跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务(任务)
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域(任务)
14. 在 Trusted Extensions 中管理和挂载文件(任务)
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
在 Trusted Extensions 中操作设备(任务列表)
在 Trusted Extensions 中使用设备(任务列表)
在 Trusted Extensions 中定制设备授权(任务列表)
如何在 Trusted Extensions 中将特定于站点的授权添加到设备
23. Trusted Extensions 中的软件管理(参考)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
以下任务列表描述了在您的站点上保护设备的过程。
|
缺省情况下,可分配设备的标签范围是从 ADMIN_LOW 到 ADMIN_HIGH,并且必须在分配后才可使用。另外,用户必须获得授权才能分配设备。这些缺省值是可以更改的。
以下设备可供分配使用:
audion-指示麦克风和扬声器
cdromn-指示 CD-ROM 驱动器
floppyn-指示磁盘驱动器
mag_tapen-指示磁带机(流化处理)
rmdiskn-指示可移除磁盘(如 JAZ 或 ZIP 驱动器)或者 USB 可热插拔介质
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
此时将显示 "Device Manager"(设备管理器)。
单击 "Administration"(管理),然后突出显示设备。下图显示了 root 角色正在查看的音频设备。
单击 "Min Label"(最小标签)按钮。从标签生成器中选择一个最小标签。有关标签生成器的信息,请参见Trusted Extensions 中的标签生成器。
单击 "Max Label..."(最大标签...)按钮。从标签生成器中选择一个最大标签。
在 "Device Configuration"(设备配置)对话框中,在 "For Allocations From Trusted Path"(对于从可信路径进行的分配)下,从 "Allocatable By"(可由以下用户分配)列表中选择一个选项。缺省情况下,会选中 "Authorized Users"(经授权的用户)。因此,设备是可分配的,且用户必须已被授权。
在配置打印机、帧缓存器或其他不可分配的设备时,请选择 "No Users"(无用户)。
在 "For Allocations From Non-Trusted Path"(对于从非可信路径进行的分配)部分中,从 "Allocatable By"(可由以下用户分配)列表中选择一个选项。缺省情况下,会选中 "Same As Trusted Path"(与可信路径相同)。
下面的对话框显示了需要 solaris.device.allocate 授权才能分配 cdrom0 设备。
要创建和使用特定于站点的设备授权,请参见在 Trusted Extensions 中定制设备授权(任务列表)。
如果某个设备没有在 "Device Manager"(设备管理器)中列出,则它可能已被分配,或者可能处于分配错误状态。系统管理员可以恢复此设备,使其可用。
开始之前
您必须具有全局区域中的 "System Administrator"(系统管理员)角色。此角色包含 solaris.device.revoke 授权。
在下图中,音频设备已分配给某个用户。
选择设备名称,并检查 "State"(状态)字段。
对于帧缓存器和打印机,最常使用 "Device Configuration"(设备配置)对话框的 "Allocatable By"(可由以下用户分配)部分中的 "No Users"(无用户)选项,这些设备不必分配即可使用。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
单击 "Min Label..."(最小标签...)按钮。从标签生成器中选择一个最小标签。有关标签生成器的信息,请参见Trusted Extensions 中的标签生成器。
单击 "Max Label..."(最大标签...)按钮。从标签生成器中选择一个最大标签。
示例 21-1 阻止远程分配音频设备
"Allocatable By"(可由以下用户分配)部分中的 "No Users"(无用户)选项可阻止远程用户在远程系统上收听对话。
安全管理员在设备管理器中按以下方式配置音频设备:
Device Name: audio For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: solaris.device.allocate
Device Name: audio For Allocations From: Non-Trusted Pathh Allocatable By: No Users
如果在创建设备时没有指定 device_clean (设备清除)脚本,则会使用缺省脚本 /bin/true。
开始之前
准备一个具有如下功能的脚本:清除物理设备中的所有可用数据,并且在成功时返回 0。对于具有可移除介质的设备,如果用户没有弹出介质,脚本会尝试执行此操作。如果介质没有弹出,脚本会将设备置于分配错误状态。有关要求的详细信息,请参见 device_clean(5) 手册页。
您必须在全局区域中承担 root 角色。