Gestión de usuarios y derechos con Solaris Management Console (mapa de tareas)

En Trusted Extensions, debe utilizar Solaris Management Console para administrar los usuarios, las autorizaciones, los derechos y los roles. Para gestionar a los usuarios y sus atributos de seguridad, asuma el rol de administrador de la seguridad. El siguiente mapa de tareas describe las tareas comunes que debe realizar para los usuarios que operan en un entorno con etiquetas.

Tarea	Descripción	Para obtener instrucciones
Modificar el rango de etiquetas del usuario.	Modificar las etiquetas en las que el usuario puede trabajar. Es posible que las modificaciones restrinjan o amplíen el rango que el archivo `label_encodings` permite.	Cómo modificar el rango de etiquetas de un usuario en Solaris Management Console
Crear un perfil de derechos para las autorizaciones convenientes.	Existen varias autorizaciones que pueden ser útiles para los usuarios comunes. Crear un perfil para los usuarios que cumplen los requisitos para tener estas autorizaciones.	Cómo crear perfiles de derechos para autorizaciones convenientes
Modificar el conjunto de privilegios predeterminado del usuario.	Eliminar un privilegio del conjunto de privilegios predeterminado del usuario.	Cómo restringir el conjunto de privilegios de un usuario
Impedir el bloqueo de cuenta para usuarios concretos.	Los usuarios que pueden asumir un rol deben tener el bloqueo de cuenta desactivado.	Cómo impedir el bloqueo de cuentas de los usuarios
Habilitar al usuario para que vuelva a etiquetar datos.	Autorizar a un usuario para reducir o aumentar el nivel de la información.	Cómo habilitar a un usuario para que cambie el nivel de seguridad de los datos
Eliminar a un usuario del sistema.	Eliminar por completo a un usuario y sus procesos.	Cómo eliminar una cuenta de usuario de un sistema Trusted Extensions
Manejar otras tareas.	Utilizar Solaris Management Console para manejar las tareas que no son específicas de Trusted Extensions.	Manejo de otras tareas en Solaris Management Console (mapa de tareas)

Cómo modificar el rango de etiquetas de un usuario en Solaris Management Console

Puede que desee ampliar el rango de etiquetas de un usuario para proporcionarle acceso de lectura a una aplicación administrativa. Por ejemplo, un usuario que puede iniciar sesión en la zona global, luego, podría ejecutar Solaris Management Console. El usuario podría ver los contenidos, pero no cambiarlos.

Como alternativa, puede que desee restringir el rango de etiquetas del usuario. Por ejemplo, un usuario invitado puede estar limitado a una etiqueta.

Antes de empezar

Debe estar en el rol de administrador de la seguridad en la zona global.

Abra una caja de herramientas de Trusted Extensions en Solaris Management Console.
Utilice una caja de herramientas del ámbito adecuado. Para obtener detalles, consulte Inicialización del servidor de Solaris Management Console en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.
En System Configuration, vaya a User Accounts.
Puede que se muestre el indicador de contraseña.
Escriba la contraseña del rol.
Seleccione el usuario individual de User Accounts.
Haga clic en la ficha Trusted Extensions Attributes.
- Para ampliar el rango de etiquetas del usuario, seleccione una acreditación superior.
  También puede reducir la etiqueta mínima.
- Para restringir el rango de etiquetas a una etiqueta, haga la acreditación igual que la etiqueta mínima.
Para guardar los cambios, haga clic en OK.

Cómo crear perfiles de derechos para autorizaciones convenientes

Cuando la política de seguridad del sitio lo permita, quizás desee crear un perfil de derechos que contenga las autorizaciones para los usuarios que pueden realizar tareas que requieren autorización. Para habilitar a todos los usuarios de un sistema en particular que se van a autorizar, consulte Cómo modificar los valores predeterminados de policy.conf.

Antes de empezar

Debe estar en el rol de administrador de la seguridad en la zona global.

