Gestión de usuarios y derechos (mapa de tareas)

En Trusted Extensions, asume el rol de administrador de la seguridad para administrar usuarios, autorizaciones, derechos y roles. El siguiente mapa de tareas describe las tareas comunes que debe realizar para los usuarios que operan en un entorno con etiquetas.

Cómo modificar el rango de etiquetas de un usuario

Puede que desee ampliar el rango de etiquetas de un usuario para proporcionarle acceso de lectura a una aplicación administrativa. Por ejemplo, un usuario que puede iniciar sesión en la zona global puede ver una lista de los sistemas que se ejecutan en una determinada etiqueta. El usuario puede ver el contenido, pero no puede modificarlo.

Como alternativa, es posible que desee restringir el rango de etiquetas del usuario. Por ejemplo, un usuario invitado puede estar limitado a una etiqueta.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

• Realice una de las siguientes acciones:
  • Para ampliar el rango de etiquetas del usuario, asigne una acreditación superior.

    # usermod -K min_label=INTERNAL -K clearance=ADMIN_HIGH jdoe

    También puede ampliar el rango de etiquetas del usuario disminuyendo la etiqueta mínima.

    # usermod -K min_label=PUBLIC -K clearance=INTERNAL jdoe

    Para obtener más información, consulte las páginas del comando man usermod(1M) y user_attr(4).

  • Para restringir el rango de etiquetas a una etiqueta, haga la acreditación igual que la etiqueta mínima.

    # usermod -K min_label=INTERNAL -K clearance=INTERNAL jdoe

Cómo crear perfiles de derechos para autorizaciones convenientes

Cuando la política de seguridad del sitio lo permita, quizás desee crear un perfil de derechos que contenga las autorizaciones para los usuarios que pueden realizar tareas que requieren autorización. Para habilitar a todos los usuarios de un sistema en particular que se van a autorizar, consulte Cómo modificar los valores predeterminados de policy.conf.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

1. Cree un perfil de derechos que contenga una o más de las siguientes autorizaciones.

   Para conocer el procedimiento paso a paso, consulte Cómo crear o cambiar un perfil de derechos de Administración de Oracle Solaris: servicios de seguridad.

   Las siguientes autorizaciones pueden ser convenientes para los usuarios:

   • solaris.device.allocate: autoriza a un usuario a asignar un dispositivo periférico, como un micrófono o un CD-ROM.

     De manera predeterminada, los usuarios de Oracle Solaris pueden leer y escribir en un CD-ROM. Sin embargo, en Trusted Extensions, solamente los usuarios que pueden asignar un dispositivo pueden acceder a la unidad de CD-ROM. Para asignar la unidad para su uso se requiere autorización. Por lo tanto, para leer y escribir en un CD-ROM en Trusted Extensions, los usuarios necesitan la autorización Allocate Device.

   • solaris.label.file.downgrade: autoriza a un usuario a disminuir el nivel de seguridad de un archivo.

   • solaris.label.file.upgrade: autoriza a un usuario a aumentar el nivel de seguridad de un archivo.

   • solaris.label.win.downgrade: autoriza a un usuario a seleccionar información de un archivo de nivel superior y colocarla en un archivo de nivel inferior.

   • solaris.label.win.noview: autoriza a un usuario a mover información sin ver la información que se mueve.

   • solaris.label.win.upgrade: autoriza a un usuario a seleccionar información de un archivo de nivel inferior y colocarla en un archivo de nivel superior.

   • solaris.login.remote: autoriza a un usuario a iniciar sesión de manera remota.

   • solaris.print.ps: autoriza a que un usuario imprima archivos de PostScript.

   • solaris.print.nobanner: autoriza a un usuario a que haga copias impresas sin la página de la carátula.

   • solaris.print.unlabeled : autoriza a un usuario a que haga copias impresas que no muestren etiquetas.

   • solaris.system.shutdown: autoriza a un usuario a apagar el sistema y cerrar una zona.

2. Asigne el perfil de derechos a un usuario o a un rol.

   Para conocer el procedimiento paso a paso, consulte Cómo cambiar las propiedades RBAC de un usuario de Administración de Oracle Solaris: servicios de seguridad.

