Creación de roles y usuarios en Trusted Extensions

La creación de roles en Trusted Extensions es idéntica a la creación de roles en Oracle Solaris. No obstante, para una configuración evaluada, se requiere un rol de administrador de la seguridad.

Cómo crear el rol de administrador de la seguridad en Trusted Extensions

Antes de empezar

Tiene el rol de usuario root en la zona global.

1. Para crear el rol, utilice el comando roleadd.

   Para obtener información sobre el comando, consulte la página del comando man roleadd(1M).

   Utilice la siguiente información como guía:

   • Nombre del rol: secadmin

   • -c Local Security Officer

     No proporcione información de propiedad exclusiva.

   • -m directorio principal

   • -u UID de rol

   • -S depósito

   • -K clave=valor

     Asigne los perfiles de derechos de seguridad de la información y seguridad de usuarios.

     ---

     Nota - Para todos los roles administrativos, utilice las etiquetas administrativas para el rango de etiquetas, audite los usos del comando pfexec, defina lock_after_retries=no y no establezca fechas de caducidad para las contraseñas.

     ---

   # roleadd -c "Local Security Officer" -m \
   -u 110 -K profiles="Information Security,User Security" -S files \
   -K lock_after_retries=no \
   -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin

2. Proporcione una contraseña inicial para el rol.

   # passwd -r files secadmin
   New Password:        <Type password>
   Re-enter new Password: <Retype password>
   passwd: password successfully changed for secadmin
   #

   Asigne una contraseña de seis caracteres alfanuméricos como mínimo. Al igual que todas las contraseñas, la contraseña del rol de administrador de la seguridad debe ser difícil de adivinar, a fin de reducir la posibilidad de que un adversario obtenga acceso no autorizado al intentar adivinar la contraseña.

3. Utilice el rol de administrador de la seguridad como guía al crear otros roles.

   Entre los posibles roles se incluyen los siguientes:

   • Rol de administrador: perfil de derechos System Administrator

   • Rol de operador: perfil de derechos Operator

Ejemplo 4-4 Creación del rol de administrador de la seguridad en LDAP

Después de configurar el primer sistema con un rol de administrador de la seguridad local, el administrador crea el rol de administrador de la seguridad en el depósito LDAP. En este caso, el rol de administrador de la seguridad definido en LDAP puede administrar los clientes LDAP.

# roleadd -c "Site Security Officer" -d server1:/rpool/pool1/BayArea/secadmin
-u 111 -K profiles="Information Security,User Security" -S ldap \
-K lock_after_retries=no -K audit_flags=lo,ex:no \
-K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin

El administrador proporciona una contraseña inicial para el rol.

# passwd -r ldap secadmin
New Password:        <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for secadmin
#

Pasos siguientes

Para asignar el rol local a un usuario local, consulte Cómo crear usuarios que puedan asumir roles en Trusted Extensions.

Cómo crear un rol de administrador del sistema

Antes de empezar

Tiene el rol de usuario root en la zona global.

1. Asigne el perfil de derechos de administrador del sistema al rol.

   # roleadd -c "Local System Administrator" -m -u 111 -K audit_flags=lo,ex:no\
   -K profiles="System Administrator" -K lock_after_retries=no \
   -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH sysadmin

2. Proporcione una contraseña inicial para el rol.

   # passwd -r files sysadmin
   New Password:        <Type password>
   Re-enter new Password: <Retype password>
   passwd: password successfully changed for sysadmin
   #

Cómo crear usuarios que puedan asumir roles en Trusted Extensions

Si la política de seguridad del sitio lo permite, puede elegir crear un usuario que pueda asumir más de un rol administrativo.

Para una creación segura de los usuarios, el rol de administrador del sistema crea el usuario y asigna la contraseña inicial, y el rol de administrador de la seguridad asigna los atributos relacionados con la seguridad, por ejemplo, un rol.

Antes de empezar

Debe estar con el rol de usuario root en la zona global. O bien, si se aplica la separación de tareas, los usuarios que pueden asumir los roles de administrador de la seguridad y administrador del sistema deben estar presentes para asumir sus roles y llevar a cabo los pasos apropiados en este procedimiento.

1. Cree un usuario.

   El rol de usuario root o el rol de administrador del sistema realizan este paso.

   No incluya información de propiedad exclusiva en el comentario.

   # useradd -c "Second User" -u 1201 -d /home/jdoe jdoe

2. Después de crear el usuario, modifique los atributos de seguridad del usuario.

   El rol de usuario root o el rol de administrador de la seguridad realizan este paso.

   ---

   Nota - Para los usuarios que pueden asumir roles, desactive el bloqueo de cuentas y no establezca fechas de caducidad para las contraseñas. Además, audite los usos del comando pfexec.

   ---

   # usermod -K lock_after_retries=no -K idletime=5 -K idlecmd=lock \
   -K audit_flags=lo,ex:no jdoe

   ---

   Nota - Los valores de idletime e idlecmd siguen vigentes cuando el usuario asume un rol. Para obtener más información, consulte Valores predeterminados del archivo policy.conf en Trusted Extensions.

