跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务(任务)
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域(任务)
14. 在 Trusted Extensions 中管理和挂载文件(任务)
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
在 Trusted Extensions 中操作设备(任务列表)
在 Trusted Extensions 中使用设备(任务列表)
在 Trusted Extensions 中管理设备(任务列表)
如何在 Trusted Extensions 中撤销或回收设备
如何在 Trusted Extensions 中保护不可分配的设备
如何在 Trusted Extensions 中添加 Device_Clean (设备清除)脚本
23. Trusted Extensions 中的软件管理(参考)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
下面的任务列表描述了在您的站点更改设备授权的过程。
|
如果在创建设备时没有指定授权,则缺省情况下,所有用户均可使用此设备。如果指定了授权,则缺省情况下,只有经授权的用户才能使用此设备。
要在不使用授权的情况下阻止对可分配设备的所有访问,请参见示例 21-1。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
使用您的组织的反序 Internet 域名,后跟可选的其他任意组件,如您公司的名称。以点分隔组件。使用点结束标题名。
domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html
添加授权,每行一个授权。在示例中,为了便于显示,对行进行了拆分。授权包括 grant 授权,它使得管理员能够指定新的授权。
domain-suffix.domain-prefix.grant:::Grant All Company Authorizations:: help=CompanyGrant.html domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations:: help=CompanyGrantDevice.html domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device:: help=CompanyTapeAllocate.html domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device:: help=CompanyFloppyAllocate.html
有关信息,请参见 ldapaddent(1M) 手册页。
在 "Device Manager"(设备管理器)中,将新授权添加到所需授权列表中。有关过程,请参见如何在 Trusted Extensions 中将特定于站点的授权添加到设备。
示例 21-2 创建细粒度设备授权
NewCo 的安全管理员需要为公司构建细粒度设备授权。
首先,管理员编写以下帮助文件,并将这些文件置于 /usr/lib/help/auths/locale/C 目录中:
Newco.html NewcoGrant.html NewcoGrantDevice.html NewcoTapeAllocate.html NewcoFloppyAllocate.html
然后,管理员在 auth_attr 文件中为 newco.com 的所有授权添加一个标题。
# auth_attr file com.newco.:::NewCo Header::help=Newco.html
接下来,管理员向文件中添加授权条目:
com.newco.grant:::Grant All NewCo Authorizations:: help=NewcoGrant.html com.newco.grant.device:::Grant NewCo Device Authorizations:: help=NewcoGrantDevice.html com.newco.device.allocate.tape:::Allocate Tape Device:: help=NewcoTapeAllocate.html com.newco.device.allocate.floppy:::Allocate Floppy Device:: help=NewcoFloppyAllocate.html
在示例中,为了便于显示,对行进行了拆分。
auth_attr 条目创建了以下授权:
用于授予所有 NewCo 授权的授权
用于授予 NewCo 设备授权的授权
用于分配磁带机的授权
用于分配磁盘驱动器的授权
示例 21-3 创建可信路径和非可信路径授权
缺省情况下,"Allocate Devices"(分配设备)授权允许从可信路径和可信路径外进行分配。
在下面的示例中,站点安全策略要求限制远程 CD-ROM 分配。安全管理员创建了 com.someco.device.cdrom.local 授权。该授权适用于使用可信路径分配的 CD-ROM 驱动器。com.someco.device.cdrom.remote 授权适用于少数用户,他们可以在可信路径外分配 CD-ROM 驱动器。
安全管理员创建帮助文件、将授权添加到 auth_attr 数据库、将授权添加到设备,然后将授权置于权限配置文件中。配置文件被指定给允许分配设备的用户。
下面是 auth_attr 数据库条目:
com.someco.:::SomeCo Header::help=Someco.html com.someco.grant:::Grant All SomeCo Authorizations:: help=SomecoGrant.html com.someco.grant.device:::Grant SomeCo Device Authorizations:: help=SomecoGrantDevice.html com.someco.device.cdrom.local:::Allocate Local CD-ROM Device:: help=SomecoCDAllocateLocal.html com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device:: help=SomecoCDAllocateRemote.html
下面是 "Device Manager"(设备管理器)分配:
"Trusted Path"(可信路径)允许经授权的用户在分配本地 CD-ROM 驱动器时使用 "Device Manager"(设备管理器)。
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.local
"Non-Trusted Path"(非可信路径)允许用户使用 allocate 命令远程分配设备。
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.remote
下面是权限配置文件条目:
# Local Allocator profile com.someco.device.cdrom.local # Remote Allocator profile com.someco.device.cdrom.remote
下面是适用于经授权的用户的权限配置文件:
# List of profiles for regular authorized user Local Allocator Profile ... # List of profiles for role or authorized user Remote Allocator Profile ...
开始之前
您必须是 "Security Administrator"(安全管理员)角色,或者是具有 "Configure Device Attributes"(配置设备属性)授权的角色。您必须已创建了特定于站点的授权,如如何创建新的设备授权中所述。
新授权显示在 "Not Required"(非必需)列表中。
"Allocate Device"(分配设备)授权允许用户分配设备。"Allocate Device"(分配设备)授权和 "Revoke or Reclaim Device"(撤销或回收设备)授权适用于管理角色。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
如果现有的配置文件不适用,安全管理员可以创建新的配置文件。有关示例,请参见如何创建权限配置文件以实现方便的授权。
有关逐步操作过程,请参见《Oracle Solaris 管理:安全服务》中的"如何更改用户的 RBAC 属性"。
"All Authorizations"(所有授权)
"Device Management"(设备管理)
"Media Backup"(介质备份)
"Media Restore"(介质恢复)
"Object Label Management"(对象标签管理)
"Software Installation"(软件安装)
"All Authorizations"(所有授权)
"Device Management"(设备管理)
"All Authorizations"(所有授权)
"Device Security"(设备安全)
示例 21-4 指定新的设备授权
在本例中,安全管理员为系统配置新的设备授权,并将包含新授权的权限配置文件指定给可信用户。安全管理员执行以下操作:
按如何创建新的设备授权中所述创建新的设备授权
在 "Device Manager"(设备管理器)中,将新的设备授权添加到磁带机和磁盘驱动器
将新授权置于 "NewCo Allocation"(NewCo 分配)权限配置文件中
将 "NewCo Allocation"(NewCo 分配)权限配置文件添加到被授权分配磁带机和磁盘驱动器的用户和角色的配置文件中
现在,经授权的用户和角色可以在此系统上使用磁带机和磁盘驱动器了。