Abra una caja de herramientas de Trusted Extensions en Solaris Management Console.
Utilice una caja de herramientas del ámbito adecuado. Para obtener detalles, consulte Inicialización del servidor de Solaris Management Console en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.
En System Configuration, vaya a Rights.
Puede que se muestre el indicador de contraseña.
Escriba la contraseña del rol.
Para agregar un perfil de derechos, haga clic en Action –> Add Right.
Cree un perfil de derechos que contenga una o más de las siguientes autorizaciones.
Para conocer el procedimiento paso a paso, consulte How to Create or Change a Rights Profile de System Administration Guide: Security Services.
En la siguiente figura, la ventana Authorizations Included muestra las autorizaciones que pueden ser convenientes para los usuarios.
- Allocate Device: autoriza a un usuario para que asigne un dispositivo periférico, como un micrófono.
  
  De manera predeterminada, los usuarios de Oracle Solaris pueden leer y escribir en un CD-ROM. Sin embargo, en Trusted Extensions, solamente los usuarios que pueden asignar un dispositivo pueden acceder a la unidad de CD-ROM. Para asignar la unidad para su uso se requiere autorización. Por lo tanto, para leer y escribir en un CD-ROM en Trusted Extensions, los usuarios necesitan la autorización Allocate Device.
- Downgrade DragNDrop or CutPaste Info: autoriza a un usuario a seleccionar la información de un archivo de nivel superior y colocarla en un archivo de nivel inferior archivo.
- Downgrade File Label: autoriza a un usuario a disminuir el nivel de seguridad de un archivo
- DragNDrop or CutPaste without viewing contents: autoriza a un usuario a mover información sin que se vea la información que se mueve.
- Print Postscript: autoriza a un usuario a imprimir archivos PostScript.
- Print without Banner: autoriza a un usuario a que haga copias impresas sin la página de la carátula.
- Print without Label: autoriza a un usuario a que haga copias impresas que no muestren etiquetas.
- Remote Login: autoriza a un usuario a iniciar sesión de manera remota.
- Shutdown the System: autoriza a un usuario a cerrar el sistema y una zona.
- Upgrade DragNDrop or CutPaste Info: autoriza a un usuario a seleccionar información de un archivo de nivel inferior y colocarla en un archivo de nivel superior.
- Upgrade File Label: autoriza a un usuario a aumentar el nivel de seguridad de un archivo.
Asigne el perfil de derechos a un usuario o a un rol.
Si necesita asistencia, consulte la ayuda en pantalla. Para conocer el procedimiento paso a paso, consulte How to Change the RBAC Properties of a User de System Administration Guide: Security Services.

Ejemplo 7-5 Asignación de una autorización relacionada con la impresión a un rol

En el siguiente ejemplo, el administrador de la seguridad le permite a un rol imprimir los trabajos sin etiquetas en las páginas del cuerpo.

En Solaris Management Console, el administrador de la seguridad navega hasta Administrative Roles. El administrador ve los perfiles de derechos que se incluyen en un rol en particular y, luego, se asegura de que las autorizaciones relacionadas con la impresión se incluyan en uno de los perfiles de derechos del rol.

Cómo restringir el conjunto de privilegios de un usuario

Puede que la seguridad del sitio requiera que a los usuarios se les otorgue menos privilegios que los asignados de manera predeterminada. Por ejemplo, en un sitio que utiliza Trusted Extensions en los sistemas Sun Ray, puede que desee impedir que los usuarios vean los procesos de los demás usuarios en el servidor Sun Ray.

Antes de empezar

Debe estar en el rol de administrador de la seguridad en la zona global.

Abra una caja de herramientas de Trusted Extensions en Solaris Management Console.
Utilice una caja de herramientas del ámbito adecuado. Para obtener detalles, consulte Inicialización del servidor de Solaris Management Console en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.
En System Configuration, vaya a User Accounts.
Puede que se muestre el indicador de contraseña.
Escriba la contraseña del rol.
Haga doble clic en el icono del usuario.
Elimine uno o varios de los privilegios del conjunto basic.
1. Haga doble clic en el icono del usuario.
2. Haga clic en la ficha Rights.
3. Haga clic en el botón Edit situado a la derecha del conjunto basic en el campo right_extended_attr.
4. Elimine proc_session o file_link_any.
  Con la eliminación del privilegio proc_session, se impide que el usuario examine cualquier proceso que se encuentre fuera de su sesión actual. Con la eliminación del privilegio file_link_any, se impide que el usuario establezca enlaces físicos con archivos que no sean de su propiedad.
  
