Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Procedimientos de administradores de Trusted Extensions Oracle Solaris 10 1/13 Information Library (Español) |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
Personalización del entorno de usuario para la seguridad (mapa de tareas)
Cómo modificar atributos de etiquetas de usuarios predeterminados
Cómo modificar los valores predeterminados de policy.conf
Cómo configurar los archivos de inicio para los usuarios en Trusted Extensions
Cómo iniciar una sesión en modo a prueba de fallos en Trusted Extensions
Gestión de usuarios y derechos con Solaris Management Console (mapa de tareas)
Cómo modificar el rango de etiquetas de un usuario en Solaris Management Console
Cómo crear perfiles de derechos para autorizaciones convenientes
Cómo restringir el conjunto de privilegios de un usuario
Cómo impedir el bloqueo de cuentas de los usuarios
Cómo activar a un usuario para que cambie el nivel de seguridad de los datos
Cómo suprimir una cuenta de usuario de un sistema Trusted Extensions
Manejo de otras tareas en Solaris Management Console (mapa de tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
En el siguiente mapa de tareas se describen las tareas comunes que puede llevar a cabo para personalizar un sistema para todos los usuarios o una cuenta de usuario individual.
|
Puede modificar los atributos de etiquetas de usuarios predeterminados durante la configuración del primer sistema. Los cambios se deben copiar en cada host de Trusted Extensions.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.
Para conocer los valores predeterminados, consulte Valores predeterminados del archivo label_encodings.
Utilice el editor de confianza. Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions. En Trusted CDE, también puede utilizar la acción Edit Label Encodings. Para obtener detalles, consulte Cómo iniciar acciones administrativas de CDE en Trusted Extensions.
El archivo label_encodings debe ser el mismo en todos los hosts.
La modificación de los valores predeterminados de policy.conf en Trusted Extensions es similar a la modificación de cualquier archivo de sistema relativo a la seguridad en el SO Oracle Solaris. En Trusted Extensions, se utiliza un editor de confianza para modificar archivos de sistema.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.
Para conocer las palabras clave de Trusted Extensions consulte la Tabla 6-1.
Utilice el editor de confianza para editar el archivo del sistema. Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.
Ejemplo 7-1 Cambio de la configuración del tiempo de inactividad del sistema
En este ejemplo, el administrador de la seguridad desea que los sistemas inactivos regresen a la pantalla de inicio de sesión. El valor predeterminado bloquea los sistemas inactivos. Por lo tanto, el rol de administrador de la seguridad agrega el siguiente par palabra clave=valor IDLECMD al archivo /etc/security/policy.conf:
IDLECMD=LOGOUT
El administrador también desea que los sistemas permanezcan inactivos durante un período más corto antes de que se cierre la sesión. Por lo tanto, el rol de administrador de la seguridad agrega el siguiente par palabra clave=valor IDLETIME al archivo policy.conf:
IDLETIME=10
Así, el sistema cierra la sesión del usuario si el sistema permanece inactivo durante 10 minutos.
Ejemplo 7-2 Modificación del conjunto de privilegios básico de cada usuario
En este ejemplo, el administrador de la seguridad de una instalación de Sun Ray no quiere que los usuarios comunes vean los procesos de otros usuarios de Sun Ray. Por lo tanto, en todos los sistemas que estén configurados con Trusted Extensions, el administrador elimina proc_info desde el conjunto de privilegios básico. La configuración PRIV_DEFAULT del archivo /etc/policy.conf se modifica de la siguiente manera:
PRIV_DEFAULT=basic,!proc_info
Ejemplo 7-3 Asignación de las autorizaciones relacionadas con la impresión a todos los usuarios de un sistema
En este ejemplo, el administrador de la seguridad activa un equipo de un quiosco público para que imprima sin etiquetas si se escribe lo siguiente en el archivo del equipo /etc/security/policy.conf. La próxima vez que inicie, los trabajos de impresión de todos los usuarios de este quiosco se imprimen sin las etiquetas de las páginas.
AUTHS_GRANTED= solaris.print.unlabeled
A continuación, el administrador decide quitar las páginas de la carátula y del ubicador para ahorrar papel. Primero, se asegura de que la casilla Always Print Banners de Print Manager no esté seleccionada. Luego, modifica la entrada policy.conf para que se lea lo siguiente y reinicia. Así, todos los trabajos de impresión quedan sin etiquetas y no tienen las páginas de la carátula ni del ubicador.
