Puede crear o cambiar un perfil de derechos cuando los perfiles de derechos proporcionados no contienen la recopilación de derechos que necesita. Podría crear un perfil de derechos para los usuarios con derechos limitados para una aplicación nueva o por otros motivos.
Los perfiles de derechos que Oracle Solaris proporciona son de solo lectura. Puede clonar un perfil de derechos proporcionado para modificarlo si su colección de derechos no es suficiente. Por ejemplo, es posible que quiera agregar la autorización solaris.admin.edit/path-to-system-file a un perfil de derechos proporcionado. Para obtener información general, consulte Más información sobre los perfiles de derechos.
Puede crear una autorización cuando las autorizaciones proporcionadas no incluyen las autorizaciones que están codificadas en sus aplicaciones con privilegios. No puede cambiar una autorización existente. Para obtener información general, consulte Más información sobre las autorizaciones del usuario.
Antes de empezar
Para crear un perfil de derechos, debe convertirse en un administrador con el perfil de derechos de seguridad de archivos asignado. Para obtener más información, consulte Uso de sus derechos administrativos asignados.
# profiles -p [-S repository] profile-name
Se le pedirá una descripción.
Use el subcomando set para las propiedades de perfil que tengan un único valor, como set desc. Use el subcomando add para las propiedades que tengan más de un valor, como add cmd.
El siguiente comando crea el perfil de derechos del módulo de autenticación conectable en Cómo asignar una política del PAM modificada de Gestión de Kerberos y otros servicios de autenticación en Oracle Solaris 11.2 . El nombre se acorta con fines de visualización.
# profiles -p -S LDAP "Site PAM LDAP" profiles:Site PAM LDAP> set desc="Profile which sets pam_policy=ldap" ...LDAP> set pam_policy=ldap ...LDAP> commit ...LDAP> end ...LDAP> exit
En este ejemplo, el administrador crea un perfil de derechos para usuarios Sun Ray en el repositorio LDAP. El administrador ya ha creado una versión Sun Ray del perfil de derechos de usuario de Solaris básico y ha eliminado todos los derechos de perfiles del archivo policy.conf en el servidor Sun Ray.
# profiles -p -S LDAP "Sun Ray Users" profiles:Sun Ray Users> set desc="For all users of Sun Rays" ... Ray Users> add profiles="Sun Ray Basic User" ... Ray Users> set defaultpriv="basic,!proc_info" ... Ray Users> set limitpriv="basic,!proc_info" ... Ray Users> end ... Ray Users> exit
El administrador verifica el contenido.
# profiles -p "Sun Ray Users" info
Found profile in LDAP repository.
name=Sun Ray Users
desc=For all users of Sun Rays
defaultpriv=basic,!proc_info,
limitpriv=basic,!proc_info,
profiles=Sun Ray Basic User
Ejemplo 5-7 Creación de un perfil de derechos que incluye comandos con privilegios
En este ejemplo, el administrador de seguridad agrega privilegios a una aplicación en un perfil de derechos que crea el administrador. La aplicación admite privilegios.
# profiles -p SiteApp profiles:SiteApp> set desc="Site application" profiles:SiteApp> add cmd="/opt/site-app/bin/site-cmd" profiles:SiteApp:site-cmd> add privs="proc_fork,proc_taskid" profiles:SiteApp:site-cmd> end profiles:SiteApp> exit
Para verificar, el administrador selecciona site-cmd.
# profiles -p SiteApp "select cmd=/opt/site-app/bin/site-cmd; info;end" Found profile in files repository. id=/opt/site-app/bin/site-cmd privs=proc_fork,proc_taskid
Pasos siguientes
Asigne el perfil de derechos a un usuario o rol confiable. Para ver ejemplos, consulte Example 3–10 y Example 3–19.
Véase también
Para solucionar problemas en la asignación de derechos, consulte Cómo resolver problemas de las asignaciones de derechos. Para obtener información general, consulte Orden de búsqueda para derechos asignados.
Antes de empezar
Para crear o cambiar un perfil de derechos, debe convertirse en un administrador con el perfil de derechos de seguridad de archivos asignado. Para obtener más información, consulte Uso de sus derechos administrativos asignados.
# profiles -p [-S repository] existing-profile-name
Agregue el perfil de derechos existente como perfil de derechos suplementario al nuevo perfil; luego, agregue las mejoras. Consulte Example 5–8.
Consulte Example 5–9.
En este ejemplo, el administrador agrega una autorización solaris.admin.edit a un perfil de derechos de gestión de IPsec de sitio para que el rol root no sea necesario. Este perfil de derechos se asignará sólo a los usuarios que son de confianza para modificar el archivo /etc/hosts.
El administrador verifica que el perfil de derechos de gestión de IPsec de red no se puede modificar.
# profiles -p "Network IPsec Management" profiles:Network IPsec Management> add auths="solaris.admin.edit/etc/hosts" Cannot add. Profile cannot be modified
El administrador crea un perfil de derechos que incluye el perfil de gestión de IPsec de red.
# profiles -p "Total IPsec Mgt" ... IPsec Mgt> set desc="Network IPsec Mgt plus /etc/hosts" ... IPsec Mgt> add profiles="Network IPsec Management" ... IPsec Mgt> add auths="solaris.admin.edit/etc/hosts" ... IPsec Mgt> end ... IPsec Mgt> exit
El administrador verifica el contenido.
