el archivo /etc/rmmount.conf.
Utilice el editor de confianza. Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.
Agregue el programa reproductor de CD del sitio a la acción cdrom en el archivo.
```
action media action_program.so path-to-program
```

Ejemplo 17-3 Configuración de un programa reproductor de audio para su uso

En el siguiente ejemplo, el administrador del sistema hace que el programa workman esté disponible para todos los usuarios de un sistema. El programa workman es un programa reproductor de audio.

# /etc/rmmount.conf file
action cdrom action_workman.so /usr/local/bin/workman

Cómo impedir la visualización de File Manager después de la asignación de un dispositivo

De manera predeterminada, File Manager aparece cuando se monta un dispositivo. Si no monta dispositivos que tengan sistemas de archivos, quizás desee impedir la visualización de File Manager.

Antes de empezar

Debe estar con el rol de administrador del sistema en la zona global.

Edite el archivo /etc/rmmount.conf.
Utilice el editor de confianza. Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.

Encuentre las siguientes acciones filemgr:

action cdrom action_filemgr.so
action floppy action_filemgr.so

Comente la acción adecuada.
El siguiente ejemplo muestra las acciones action_filemgr.so comentadas para los dispositivos cdrom y diskette.
```
# action cdrom action_filemgr.so
# action floppy action_filemgr.so
```
Cuando un CDROM o disquete está asignado, File Manager no se visualiza.

Cómo agregar una secuencia de comandos device_clean en Trusted Extensions

Si no se especifica ninguna secuencia de comandos device_clean cuando se crea un dispositivo, se usa la secuencia de comandos predeterminada /bin/true.

Antes de empezar

Debe tener lista una secuencia de comandos que purgue todos los datos utilizables del dispositivo físico y que devuelva 0 para que el proceso se realice correctamente. Para los dispositivos con medios extraíbles, la secuencia de comandos intenta expulsar el medio si el usuario no lo hace. La secuencia de comandos coloca el dispositivo en estado de error de asignación si el medio no se expulsa. Para obtener detalles sobre los requisitos, consulte la página del comando man device_clean(5).

Debe estar con el rol de usuario root en la zona global.

Copie la secuencia de comandos en el directorio /etc/security/lib.
En el cuadro de diálogo Device Administration, especifique la ruta completa para acceder a la secuencia de comandos.
1. Abra Device Allocation Manager.
2. Haga clic en el botón Device Administration.
3. Seleccione el nombre del dispositivo y haga clic en el botón Configure.
4. En el campo Clean Program, escriba la ruta completa para acceder a la secuencia de comandos.
Guarde los cambios.

Omitir Vínculos de navegación
Salir de la Vista de impresión
	Procedimientos de administradores de Trusted Extensions Oracle Solaris 10 1/13 Information Library (Español)