Tareas comunes en Trusted Extensions (mapa de tareas)

En el siguiente mapa de tareas, se describen los procedimientos administrativos comunes en Trusted Extensions.

Tarea	Descripción	Para obtener instrucciones
Cambiar la contraseña de `root`.	Se especifica una contraseña nueva para el rol de usuario `root`.	Cómo cambiar la contraseña de `root`
Reflejar un cambio de contraseña en una zona con etiquetas.	Se reinicia la zona para actualizar la zona que una contraseña ha cambiado.	Cómo aplicar una nueva contraseña de usuario local en una zona con etiquetas
Utilizar la combinación de teclas de aviso de seguridad.	Permite obtener control del mouse o el teclado. Además, permite probar si el mouse o el teclado son de confianza.	Cómo recuperar el control del enfoque actual del escritorio
Determinar el número hexadecimal de una etiqueta.	Muestra la representación interna de una etiqueta de texto.	Cómo obtener el equivalente hexadecimal de una etiqueta
Determinar la representación de texto de una etiqueta.	Muestra la representación de texto de una etiqueta hexadecimal.	Cómo obtener una etiqueta legible de su forma hexadecimal
Asignar un dispositivo.	Permite a los usuarios asignar dispositivos. Utiliza un dispositivo periférico para agregar o eliminar información en el sistema.	Cómo autorizar a usuarios para que asignen un dispositivo de Administración de Oracle Solaris: servicios de seguridad Cómo asignar un dispositivo en Trusted Extensions de Guía del usuario de Oracle Solaris Trusted Extensions
Administrar un sistema de manera remota.	Permite administrar los sistemas Trusted Extensions desde un sistema remoto.	Capítulo 12, Administración remota en Trusted Extensions (tareas)

Cómo cambiar la contraseña de `root`

Trusted Extensions proporciona una interfaz gráfica de usuario para cambiar la contraseña.

Asuma el rol de usuario root.
Para conocer los pasos, consulte Cómo entrar en la zona global en Trusted Extensions.
Abra el menú Trusted Path. Para ello, haga clic en el símbolo de confianza en la banda de confianza.
Seleccione Change Login Password.
Si se crean contraseñas independientes por zona, el menú puede indicar Change Workspace Password.
Cambie la contraseña y confirme el cambio.

Cómo aplicar una nueva contraseña de usuario local en una zona con etiquetas

Se deben reiniciar las zonas con etiquetas en los siguientes casos:

Uno o varios usuarios locales han cambiado sus contraseñas.
Todas las zonas utilizan una sola instancia del daemon de antememoria de servicio de nombres (nscd).
El sistema se administra con archivos, no con LDAP.

Antes de empezar

Debe tener asignado el perfil de derechos de seguridad de la zona.

Para aplicar el cambio de contraseña, reinicie las zonas con etiquetas a las que pueden acceder los usuarios.
Utilice uno de los métodos siguientes:
- Utilice la interfaz gráfica de usuario txzonemgr.
```
# txzonemgr &
```
  En Labeled Zone Manager, navegue hasta la zona con etiquetas y, en la lista de comandos, seleccione Halt y luego Boot.
- En una ventana de terminal de la zona global, utilice los comandos de administración de zonas.
  Puede optar por apagar o detener el sistema.
  - El comando zlogin apaga la zona correctamente.
```
# zlogin labeled-zone shutdown -i 0
# zoneadm -z labeled-zone boot
```
  - El subcomando halt omite las secuencias de comandos de apagado.
```
# zoneadm -z labeled-zone halt
# zoneadm -z labeled-zone boot
```

Errores más frecuentes

Para actualizar automáticamente las contraseñas de usuario de las zonas con etiquetas, debe configurar LDAP o un servicio de nombres por zona. También puede configurar ambos.

Para configurar LDAP, consulte el Capítulo 5, Configuración de LDAP para Trusted Extensions (tareas).
La configuración de un servicio de nombres por zona requiere conocimientos avanzados sobre redes. Para conocer el procedimiento, consulte Cómo configurar un servicio de nombres independiente para cada zona con etiquetas.