Cómo limitar el acceso de un usuario a las aplicaciones de escritorio

La seguridad del sitio puede requerir que los usuarios sólo tengan acceso a las aplicaciones que pueden abrir desde un icono de escritorio. Este procedimiento asigna perfiles de derechos que limitan el acceso de los usuarios solamente a las aplicaciones requeridas.

Para permitir que todos los usuarios de un sistema en particular tengan dicha autorización, consulte Cómo modificar los valores predeterminados de policy.conf.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

1. Cree un perfil de derechos denominado perfil de derechos Desktop Applets que permita a los usuarios de Oracle Solaris ejecutar los applets básicos en su escritorio.

   Para conocer el procedimiento, consulte Cómo restringir a un usuario a las aplicaciones de escritorio de Administración de Oracle Solaris: servicios de seguridad.

2. Cree otro perfil de derechos que permita a los usuarios de Trusted Extensions ejecutar los applets de confianza requeridos en su escritorio.

   Las líneas se ajustaron con fines de visualización.

   # profiles -p "Trusted Desktop Applets"
   profiles:Trusted Desktop Applets> 
   set desc="Can use trusted desktop applications except terminal"
   profiles:Trusted Desktop Applets> add cmd=/usr/dt/config/tsoljds-migration;end
   profiles:Trusted Desktop Applets> add cmd=/usr/bin/tsoljds-xagent;end
   profiles:Trusted Desktop Applets> commit

3. Agregue el perfil Desktop Applets como un perfil de derechos complementario del perfil Trusted Desktop Applets.

   Ha creado este perfil de derechos en el Paso 2.

   profiles:Trusted Desktop Applets> add profiles="Desktop Applets"
   profiles:Trusted Desktop Applets> commit
   profiles:Trusted Desktop Applets> exit

4. Verifique que el perfil de derechos Trusted Desktop Applets contenga las entradas correctas.

   Revise las entradas en busca de errores, por ejemplo, errores ortográficos, omisiones o repeticiones.

   # profiles -p "Trusted Desktop Applets" info
   Found profile in files repository.
   name=Trusted Desktop Applets
   desc=Can use trusted desktop applications except terminal
   profiles=Desktop Applets
   cmd=/usr/dt/config/tsoljds-migration
   cmd=/usr/bin/tsoljds-xagent

   ---

   Consejo - Puede crear un perfil de derechos para una aplicación o una clase de aplicaciones que tengan iconos de escritorio. A continuación, agregue el perfil de derechos Trusted Desktop Applets como un perfil de derechos complementario para el acceso al escritorio.

   ---

5. Asigne al usuario los perfiles de derechos Trusted Desktop Applets y Stop.

   # usermod -P "Trusted Desktop Applets,Stop" username

   Este usuario puede utilizar el escritorio de confianza, pero no puede iniciar una ventana de terminal, actuar como usuario de consola ni tener ninguno de los derechos incluidos en el perfil de derechos de usuario de Solaris básico.

Ejemplo 11-5 Cómo permitir que un usuario del escritorio abra una ventana de terminal

En este ejemplo, el administrador permite a un usuario del escritorio abrir una ventana de terminal. El administrador ya creó el perfil de derechos Desktop Applets para los usuarios del escritorio de Oracle Solaris y el perfil de derechos Trusted Desktop Applets para los usuarios del escritorio de Trusted Extensions en el depósito LDAP.

En primer lugar, el administrador crea el perfil de derechos Terminal Window y verifica su contenido.

# profiles -p "Terminal Window" -S ldap
profiles:Terminal Window> set desc="Can open a terminal window"
profiles:Terminal Window> add cmd=/usr/bin/gnome-terminal;end
profiles:Terminal Window> commit
profiles:Terminal Window> exit
# profiles -p "Terminal Window" info
Found profile in ldap repository.
name=Terminal Window
desc=Can open a terminal window
cmd=/usr/bin/gnome-terminal

A continuación, el administrador asigna este perfil de derechos y el perfil de derechos All a los usuarios del escritorio que necesitan ventanas de terminal para realizar sus tareas. Sin el perfil de derechos All, los usuarios no podrán ejecutar los comandos UNIX que no requieren privilegios, como ls y cat.

# usermod -P "Trusted Desktop Applets,Terminal Window,All,Stop" -S ldap jdoe

Con este conjunto de perfiles de derechos, el usuario jdoe puede utilizar el escritorio y las ventanas de terminal, pero no puede actuar como usuario de consola ni tener ninguno de los derechos incluidos en el perfil de derechos de usuario de Solaris básico.

