Gestión de asignación de dispositivos

La asignación de dispositivos restringe o impide el acceso a dispositivos periféricos. Se aplican restricciones en el momento de asignación de usuarios. De manera predeterminada, los usuarios deben tener autorización para acceder a dispositivos asignables.

Cómo permitir que un dispositivo pueda asignarse

Si ya ha ejecutado el comando bsmconv para habilitar la auditoría, la asignación de dispositivos ya está habilitada en el sistema. Para obtener más información, consulte la página del comando man bsmconv(1M).

1. Asuma un rol que incluya el perfil de derechos de control de auditoría o conviértase en superusuario.

   El rol de administrador principal incluye el perfil de derechos de control de auditoría. También puede asignar el perfil de derechos de control de auditoría a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte el Ejemplo 9-3.

2. Habilite la asignación de dispositivos.

   # bsmconv
   This script is used to enable the Basic Security Module (BSM).
   Shall we continue with the conversion now? [y/n] y
   bsmconv: INFO: checking startup file.
   bsmconv: INFO: move aside /etc/rc3.d/S81volmgt.
   bsmconv: INFO: turning on audit module.
   bsmconv: INFO: initializing device allocation files.
   
   The Basic Security Module is ready.
   If there were any errors, please fix them now.
   Configure BSM by editing files located in /etc/security.
   Reboot this system now to come up with BSM enabled.

   ---

   Nota - Este comando deshabilita el daemon de gestión de volúmenes (/etc/rc3.d/S81volmgt).

   ---

Cómo autorizar a usuarios para que asignen un dispositivo

1. Asuma el rol de administrador principal o conviértase en superusuario.

   El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.

2. Cree un perfil de derechos que incluya la autorización y los comandos adecuados.

   Generalmente, debe crear un perfil de derechos que incluya la autorización solaris.device.allocate. Siga las instrucciones de Cómo crear o modificar un perfil de derechos. Otorgue al perfil de derechos las propiedades adecuadas, como las siguientes:

   • Nombre del perfil de derechos: Device Allocation

   • Autorizaciones otorgadas: solaris.device.allocate

   • Comandos con atributos de seguridad: mount con el privilegio sys_mount y umount con el privilegio sys_mount

3. Cree un rol para el perfil de derechos.

   Siga las instrucciones de Cómo crear y asignar un rol con la interfaz gráfica de usuario. Utilice las siguientes propiedades del rol como guía:

   • Nombre del rol: devicealloc

   • Nombre completo del rol: Device Allocator

   • Descripción del rol: Allocates and mounts allocated devices

   • Perfil de derechos: Device Allocation

     Este perfil de derechos debe estar en la parte superior de la lista de perfiles incluidos en el rol.

4. Asigne el rol a todos los usuarios que tienen permiso para asignar un dispositivo.
5. Enseñe a los usuarios cómo utilizar la asignación de dispositivos.

   Para ver ejemplos de cómo asignar medios extraíbles, consulte Cómo asignar un dispositivo.

   Como el daemon de gestión de volúmenes (vold) no se está ejecutando, los medios extraíbles no se montan automáticamente. Para ver ejemplos de cómo montar un dispositivo asignado, consulte Cómo montar un dispositivo asignado.

Cómo ver la información de asignación de un dispositivo

Antes de empezar

La asignación de dispositivos debe estar habilitada para que este procedimiento se realice correctamente. Para habilitar la asignación de dispositivos, consulte Cómo permitir que un dispositivo pueda asignarse.

1. Asuma un rol que incluya el perfil de derechos de seguridad de dispositivos o conviértase en superusuario.

   El rol de administrador principal incluye el perfil de derechos de seguridad de dispositivos. También puede asignar el perfil de derechos de seguridad de dispositivos a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte el Ejemplo 9-3.

2. Visualice información sobre los dispositivos asignables en el sistema.

   # list_devices device-name

   Donde nombre_dispositivo es uno de los siguientes:

   • audio[n]: micrófono y altavoz.

   • fd[n]: unidad de disquete.

   • sr[n]: unidad de CD-ROM.

   • st[n]: unidad de cinta.

