Descripción general de la seguridad de NWAM

La seguridad de NWAM está diseñada para abarcar los siguientes componentes:

• Interfaz de línea de comandos (comandos netcfg y netadm)

• Interfaz gráfica de NWAM

• Daemon de depósito de perfil de NWAM (netcfgd)

• Daemon de motor de política (nwamd)

• Biblioteca de NWAM (libnwam)

El daemon netcfgd controla el depósito donde se almacena toda la información de configuración de red. El comando netcfg, la interfaz de usuario de NWAM y el daemon nwamd envían solicitudes al daemon netcfgd para acceder al depósito. Estos componentes funcionales realizan solicitudes a través de la biblioteca de NWAM, libnwam.

El daemon nwamd es el motor de políticas que recibe los eventos del sistema, configura la red y lee información de configuración de red. La interfaz gráfica de NWAM y el comando netcfg son herramientas de configuración que puede utilizar para ver y modificar la configuración de red. Estos componentes también se utilizan para refrescar el servicio NWAM cuando se debe aplicar una nueva configuración al sistema.

Autorizaciones y perfiles relacionados con NWAM

La implementación actual de NWAM utiliza las siguientes autorizaciones para realizar tareas específicas:

• solaris.network.autoconf.read: permite la lectura de datos de configuración NWAM, que verifica el daemon netcfgd

• solaris.network.autoconf.write: permite la escritura de datos de configuración de NWAM, que verifica el daemon netcfgd

• solaris.network.autoconf.select: permite que se apliquen nuevos datos de configuración, que verifica el daemon nwamd

• solaris.network.autconf.wlan: permite la escritura de datos de configuración de WLAN conocidas

Estas autorizaciones se registran en la base de datos auth_attr. Para obtener más información, consulte la página del comando man auth_attr(4).

Se proporcionan dos perfiles de seguridad: Network Autoconf User y Network Autoconf Admin. El perfil User tiene autorizaciones read, select y wlan. El perfil Admin agrega la autorización write. El perfil Network Autoconf User está asignado al perfil Console User. Por lo tanto, de manera predeterminada, cualquier persona que se conecte a la consola puede ver, habilitar y deshabilitar perfiles. Como Console User no tiene la autorización solaris.network.autoconf.write asignada, este usuario no puede crear ni modificar NCP, NCU, ubicaciones ni ENM. Sin embargo, Console User puede ver, crear y modificar WLAN.

Autorizaciones necesarias para utilizar interfaces de usuario de NWAM

Los comandos NWAM, netcfg y netadm, se pueden usar para ver y habilitar perfiles NWAM por parte de cualquiera que tenga privilegios de Console User. Estos privilegios se asignan automáticamente a cualquier usuario conectado en el sistema desde /dev/console.

Para modificar perfiles de NWAM mediante el comando netcfg, necesita la autorización solaris.network.autoconf.write o el perfil Network Autoconf Admin.

Puede determinar los privilegios que están asociados a un perfil de derechos mediante el comando profiles con el nombre del perfil. Para obtener más información, consulte la página del comando man profiles(1).

Por ejemplo, para determinar privilegios que están asociados al perfil de derechos Console User, utilice el siguiente comando.

$ profiles -p "Console User" info
Found profile in files repository.
    name=Console User
    desc=Manage System as the Console User
    auths=solaris.system.shutdown,solaris.device.cdrw,solaris.smf.manage.vbiosd,
    solaris.smf.value.vbiosd
    profiles=Suspend To RAM,Suspend To Disk,Brightness,CPU Power Management,
    Network Autoconf User,Desktop Removable Media User
    help=RtConsUser.html

La interfaz gráfica de NWAM incluye los siguientes tres componentes, que no tienen privilegios. Se otorgan autorizaciones a estos componentes, en función de cómo se inician y las tareas que deben realizar:

• Presencia de panel específica de NWAM

  Este componente es el applet del panel en el escritorio que permite al usuario interaccionar con NWAM. El panel puede ser ejecutado por cualquier usuario y se utiliza para supervisar la configuración automática del sistema y gestionar las notificaciones de eventos. El panel también se puede utilizar para realizar algunas tareas de configuración básicas de la red, por ejemplo, seleccionar una red Wi-Fi o cambiar ubicaciones manualmente. Para realizar estos tipos de tareas, se requiere el perfil de derechos Network Autoconf User. El perfil de derechos está disponible en la configuración predeterminada, ya que el panel está ejecutándose con las autorizaciones del usuario conectado desde /dev/console y, por lo tanto, tiene el perfil Console User.

• Interfaz gráfica de NWAM

  La interfaz gráfica de NWAM es el medio principal para interaccionar con NWAM desde el escritorio. La interfaz gráfica se utiliza para ver el estado de la red, para crear y modificar NCP y perfiles de ubicación y para iniciar y detener ENM configurados. La interacción con la interfaz gráfica requiere cuatro de las autorizaciones de solaris.network.autoconf o el perfil Network Autoconf Admin. De manera predeterminada, el perfil Console User tiene suficientes autorizaciones para visualizar el estado y los perfiles de la red mediante el uso de la interfaz gráfica. Además, necesita la autorización solaris.network.autoconf.write o el perfil Network Autoconf Admin para modificar perfiles mediante la interfaz gráfica.

Puede obtener autorizaciones adicionales de una de las siguientes maneras:

• Asigne el perfil Network Autoconf Admin a un usuario específico.

  Puede asignar autorizaciones adecuadas o perfiles de derechos directamente a un determinado usuario mediante la edición del archivo /etc/user_attr para ese usuario.

• Asigne el perfil Network Autoconf Admin al Console User.

  Puede asignar este perfil al Console User en lugar del perfil Network Autoconf User que está asignado de manera predeterminada. Para asignar este perfil, edite la entrada en el archivo /etc/security/prof_attr.