   ---

3. Asigne una contraseña de seis caracteres alfanuméricos como mínimo.

   # passwd jdoe
   New Password: Type password
   Re-enter new Password:Retype password

   ---

   Nota - Cuando el equipo de configuración inicial elige una contraseña, debe seleccionar una contraseña que sea difícil de adivinar. De esta manera, se reduce la posibilidad de que un adversario obtenga acceso no autorizado al intentar adivinar las contraseñas.

   ---

4. Asigne un rol al usuario.

   El rol de usuario root o el rol de administrador de la seguridad realizan este paso.

   # usermod -R oper jdoe

5. Personalice el entorno del usuario.
   1. Asigne autorizaciones convenientes.

      Después de comprobar la política de seguridad del sitio, es posible que desee otorgar a los primeros usuarios el perfil de derechos de autorizaciones convenientes. Con este perfil, los usuarios pueden asignar dispositivos, imprimir archivos PostScript, imprimir sin etiquetas, iniciar sesión de manera remota y apagar el sistema. Para crear el perfil, consulte Cómo crear perfiles de derechos para autorizaciones convenientes.

   2. Personalice los archivos de inicialización de usuario.

      Consulte Personalización del entorno de usuario para la seguridad (mapa de tareas).

   3. Cree archivos de copia y enlace de varios niveles.

      En un sistema de varios niveles, los usuarios y los roles se pueden configurar mediante archivos que contienen los archivos de inicialización de usuario que se copiarán o enlazarán a otras etiquetas. Para obtener más información, consulte Archivos .copy_files y .link_files.

Ejemplo 4-5 Uso del comando useradd para crear un usuario local

En este ejemplo, el rol de usuario root crea un usuario local que puede asumir el rol de administrador de la seguridad. Para obtener detalles, consulte las páginas del comando man useradd(1M) y atohexlabel(1M).

Este usuario tendrá un rango de etiquetas más amplio que el rango de etiquetas predeterminado. Entonces, el rol de usuario root determina el formato hexadecimal de la etiqueta mínima y la etiqueta de acreditación del usuario.

# atohexlabel public
0x0002-08-08
# atohexlabel -c "confidential restricted"
0x0004-08-78

Luego, el rol de usuario root consulta la Tabla 1-2 y crea el usuario. El administrador coloca el directorio principal del usuario en /export/home1 en lugar del directorio predeterminado /export/home.

# useradd -c "Local user for Security Admin" -d /export/home1/jandoe \
-K idletime=10 -K idlecmd=logout -K lock_after_retries=no
-K min_label=0x0002-08-08 -K clearance=0x0004-08-78 jandoe

A continuación, el rol de usuario root proporciona una contraseña inicial.

# passwd -r files jandoe
New Password:    <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for jandoe
#

Por último, el rol de usuario root agrega el rol de administrador de la seguridad a la definición del usuario. El rol se creó en la sección Cómo crear el rol de administrador de la seguridad en Trusted Extensions.

# usermod -R secadmin jandoe

Cómo verificar que los roles de Trusted Extensions funcionan

Para verificar cada rol, asuma el rol. A continuación, realice tareas que sólo ese rol puede llevar a cabo e intente efectuar tareas para las que el rol no tiene autorización.

Antes de empezar

Si ha configurado DNS o rutas, debe reiniciar después de haber creado los roles y antes de verificar que los roles funcionen.

1. Para cada rol, inicie sesión como un usuario que pueda asumir el rol.
2. Asuma el rol.

   En la siguiente banda de confianza, el nombre de usuario es tester.

   
   
   1. Haga clic en su nombre de usuario, en la banda de confianza.
   2. De la lista de roles asignados, seleccione un rol.
3. Pruebe el rol.

   Para las autorizaciones que son necesarias para cambiar las propiedades de usuario, consulte la página del comando man passwd(1).

   • El rol de administrador del sistema debe ser capaz de crear un usuario y modificar las propiedades de usuario que requieren la autorización solaris.user.manage, como el shell de inicio de sesión del usuario. El rol de administrador del sistema no debe tener permiso para cambiar las propiedades de usuario que requieren la autorización solaris.account.setpolicy.

   • El rol de administrador de la seguridad debe ser capaz de cambiar las propiedades de usuario que requieren la autorización solaris.account.setpolicy. El administrador de la seguridad no debe tener permiso para crear un usuario o cambiar el shell de inicio de sesión de un usuario.

Cómo permitir que los usuarios inicien sesión en una zona con etiquetas

Cuando se reinicia el sistema, la asociación entre los dispositivos y el almacenamiento subyacente se debe volver a establecer.

Antes de empezar

Debe haber creado al menos una zona con etiquetas. Reinicie el sistema después de configurarlo. Puede asumir el rol de usuario root.

1. Inicie sesión y asuma el rol de usuario root.
2. Compruebe el estado del servicio de zonas.

   # svcs zones
   STATE          STIME    FMRI
   offline        -        svc:/system/zones:default

3. Reinicie el servicio.

   # svcadm restart svc:/system/zones:default

4. Cierre la sesión.

   Ahora los usuarios comunes pueden iniciar sesión. Su sesión está en una zona con etiquetas.