Cómo restringir el conjunto de privilegios de un usuario

Puede que la seguridad del sitio requiera que a los usuarios se les otorgue menos privilegios que los asignados de manera predeterminada.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

• Elimine uno o varios de los privilegios del conjunto basic.

  ---

  Precaución - No elimine los privilegios proc_fork o proc_exec. Sin estos privilegios, los usuarios no pueden utilizar el sistema.

  ---

  # usermod -K defaultpriv=basic,!proc_info,!proc_session,!file_link_any

  Al eliminar el privilegio proc_info, impide que el usuario examine los procesos que no se originan desde el usuario. Con la eliminación del privilegio proc_session, se impide que el usuario examine cualquier proceso que se encuentre fuera de su sesión actual. Con la eliminación del privilegio file_link_any, se impide que el usuario establezca enlaces físicos con archivos que no sean de su propiedad.

Véase también

Para ver un ejemplo de la recopilación de restricciones de privilegios en un perfil de derechos, consulte los ejemplos que aparecen a continuación de Cómo crear o cambiar un perfil de derechos de Administración de Oracle Solaris: servicios de seguridad.

Para restringir los privilegios de todos los usuarios en un sistema, consulte el Ejemplo 11-2.

Cómo impedir el bloqueo de cuentas de los usuarios

Realice este procedimiento para todos los usuarios que pueden asumir un rol.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

• Desactive el bloqueo de cuentas para un usuario local.

  # usermod -K lock_after_retries=no jdoe

  Para desactivar el bloqueo de cuentas para un usuario LDAP, especifique el depósito LDAP.

  # usermod -S ldap -K lock_after_retries=no jdoe

Cómo habilitar a un usuario para que cambie el nivel de seguridad de los datos

Se puede autorizar a un usuario común o a un rol a cambiar el nivel de seguridad, o las etiquetas, de los archivos y los directorios o del texto seleccionado. El usuario o el rol, además de tener la autorización, deben estar configurados para trabajar en más de una etiqueta. Las zonas con etiquetas deben estar configuradas de modo que se permita volver a etiquetar. Para conocer el procedimiento, consulte Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas.

---

Precaución - El cambio del nivel de seguridad de los datos es una operación privilegiada. Esta tarea la deben realizar únicamente los usuarios de confianza.

---

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

1. Siga el procedimiento Cómo crear perfiles de derechos para autorizaciones convenientes para crear un perfil de derechos.

   Las siguientes autorizaciones habilitan al usuario para que vuelva a etiquetar un archivo:

   • Downgrade File Label

   • Upgrade File Label

   Las siguientes autorizaciones habilitan al usuario para que vuelva a etiquetar la información de un archivo:

   • Downgrade DragNDrop or CutPaste Info

   • DragNDrop or CutPaste Info Without Viewing

   • Upgrade DragNDrop or CutPaste Info

2. Asigne el perfil a los usuarios y los roles adecuados.

   Para conocer el procedimiento paso a paso, consulte Cómo cambiar las propiedades RBAC de un usuario de Administración de Oracle Solaris: servicios de seguridad.

Cómo suprimir una cuenta de usuario de un sistema Trusted Extensions

Cuando se elimina del sistema a un usuario, debe asegurarse de que también se supriman el directorio principal del usuario y cualquier otro objeto que sea propiedad del usuario. Como alternativa a la eliminación de objetos que sean propiedad del usuario, puede transferir la propiedad de estos objetos a un usuario válido.

También debe asegurarse de que se supriman todos los trabajos por lotes que estén asociados con el usuario. Ningún objeto o proceso que pertenezca a un usuario eliminado puede permanecer en el sistema.

Antes de empezar

Debe estar con el rol de administrador del sistema en la zona global.

1. Archive el directorio principal del usuario en cada etiqueta.
2. Archive los archivos de correo del usuario en cada etiqueta.
3. Suprima la cuenta de usuario.

   # userdel -r jdoe

4. En cada zona con etiquetas, suprima manualmente los directorios del usuario y sus archivos de correo.

   ---

   Nota - Deberá buscar y suprimir los archivos temporales del usuario en todas las etiquetas, como los archivos de los directorios /tmp.

   ---

   Para conocer otras consideraciones, consulte Prácticas de eliminación de usuarios.