  Precaución - No elimine los privilegios proc_fork o proc_exec. Sin estos privilegios, el usuario no podrá utilizar el sistema.
Para guardar los cambios, haga clic en OK.

Cómo impedir el bloqueo de cuentas de los usuarios

Trusted Extensions amplía las funciones de seguridad del usuario en Solaris Management Console a fin de que se incluya el bloqueo de cuentas. Desactive el bloqueo de cuentas para los usuarios que pueden asumir un rol.

Antes de empezar

Debe estar en el rol de administrador de la seguridad en la zona global.

Inicie Solaris Management Console.
Utilice una caja de herramientas del ámbito adecuado. Para obtener detalles, consulte Inicialización del servidor de Solaris Management Console en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.
En System Configuration, vaya a User Accounts.
Puede que se muestre el indicador de contraseña.
Escriba la contraseña del rol.
Haga doble clic en el icono del usuario.
Haga clic en la ficha Trusted Extensions Attributes.
En la sección Account Usage, seleccione No del menú desplegable situado junto a Lock account after maximum failed logins.
Para guardar los cambios, haga clic en OK.

Cómo habilitar a un usuario para que cambie el nivel de seguridad de los datos

Se puede autorizar a un usuario común o a un rol a cambiar el nivel de seguridad, o las etiquetas, de los archivos y los directorios. El usuario o el rol, además de tener la autorización, deben estar configurados para trabajar en más de una etiqueta. Las zonas con etiquetas deben estar configuradas de modo que se permita volver a etiquetar. Para conocer el procedimiento, consulte Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas.

Precaución - El cambio del nivel de seguridad de los datos es una operación privilegiada. Esta tarea la deben realizar únicamente los usuarios de confianza.

Antes de empezar

Debe estar en el rol de administrador de la seguridad en la zona global.

Siga el procedimiento Cómo crear perfiles de derechos para autorizaciones convenientes para crear un perfil de derechos.
Las siguientes autorizaciones habilitan al usuario para que vuelva a etiquetar un archivo:
- Downgrade File Label
- Upgrade File Label
Las siguientes autorizaciones habilitan al usuario para que vuelva a etiquetar la información de un archivo:
- Downgrade DragNDrop or CutPaste Info
- DragNDrop or CutPaste Info Without Viewing
- Upgrade DragNDrop or CutPaste Info
Utilice Solaris Management Console para asignar el perfil a los usuarios y los roles adecuados.
Si necesita asistencia, consulte la ayuda en pantalla. Para conocer el procedimiento paso a paso, consulte How to Change the RBAC Properties of a User de System Administration Guide: Security Services.

Cómo eliminar una cuenta de usuario de un sistema Trusted Extensions

Cuando se elimina del sistema a un usuario, debe asegurarse de que también se eliminen el directorio principal del usuario y cualquier otro objeto que sea propiedad del usuario. Como alternativa a la eliminación de objetos que sean propiedad del usuario, puede transferir la propiedad de estos objetos a un usuario válido.

También debe asegurarse de que se eliminen todos los trabajos por lotes que estén asociados con el usuario. Ningún objeto o proceso que pertenezca a un usuario eliminado puede permanecer en el sistema.

Antes de empezar

Debe estar en el rol de administrador del sistema.

Archive el directorio principal del usuario en cada etiqueta.
Archive los archivos de correo del usuario en cada etiqueta.
En Solaris Management Console, elimine la cuenta del usuario.
1. Abra una caja de herramientas de Trusted Extensions en Solaris Management Console.
  Utilice una caja de herramientas del ámbito adecuado. Para obtener detalles, consulte Inicialización del servidor de Solaris Management Console en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.
2. En System Configuration, vaya a User Accounts.
  Puede que se muestre el indicador de contraseña.
3. Escriba la contraseña del rol.
4. Seleccione la cuenta de usuario que desea eliminar y haga clic en el botón Delete.
  Se le indicará que elimine el directorio principal del usuario y sus archivos de correo. Cuando acepta el indicador, el directorio principal del usuario y sus archivos de correo se eliminan solamente en la zona global.
En cada zona con etiquetas, elimine manualmente los directorios del usuario y sus archivos de correo.
Nota - Deberá buscar y eliminar los archivos temporales del usuario en todas las etiquetas, como los archivos de los directorios /tmp.

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Procedimientos de administradores de Oracle Solaris Trusted Extensions