# profiles -p "Total IPsec Mgt" info
name=Total IPsec Mgt
desc=Network IPsec Mgt plus /etc/hosts
auths=solaris.admin.edit/etc/hosts
profiles=Network IPsec Management
En este ejemplo, el administrador separa la gestión de las propiedades del servicio VSCAN de la capacidad para activar y desactivar el servicio.
En primer lugar, el administrador muestra el contenido del perfil de derechos que proporciona Oracle Solaris.
# profiles -p "VSCAN Management" info
name=VSCAN Management
desc=Manage the VSCAN service
auths=solaris.smf.manage.vscan,solaris.smf.value.vscan,
solaris.smf.modify.application
help=RtVscanMngmnt.html
Luego, el administrador crea un perfil de derechos que puede activar y desactivar el servicio.
# profiles -p "VSCAN Management" profiles:VSCAN Management> set name="VSCAN Control" profiles:VSCAN Control> set desc="Start and stop the VSCAN service" ... VSCAN Control> remove auths="solaris.smf.value.vscan" ... VSCAN Control> remove auths="solaris.smf.modify.application" ... VSCAN Control> end ... VSCAN Control> exit
Luego, el administrador crea un perfil de derechos que puede cambiar las propiedades del servicio.
# profiles -p "VSCAN Management" profiles:VSCAN Management> set name="VSCAN Properties" profiles:VSCAN Properties> set desc="Modify VSCAN service properties" ... VSCAN Properties> remove auths="solaris.smf.manage.vscan" ... VSCAN Properties> end ... VSCAN Properties> exit
El administrador verifica el contenido del nuevo perfil de derechos.
# profiles -p "VSCAN Control" info
name=VSCAN Control
desc=Start and stop the VSCAN service
auths=solaris.smf.manage.vscan
# profiles -p "VSCAN Properties" info
name=VSCAN Properties
desc=Modify VSCAN service properties
auths=solaris.smf.value.vscan,solaris.smf.modify.application
Pasos siguientes
Asigne el perfil de derechos a un usuario o rol confiable. Para ver ejemplos, consulte Example 3–10 y Example 3–19.
Véase también
Para solucionar problemas en la asignación de derechos, consulte Cómo resolver problemas de las asignaciones de derechos. Para obtener información general, consulte Orden de búsqueda para derechos asignados.
Antes de empezar
Los desarrolladores han definido y utilizado la autorización en las aplicaciones que está instalando. Para obtener instrucciones, consulte Developer’s Guide to Oracle Solaris 11 Security y About Authorizations de Developer’s Guide to Oracle Solaris 11 Security .
Por ejemplo, cree el archivo de ayuda para que una autorización permita al usuario modificar los datos en una aplicación.
# pfedit /docs/helps/NewcoSiteAppModData.html
<HTML>
-- Copyright 2013 Newco. All rights reserved.
-- NewcoSiteAppModData.html
-->
<HEAD>
<TITLE>NewCo Modify SiteApp Data Authorization</TITLE>
</HEAD>
<BODY>
The com.newco.siteapp.data.modify authorization authorizes you
to modify existing data in the application.
<p>
Only authorized accounts are permitted to modify data.
Use this authorization with care.
<p>
</BODY>
</HTML>
Por ejemplo, el siguiente comando crea la autorización com.newco.siteapp.data.modify en el sistema local.
# auths add -t "SiteApp Data Modify Authorized" \ -h /docs/helps/NewcoSiteAppModData.html com.newco.siteapp.data.modify
Ahora, puede probar la autorización; luego, puede agregarla a un perfil de derechos y asignar al perfil un rol o a un usuario.
En este ejemplo, el administrador prueba la autorización com.newco.siteapp.data.modify con el perfil de derechos SiteApp de Example 5–7.
# usermod -A com.newco.siteapp.data.modify -P SiteApp tester1
Cuando la prueba es correcta, el administrador elimina la autorización.
# rolemod -A-=com.newco.siteapp.data.modify siteapptester
Para facilitar el mantenimiento, el administrador agrega la autorización al perfil de derechos de SiteApp en Example 5–11.
Ejemplo 5-11 Agregación de autorizaciones a un perfil de derechosDespués de probar que la autorización funciona correctamente, el administrador de la seguridad agrega la autorización com.newco.siteapp.data.modify a un perfil de derechos existente. Example 5–7 muestra cómo el administrador creó el perfil.
# profiles -p "SiteApp" profiles:SiteApp> add auths="com.newco.siteapp.data.modify" profiles:SiteApp> end profiles:SiteApp> exit
Para realizar una verificación, el administrador muestra el contenido del perfil.
# profiles -p SiteApp Found profile in files repository. id=/opt/site-app/bin/site-cmd auths=com.newco.siteapp.data.modify
Pasos siguientes
Asigne el perfil de derechos a un usuario o rol confiable. Para ver ejemplos, consulte Example 3–10 y Example 3–19.
Véase también
Para solucionar problemas en la asignación de derechos, consulte Cómo resolver problemas de las asignaciones de derechos. Para obtener información general, consulte Orden de búsqueda para derechos asignados.