Cómo recuperar el control del enfoque actual del escritorio

La combinación de teclas de aviso de seguridad se puede utilizar para interrumpir un arrastre del puntero o del teclado que provenga de una aplicación que no sea de confianza. Esta combinación de teclas también puede utilizarse para verificar si un arrastre del puntero o del teclado proviene de una aplicación de confianza. En un sistema de varios periféricos que se ha suplantado para que se muestre más de una banda de confianza, esta combinación de teclas dirige el puntero hacia la banda de confianza autorizada.

Para recuperar el control de un teclado de Sun, utilice la siguiente combinación de teclas.
Presione las teclas simultáneamente para recuperar el control del enfoque actual del escritorio. En el teclado de Sun, el rombo es la tecla Meta.
```
<Meta> <Stop>
```
Si el arrastre, como un puntero, no es de confianza, el puntero se mueve hacia la banda. Si el puntero es de confianza, no se pasa a la banda de confianza.
Si no utiliza un teclado de Sun, use la siguiente combinación de teclas.
```
<Alt> <Break>
```
Presione las teclas simultáneamente para recuperar el control del enfoque del escritorio actual de su equipo portátil.

Ejemplo 9-1 Comprobar si la petición de contraseña es de confianza

En un sistema x86 que se usa con un teclado de Sun, se le solicita una contraseña al usuario. Se arrastra el puntero y se lo ubica en el cuadro de diálogo de contraseña. Para comprobar si el indicador es de confianza, el usuario presiona simultáneamente las teclas <Meta> y <Stop>. Cuando el puntero permanece en el cuadro de diálogo, el usuario sabe que la petición de contraseña es de confianza.

Si el puntero se mueve a la banda de confianza, el usuario se da cuenta de que la petición de contraseña no es de confianza, por lo que debe ponerse en contacto con el administrador.

Ejemplo 9-2 Forzar el puntero hacia la banda de confianza

En este ejemplo, un usuario no está ejecutando ningún proceso de confianza, pero no puede ver el puntero del mouse. Para ubicar el puntero en el centro de la banda de confianza, el usuario presiona simultáneamente las teclas <Meta> y <Stop>.

Cómo obtener el equivalente hexadecimal de una etiqueta

Este procedimiento proporciona la representación hexadecimal interna de una etiqueta. Esta representación se puede almacenar con seguridad en un directorio público. Para obtener más información, consulte la página del comando man atohexlabel(1M).

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.

Para obtener el valor hexadecimal de una etiqueta, realice una de las acciones siguientes:
- Para obtener el valor hexadecimal de una etiqueta de sensibilidad, pase la etiqueta al comando.
```
$ atohexlabel "CONFIDENTIAL : INTERNAL USE ONLY"
0x0004-08-48
```
  La cadena no distingue mayúsculas de minúsculas, pero los espacios en blanco deben ser exactos. Por ejemplo, las siguientes cadenas entre comillas devuelven una etiqueta hexadecimal:
  - "CONFIDENTIAL : INTERNAL USE ONLY"
  - "cnf : Internal"
  - "confidential : internal"
  Las siguientes cadenas entre comillas devuelven un error de análisis:
  - "confidential:internal"
  - "confidential: internal"
- Para obtener el valor hexadecimal de una acreditación, utilice la opción -c.
```
$ atohexlabel -c "CONFIDENTIAL NEED TO KNOW"
0x0004-08-68
```
  Nota - Las etiquetas de sensibilidad y de acreditación en lenguaje natural se forman según las reglas del archivo label_encodings. Cada tipo de etiqueta utiliza reglas de una sección independiente de este archivo. Cuando la etiqueta de sensibilidad y la etiqueta de acreditación expresan el mismo nivel de sensibilidad subyacente, ambas tienen una forma hexadecimal idéntica. Sin embargo, las etiquetas pueden tener diferentes formas en lenguaje natural. Las interfaces del sistema que aceptan etiquetas en lenguaje natural como entrada esperan un tipo de etiqueta. Si las cadenas de texto de los tipos de etiquetas difieren, estas cadenas de texto no se pueden intercambiar.
  En el archivo label_encodings, el equivalente de texto de una etiqueta de acreditación no incluye dos puntos (:).

