Personalización de autorizaciones para dispositivos en Trusted Extensions (mapa de tareas)

En el siguiente mapa de tareas, se describen los procedimientos para cambiar las autorizaciones para dispositivos en el sitio.

Tarea	Descripción	Para obtener instrucciones
Crear nuevas autorizaciones para dispositivos.	Se crean autorizaciones específicas del sitio.	Cómo crear nuevas autorizaciones para dispositivos
Agregar autorizaciones a un dispositivo.	Se agregan autorizaciones específicas del sitio a dispositivos seleccionados.	Cómo agregar autorizaciones específicas del sitio a un dispositivo en Trusted Extensions
Asignar autorizaciones para dispositivos a usuarios y roles.	Permite que los usuarios y los roles usen las autorizaciones nuevas.	Cómo asignar autorizaciones para dispositivos

Cómo crear nuevas autorizaciones para dispositivos

Si no se especifica ninguna autorización cuando se crea un dispositivo, de manera predeterminada, todos los usuarios pueden utilizar el dispositivo. Si se especifica una autorización, de manera predeterminada, solamente los usuarios autorizados pueden utilizar el dispositivo.

Para obtener información sobre cómo impedir cualquier acceso a un dispositivo asignable sin la debida autorización, consulte el Ejemplo 21-1.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

Edite el archivo auth_attr.
Cree un encabezado para las autorizaciones nuevas.
Utilice el nombre de dominio de Internet de la organización en orden inverso seguido de componentes arbitrarios adicionales opcionales, como el nombre de la compañía. Separe los componentes con puntos. Finalice los encabezados con un punto.
```
domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html
```

Agregue entradas de autorización nuevas.

Agregue las autorizaciones (una autorización por línea). Las líneas se dividen con fines de visualización. Se incluyen las autorizaciones grant que habilitan a los administradores para asignar las autorizaciones nuevas.

domain-suffix.domain-prefix.grant:::Grant All Company Authorizations::
help=CompanyGrant.html
domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations::
help=CompanyGrantDevice.html
domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device::
help=CompanyTapeAllocate.html
domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device::
help=CompanyFloppyAllocate.html

Guarde el archivo y cierre el editor.
Si usa LDAP como servicio de nombres, actualice las entradas auth_attr en Oracle Directory Server Enterprise Edition (servidor de directorios).
Para obtener información, consulte la página del comando man ldapaddent(1M).
Agregue las autorizaciones nuevas a los perfiles de derechos adecuados. Luego, asigne los perfiles a los usuarios y los roles.
Utilice la autorización para restringir el acceso a unidades de cinta y de disquete.
Agregue las autorizaciones nuevas a la lista de autorizaciones requeridas en Device Manager. Para conocer el procedimiento, consulte Cómo agregar autorizaciones específicas del sitio a un dispositivo en Trusted Extensions.

Ejemplo 21-2 Creación de autorizaciones para dispositivos específicas

Un administrador de la seguridad de NewCo necesita establecer autorizaciones para dispositivos específicas para la compañía.

En primer lugar, el administrador escribe los siguientes archivos de ayuda y los coloca en el directorio /usr/lib/help/auths/locale/C:

Newco.html
NewcoGrant.html
NewcoGrantDevice.html
NewcoTapeAllocate.html
NewcoFloppyAllocate.html

Luego, el administrador agrega un encabezado a todas las autorizaciones para newco.com en el archivo auth_attr.

# auth_attr file
com.newco.:::NewCo Header::help=Newco.html

A continuación, el administrador agrega entradas de autorización al archivo:

com.newco.grant:::Grant All NewCo Authorizations::
help=NewcoGrant.html
com.newco.grant.device:::Grant NewCo Device Authorizations::
help=NewcoGrantDevice.html
com.newco.device.allocate.tape:::Allocate Tape Device::
help=NewcoTapeAllocate.html
com.newco.device.allocate.floppy:::Allocate Floppy Device::
help=NewcoFloppyAllocate.html

Las líneas se dividen con fines de visualización.

Las entradas auth_attr crean las siguientes autorizaciones:

Una autorización para conceder todas las autorizaciones de NewCo
Una autorización para conceder las autorizaciones para dispositivos de NewCo
Una autorización para asignar una unidad de cinta
Una autorización para asignar una unidad de disquete

Ejemplo 21-3 Creación de autorizaciones Trusted Path y Non-Trusted Path

De manera predeterminada, la autorización Allocate Devices habilita la asignación desde adentro y desde afuera de Trusted Path.

En el siguiente ejemplo, la política de seguridad del sitio requiere la restricción de la asignación de CD-ROM remota. El administrador de la seguridad crea la autorización com.someco.device.cdrom.local. Esta autorización corresponde a las unidades de CD-ROM que se asignan con Trusted Path. La autorización com.someco.device.cdrom.remote corresponde a los pocos usuarios que tienen permiso para asignar una unidad de CD-ROM fuera de Trusted Path.