Errores más frecuentes

Si el comando list_devices devuelve un mensaje de error similar al siguiente, es posible que la asignación de dispositivos no esté habilitada o que usted no cuente con permisos suficientes para recuperar la información.

list_devices: No device maps file entry for specified device.

Para que el comando se ejecute correctamente, habilite la asignación de dispositivos y asuma un rol con la autorización solaris.device.revoke.

Asignación forzada de un dispositivo

La asignación forzada se utiliza cuando alguien ha olvidado desasignar un dispositivo. La asignación forzada también se puede utilizar cuando un usuario tiene una necesidad inmediata de un dispositivo.

Antes de empezar

El usuario o el rol deben tener la autorización solaris.device.revoke.

1. Determine si tiene las autorizaciones adecuadas en el rol.

   $ auths
   solaris.device.allocate solaris.device.revoke

2. Asigne de manera forzada el dispositivo al usuario que lo necesita.

   En este ejemplo, la unidad de cinta se asigna de manera forzada al usuario jdoe.

   $ allocate -U jdoe

Desasignación forzada de un dispositivo

Los dispositivos que un usuario ha asignado no se desasignan automáticamente cuando finaliza el proceso o cuando el usuario cierra la sesión. La desasignación forzada se utiliza cuando un usuario ha olvidado desasignar un dispositivo.

Antes de empezar

El usuario o el rol deben tener la autorización solaris.device.revoke.

1. Determine si tiene las autorizaciones adecuadas en el rol.

   $ auths
   solaris.device.allocate solaris.device.revoke

2. Desasigne el dispositivo de manera forzada.

   En este ejemplo, la impresora se desasigna de manera forzada. La impresora ahora está disponible para que otro usuario la asigne.

   $ deallocate -f /dev/lp/printer-1

Cómo cambiar los dispositivos que se pueden asignar

1. Asuma un rol que incluya el perfil de derechos de seguridad de dispositivos o conviértase en superusuario.

   El rol de administrador principal incluye el perfil de derechos de seguridad de dispositivos. También puede asignar el perfil de derechos de seguridad de dispositivos a un rol que cree. Para crear el rol y asignarlo a un usuario, consulte el Ejemplo 9-3.

2. Especifique si se requiere autorización o especifique la autorización solaris.device.allocate.

   Cambie el quinto campo en la entrada del dispositivo del archivo device_allocate.

   audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean
   fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean
   sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean

   Donde solaris.device.allocate indica que un usuario debe tener la autorización solaris.device.allocate para utilizar el dispositivo.

Ejemplo 4-4 Permiso para que cualquier usuario asigne un dispositivo

En el ejemplo siguiente, cualquier usuario del sistema puede asignar cualquier dispositivo. El quinto campo en cada entrada de dispositivo del archivo device_allocate se cambió al símbolo arroba (@).

$ whoami
devicesec
$ vi /etc/security/device_allocate
audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean
…

Ejemplo 4-5 Prevención de uso de algunos dispositivos periféricos

En el ejemplo siguiente, el dispositivo de audio no se puede utilizar. El quinto campo en la entrada del dispositivo de audio del archivo device_allocate se cambió a un asterisco (*).

$ whoami
devicesec
$ vi /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean
…

Ejemplo 4-6 Prevención de uso de todos los dispositivos periféricos

En el ejemplo siguiente, no se puede utilizar ningún dispositivo periférico. El quinto campo en cada entrada de dispositivo del archivo device_allocate se cambió a un asterisco (*).

$ whoami
devicesec
$ vi /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean
…

Cómo auditar la asignación de dispositivos

De manera predeterminada, los comandos de asignación de dispositivos se encuentran en la clase de auditoría other.

1. Asuma el rol de administrador principal o conviértase en superusuario.

   El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.

2. Preseleccione la clase ot para la auditoría.

   Agregue la clase ot a la línea flags del archivo audit_control. El archivo tendría un aspecto similar al siguiente:

   # audit_control file
   dir:/var/audit
   flags:lo,ot
   minfree:20
   naflags:lo

   Para obtener instrucciones detalladas, consulte Cómo modificar el archivo audit_control.