Ejemplo 9-3 Uso del comando atohexlabel

Cuando pasa una etiqueta válida en formato hexadecimal, el comando devuelve el argumento.

$ atohexlabel 0x0004-08-68
0x0004-08-68

Cuando pasa una etiqueta administrativa, el comando devuelve el argumento.

$ atohexlabel admin_high
ADMIN_HIGH
atohexlabel admin_low
ADMIN_LOW

Errores más frecuentes

El mensaje de error atohexlabel parsing error found in <string> at position 0 indica que el argumento <string> que pasó a atohexlabel no es una etiqueta o acreditación válidas. Verifique que no haya errores de escritura y compruebe que la etiqueta exista en el archivo label_encodings que tiene instalado.

Cómo obtener una etiqueta legible de su forma hexadecimal

Este procedimiento proporciona un modo de reparar las etiquetas almacenadas en las bases de datos internas. Para obtener más información, consulte la página del comando man hextoalabel(1M).

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

Para obtener el equivalente de texto de la representación interna de una etiqueta, realice una de las acciones siguientes.
- Para obtener el equivalente de texto de una etiqueta de sensibilidad, pase la forma hexadecimal de la etiqueta.
```
$ hextoalabel 0x0004-08-68
CONFIDENTIAL : NEED TO KNOW
```
- Para obtener el equivalente de texto de una acreditación, utilice la opción -c.
```
$ hextoalabel -c 0x0004-08-68
CONFIDENTIAL NEED TO KNOW
```

Cómo cambiar los valores predeterminados de seguridad en los archivos del sistema

Como en Oracle Solaris, en Trusted Extensions, la cuenta root puede cambiar los valores de seguridad predeterminados en un sistema.

Los archivos de los directorios /etc/security y /etc/default contienen valores de seguridad. Para obtener más información, consulte el Capítulo 3, Control de acceso a sistemas (tareas) de Administración de Oracle Solaris: servicios de seguridad.

Precaución - Reduzca los valores predeterminados de seguridad del sistema únicamente si la política de seguridad del sitio lo permite.

Antes de empezar

Debe estar con el rol de usuario root en la zona global.

Edite el archivo del sistema.

La siguiente tabla muestra los archivos de seguridad y los valores de seguridad que es posible cambiar en los archivos.

Archivo	Tarea	Para obtener más información
`/etc/default/login`	Reducir el número permitido de intentos de introducción de contraseña.	Consulte el ejemplo de Cómo supervisar todos los intentos de inicio de sesión fallidos de Administración de Oracle Solaris: servicios de seguridad. Página del comando man `passwd`(1)
`/etc/default/kbd`	Deshabilitar la interrupción del teclado.	Cómo deshabilitar una secuencia de interrupción del sistema de Administración de Oracle Solaris: servicios de seguridad Nota - En los hosts que los administradores utilizan para realizar la depuración, la configuración predeterminada para `KEYBOARD_ABORT` permite el acceso al depurador del núcleo `kadb`. Página del comando man `kadb`(1M)
`/etc/security/policy.conf`	Solicitar un algoritmo más potente para las contraseñas de usuario. Eliminar un privilegio básico de todos los usuarios de este host. Restringir a los usuarios de este host a las autorizaciones de usuario de Solaris básico.	Página del comando man `policy.conf`(4)
`/etc/default/passwd`	Solicitar a los usuarios que cambien las contraseñas con frecuencia. Solicitar a los usuarios que creen contraseñas que sean extremadamente diferentes. Solicitar una contraseña de usuario más larga. Solicitar una contraseña que no se pueda encontrar en el diccionario.	Página del comando man `passwd`(1)

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Configuración y administración de Trusted Extensions Oracle Solaris 11 Information Library (Español)