El administrador de la seguridad crea los archivos de ayuda, agrega las autorizaciones a la base de datos auth_attr, agrega las autorizaciones para los dispositivos y, luego, aplica las autorizaciones en los perfiles de derechos. Los perfiles se asignan a los usuarios que tienen permiso para asignar dispositivos.

A continuación, se muestran las entradas de base de datos auth_attr:

com.someco.:::SomeCo Header::help=Someco.html
com.someco.grant:::Grant All SomeCo Authorizations::
help=SomecoGrant.html
com.someco.grant.device:::Grant SomeCo Device Authorizations::
help=SomecoGrantDevice.html
com.someco.device.cdrom.local:::Allocate Local CD-ROM Device::
help=SomecoCDAllocateLocal.html
com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device::
help=SomecoCDAllocateRemote.html

A continuación, se muestra la asignación de Device Manager:

Trusted Path permite que los usuarios autorizados utilicen Device Manager al asignar la unidad de CD-ROM local.
```
Device Name: cdrom_0
For Allocations From: Trusted Path
Allocatable By: Authorized Users
Authorizations: com.someco.device.cdrom.local
```
Non-Trusted Path permite que los usuarios asignen un dispositivo de manera remota mediante el comando allocate.
```
Device Name: cdrom_0
For Allocations From: Non-Trusted Path
Allocatable By: Authorized Users
Authorizations: com.someco.device.cdrom.remote
```

A continuación, se muestran las entradas de derechos de perfiles:

# Local Allocator profile
com.someco.device.cdrom.local

# Remote Allocator profile
com.someco.device.cdrom.remote

A continuación, se muestran los perfiles de derechos de los usuarios autorizados:

# List of profiles for regular authorized user
Local Allocator Profile
...

# List of profiles for role or authorized user
Remote Allocator Profile
...

Cómo agregar autorizaciones específicas del sitio a un dispositivo en Trusted Extensions

Antes de empezar

Debe estar con el rol de administrador de la seguridad o con un rol que incluya la autorización Configure Device Attributes. Ya debe haber creado las autorizaciones específicas del sitio, como se describe en Cómo crear nuevas autorizaciones para dispositivos.

Siga el procedimiento de Cómo configurar un dispositivo en Trusted Extensions.
1. Seleccione un dispositivo que deba protegerse con las autorizaciones nuevas.
2. Haga clic en el botón Administration.
3. Haga clic en el botón Authorizations.
  Las autorizaciones nuevas se muestran en la lista Not Required.
4. Agregue las autorizaciones nuevas a la lista de autorizaciones Required.
Para guardar los cambios, haga clic en OK.

Cómo asignar autorizaciones para dispositivos

La autorización Allocate Device habilita a los usuarios para que asignen un dispositivo. Las autorizaciones Allocate Device y Revoke or Reclaim Device son adecuadas para los roles administrativos.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

Si los perfiles existentes no son adecuados, el administrador de la seguridad puede crear un perfil nuevo. Para ver un ejemplo, consulte Cómo crear perfiles de derechos para autorizaciones convenientes.

Asigne al usuario un perfil de derechos que cuente con la autorización Allocate Device.
Para conocer el procedimiento paso a paso, consulte Cómo cambiar las propiedades RBAC de un usuario de Administración de Oracle Solaris: servicios de seguridad.

Los siguientes perfiles de derechos habilitan un rol para que asigne dispositivos:
- All Authorizations
- Device Management
- Media Backup
- Media Restore
- Object Label Management
- Software Installation
Los siguientes perfiles de derechos habilitan un rol para que revoque o reclame dispositivos:
- All Authorizations
- Device Management
Los siguientes perfiles de derechos habilitan un rol para que cree o configure dispositivos:
- All Authorizations
- Device Security

Ejemplo 21-4 Asignación de nuevas autorizaciones para dispositivos

En este ejemplo, el administrador de la seguridad configura las nuevas autorizaciones para dispositivos del sistema y asigna el perfil de derechos con las autorizaciones nuevas a usuarios de confianza. El administrador de la seguridad realiza lo siguiente:

Crea nuevas autorizaciones para dispositivos, como se indica en Cómo crear nuevas autorizaciones para dispositivos.
En Device Manager, agrega las nuevas autorizaciones para dispositivos a las unidades de cinta y de disquete.
Coloca las autorizaciones nuevas en el perfil de derechos NewCo Allocation.
Agrega el perfil de derechos NewCo Allocation a los perfiles de usuarios y roles que están autorizados a asignar unidades de cinta y de disquete.

Así, los usuarios y los roles autorizados pueden usar las unidades de cinta y de disquete del sistema.

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Configuración y administración de Trusted Extensions Oracle Solaris 11 Information Library (Español)