AUTHS_GRANTED= solaris.print.unlabeled,solaris.print.nobanner
Los usuarios pueden introducir los archivos .copy_files y .link_files en el directorio principal en la etiqueta que corresponde a la etiqueta de sensibilidad mínima. Los usuarios también pueden modificar los archivos .copy_files y .link_files que ya existen en la etiqueta mínima de los usuarios. Este procedimiento sirve para que el rol de administrador automatice la configuración del sitio.
Antes de empezar
Debe estar con el rol de administrador del sistema en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.
Agregará los archivos .copy_files y .link_files a la lista de archivos de inicio.
# cd /etc/skel # touch .copy_files .link_files
Para obtener detalles, consulte Cómo editar archivos administrativos en Trusted Extensions.
/etc/skel/.copy_files
Consulte Archivos .copy_files y .link_files para obtener ideas. Para ver archivos de muestra, consulte el Ejemplo 7-4.
Para ver una explicación de lo que se debe incluir en los archivos de inicio, consulte Personalización de un entorno de trabajo del usuario de Administración de Oracle Solaris: administración básica.
Para obtener detalles, consulte Cómo personalizar los archivos de inicialización de usuario de Administración de Oracle Solaris: administración básica.
Si desea ver un ejemplo, consulte el Ejemplo 7-4.
P indica el shell Profile.
X representa la letra con la que comienza el nombre del shell; por ejemplo, B para un shell Bourne, K para un shell Korn, C para un shell C y P para un shell Profile.
Ejemplo 7-4 Personalización de los archivos de inicio para los usuarios
En este ejemplo, el administrador de la seguridad configura archivos para el directorio principal de cada usuario. Los archivos se encuentran en su lugar antes de que cualquier usuario inicie sesión. Los archivos están en la etiqueta mínima del usuario. En este sitio, el shell predeterminado de los usuarios es el shell C.
El administrador de la seguridad crea un archivo .copy_files y un archivo .link_files en el editor de confianza que contengan lo siguiente:
## .copy_files for regular users ## Copy these files to my home directory in every zone .mailrc .mozilla .soffice :wq
## .link_files for regular users with C shells ## Link these files to my home directory in every zone .cshrc .login .Xdefaults .Xdefaults-hostname :wq
## .link_files for regular users with Korn shells # Link these files to my home directory in every zone .ksh .profile .Xdefaults .Xdefaults-hostname :wq
En los archivos de inicialización del shell, el administrador garantiza que los trabajos de impresión de los usuarios se dirijan a una impresora con etiquetas.
## .cshrc file setenv PRINTER conf-printer1 setenv LPDEST conf-printer1
## .ksh file export PRINTER conf-printer1 export LPDEST conf-printer1
El administrador modifica el archivo .Xdefaults-home-directory-server para forzar el comando dtterm como origen del archivo .profile para un terminal nuevo.
## Xdefaults-HDserver Dtterm*LoginShell: true
Los archivos personalizados se copian en el directorio de estructura básica apropiado.
$ cp .copy_files .link_files .cshrc .login .profile \ .mailrc .Xdefaults .Xdefaults-home-directory-server \ /etc/skelC $ cp .copy_files .link_files .ksh .profile \ .mailrc .Xdefaults .Xdefaults-home-directory-server \ /etc/skelK
Errores más frecuentes
Si crea archivos .copy_files en la etiqueta más baja y, a continuación, inicia sesión en una zona superior para ejecutar el comando updatehome, y el comando falla con un error de acceso, intente realizar lo siguiente:
Verifique que desde la zona de nivel superior pueda ver el directorio de nivel inferior.
higher-level zone# ls /zone/lower-level-zone/home/username ACCESS ERROR: there are no files under that directory
Si no puede ver el directorio, reinicie el servicio de montaje automático en la zona de nivel superior:
higher-level zone# svcadm restart autofs
Salvo que use montajes de NFS para los directorios principales, el montador automático de la zona de nivel superior debe montar en bucle de retorno de /zone/lower-level-zone/export/home/username a /zone/lower-level-zone/home/username.
En Trusted Extensions, el inicio de sesión en modo a prueba de fallos está protegido. Si un usuario común personalizó los archivos de inicialización del shell y ahora no puede iniciar sesión, puede utilizar el inicio de sesión en modo a prueba de fallos para reparar los archivos del usuario.
Antes de empezar
Debe conocer la contraseña root.
Ya puede depurar los archivos de inicialización del usuario.