在 Trusted Extensions 中管理设备（任务列表）

以下任务列表描述了在您的站点上保护设备的过程。

如何在 Trusted Extensions 中配置设备

缺省情况下，可分配设备的标签范围是从 ADMIN_LOW 到 ADMIN_HIGH，并且必须在分配后才可使用。另外，用户必须获得授权才能分配设备。这些缺省值是可以更改的。

以下设备可供分配使用：

• audion－指示麦克风和扬声器

• cdromn－指示 CD-ROM 驱动器

• floppyn－指示磁盘驱动器

• mag_tapen－指示磁带机（流化处理）

• rmdiskn－指示可移除磁盘（如 JAZ 或 ZIP 驱动器）或者 USB 可热插拔介质

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

1. 从 "Trusted Path"（可信路径）菜单中，选择 "Allocate Device"（分配设备）。

   此时将显示 "Device Manager"（设备管理器）。

   
   
2. 查看缺省安全设置。

   单击 "Administration"（管理），然后突出显示设备。下图显示了 root 角色正在查看的音频设备。

   
   
3. 可选限制设备上的标签范围。
   1. 设置最小标签。

      单击 "Min Label"（最小标签）按钮。从标签生成器中选择一个最小标签。有关标签生成器的信息，请参见Trusted Extensions 中的标签生成器。

   2. 设置最大标签。

      单击 "Max Label..."（最大标签...）按钮。从标签生成器中选择一个最大标签。

4. 指定设备是否可以在本地分配。

   在 "Device Configuration"（设备配置）对话框中，在 "For Allocations From Trusted Path"（对于从可信路径进行的分配）下，从 "Allocatable By"（可由以下用户分配）列表中选择一个选项。缺省情况下，会选中 "Authorized Users"（经授权的用户）。因此，设备是可分配的，且用户必须已被授权。

   • 要使设备不可分配，请单击 "No Users"（无用户）。

     在配置打印机、帧缓存器或其他不可分配的设备时，请选择 "No Users"（无用户）。

   • 要使设备可分配，但不需要授权，请单击 "All Users"（所有用户）。
5. 指定设备是否可以远程分配。

   在 "For Allocations From Non-Trusted Path"（对于从非可信路径进行的分配）部分中，从 "Allocatable By"（可由以下用户分配）列表中选择一个选项。缺省情况下，会选中 "Same As Trusted Path"（与可信路径相同）。

   • 若需要用户授权，请选择 "Allocatable by Authorized Users"（可由经授权的用户分配）。
   • 要使设备不可供远程用户分配，请选择 "No Users"（无用户）。
   • 要使设备可供任何人分配，请选择 "All Users"（所有用户）。
6. 如果设备是可分配的，并且您的站点已创建了新的设备授权，请选择相应的授权。

   下面的对话框显示了需要 solaris.device.allocate 授权才能分配 cdrom0 设备。

   
   

   要创建和使用特定于站点的设备授权，请参见在 Trusted Extensions 中定制设备授权（任务列表）。

7. 要保存更改，请单击 "OK"（确定）。

如何在 Trusted Extensions 中撤销或回收设备

如果某个设备没有在 "Device Manager"（设备管理器）中列出，则它可能已被分配，或者可能处于分配错误状态。系统管理员可以恢复此设备，使其可用。

开始之前

您必须具有全局区域中的 "System Administrator"（系统管理员）角色。此角色包含 solaris.device.revoke 授权。

1. 从 "Trusted Path"（可信路径）菜单中，选择 "Allocate Device"（分配设备）。

   在下图中，音频设备已分配给某个用户。

   
   
2. 单击 "Administration"（管理）按钮。
3. 检查设备的状态。

   选择设备名称，并检查 "State"（状态）字段。

   • 如果 "State"（状态）字段是 "Allocate Error State"（分配错误状态），请单击 "Reclaim"（回收）按钮。
   • 如果 "State"（状态）字段是 "Allocated"（已分配），请执行以下操作之一：
     • 请求 "Owner"（所有者）字段中的用户解除分配设备。
     • 通过单击 "Revoke"（撤销）按扭强制解除分配设备。
4. 关闭 "Device Manager"（设备管理器）。

如何在 Trusted Extensions 中保护不可分配的设备

对于帧缓存器和打印机，最常使用 "Device Configuration"（设备配置）对话框的 "Allocatable By"（可由以下用户分配）部分中的 "No Users"（无用户）选项，这些设备不必分配即可使用。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

1. 从 "Trusted Path"（可信路径）菜单中，选择 "Allocate Device"（分配设备）。
2. 在 "Device Manager"（设备管理器）中，单击 "Administration"（管理）按钮。
3. 选择新的打印机或帧缓存器。
   1. 要使设备不可分配，请单击 "No Users"（无用户）。
   2. 可选限制设备上的标签范围。
      1. 设置最小标签。

         单击 "Min Label..."（最小标签...）按钮。从标签生成器中选择一个最小标签。有关标签生成器的信息，请参见Trusted Extensions 中的标签生成器。

      2. 设置最大标签。

         单击 "Max Label..."（最大标签...）按钮。从标签生成器中选择一个最大标签。

示例 21-1 阻止远程分配音频设备

"Allocatable By"（可由以下用户分配）部分中的 "No Users"（无用户）选项可阻止远程用户在远程系统上收听对话。

安全管理员在设备管理器中按以下方式配置音频设备：

Device Name: audio
For Allocations From: Trusted Path
Allocatable By: Authorized Users
Authorizations: solaris.device.allocate

Device Name: audio
For Allocations From: Non-Trusted Pathh
Allocatable By: No Users

如何在 Trusted Extensions 中添加 Device_Clean （设备清除）脚本

如果在创建设备时没有指定 device_clean （设备清除）脚本，则会使用缺省脚本 /bin/true。

开始之前

准备一个具有如下功能的脚本：清除物理设备中的所有可用数据，并且在成功时返回 0。对于具有可移除介质的设备，如果用户没有弹出介质，脚本会尝试执行此操作。如果介质没有弹出，脚本会将设备置于分配错误状态。有关要求的详细信息，请参见 device_clean(5) 手册页。

您必须在全局区域中承担 root 角色。

1. 将脚本复制到 /etc/security/lib 目录中。
2. 在 "Device Properties"（设备属性）对话框中，指定脚本的完整路径。
   1. 打开 "Device Manager"（设备管理器）。
   2. 单击 "Administration"（管理）按钮。
   3. 选择设备的名称，然后单击 "Configure"（配置）按钮。
   4. 在 "Clean Program"（清除程序）字段中，键入脚本的完整路径。
3. 保存您的更改。