跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务(任务)
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
如何从 Trusted Extensions 系统删除用户帐户
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域(任务)
14. 在 Trusted Extensions 中管理和挂载文件(任务)
16. 在 Trusted Extensions 中管理网络(任务)
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
23. Trusted Extensions 中的软件管理(参考)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
下面的任务列表介绍了在针对所有用户定制系统时或定制各个用户帐户时可以执行的常见任务。其中的许多任务需要在一般用户登录之前执行。
|
您可以在配置第一个系统期间修改缺省用户标签属性。必须将所做更改复制到每个 Trusted Extensions 系统。
注意 - 必须在任何一般用户访问系统之前完成此任务。 |
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。有关详细信息,请参见如何进入 Trusted Extensions 的全局区域。
有关缺省设置,请参见在 Trusted Extensions 中规划用户安全中的表 1-2。
注意 - label_encodings 文件在所有系统上必须都相同。要想了解一种分发方法,请参见如何在 Trusted Extensions 中将文件复制到便携介质和如何在 Trusted Extensions 中从便携介质复制文件。 |
在 Trusted Extensions 中更改 policy.conf 缺省值等同于在 Oracle Solaris 中更改任何安全相关系统文件。使用以下过程可为系统的所有用户更改缺省值。
开始之前
您必须在全局区域中承担 root 角色。有关详细信息,请参见如何进入 Trusted Extensions 的全局区域。
有关 Trusted Extensions 关键字,请参见表 10-1。
示例 11-1 更改系统的空闲设置
在本例中,安全管理员想让空闲的系统返回到登录屏幕。缺省情况下会锁定空闲系统。因此,root 角色将按如下方式将 IDLECMD keyword=value 对添加到 /etc/security/policy.conf 文件:
IDLECMD=LOGOUT
管理员还想缩短系统在注销之前空闲的时间。因此,root 角色将按如下方式将 IDLETIME keyword=value 对添加到 policy.conf 文件:
IDLETIME=10
现在,系统会在空闲 10 分钟后注销用户。
请注意,如果登录用户承担了某个角色,则用户的 IDLECMD 和 IDLETIME 值将对该角色生效。
示例 11-2 修改每个用户的基本特权集
在本示例中,大型安装的安全管理员不希望一般用户查看其他用户的进程。因此,在配置有 Trusted Extensions 的每个系统上,root 角色将从基本特权集中删除 proc_info。将按如下方式对 /etc/policy.conf 文件中的 PRIV_DEFAULT 设置取消注释并进行修改:
PRIV_DEFAULT=basic,!proc_info
示例 11-3 为系统的所有用户指定与打印相关的授权
在此示例中,站点安全允许公共资讯服务站计算机在打印时不带标签。在公共资讯服务站中,root 角色修改 /etc/security/policy.conf 文件中的 AUTHS_GRANTED 值。在下次引导时,此资讯服务站的所有用户执行的打印作业都会在没有页面标签的情况下打印。
AUTHS_GRANTED=solaris.print.unlabeled
然后,管理员决定通过删除标题页和篇尾页来节省纸张。管理员进一步修改 policy.conf 条目。
AUTHS_GRANTED=solaris.print.unlabeled,solaris.print.nobanner
重新引导公共资讯服务站后,所有打印作业均不带标签,也没有标题页和篇尾页。
用户可以以对应于其最小敏感标签的标签将 .copy_files 文件和 .link_files 文件放入其起始目录中。用户还可以修改其最小标签的现有 .copy_files 和 .link_files 文件。管理员角色可以使用此过程来自动化站点的设置。
开始之前
您必须具有全局区域中的 "System Administrator"(系统管理员)角色。有关详细信息,请参见如何进入 Trusted Extensions 的全局区域。
将 .copy_files 和 .link_files 添加到您的启动文件列表中。
# cd /etc/skel # touch .copy_files .link_files
# vi /etc/skel/.copy_files
可使用 .copy_files 和 .link_files 文件作为参考。有关文件样例,请参见示例 11-4。
有关启动文件中包含哪些文件的讨论,请参见《Oracle Solaris 管理:常见任务》中的"定制用户的工作环境"。
有关详细信息,请参见《Oracle Solaris 管理:常见任务》中的"如何定制用户初始化文件"。
P 表示 Profile(配置文件)shell。
X 表示 shell 名称的开头字母,例如 B 代表 Bourne,K 代表 Korn,C 代表 C shell,P 代表 Profile shell。
示例 11-4 为用户定制启动文件
在本示例中,系统管理员为每个用户的起始目录配置文件。这些文件在任何用户登录之前已工作。这些文件位于用户的最小标签。在此站点中,用户的缺省 shell 是 C shell。
系统管理员创建具有以下内容的 .copy_files 和 .link_files 文件:
## .copy_files for regular users ## Copy these files to my home directory in every zone .mailrc .mozilla .soffice :wq
## .link_files for regular users with C shells ## Link these files to my home directory in every zone .bashrc .bashrc.user .cshrc .login :wq
## .link_files for regular users with Korn shells # Link these files to my home directory in every zone .ksh .profile :wq
在 shell 初始化文件中,管理员确保用户的打印作业会传至有标签的打印机。
## .cshrc file setenv PRINTER conf-printer1 setenv LPDEST conf-printer1
## .ksh file export PRINTER conf-printer1 export LPDEST conf-printer1
将定制的文件复制到相应的框架目录中。
$ cp .copy_files .link_files .bashrc .bashrc.user .cshrc \ .login .profile .mailrc /etc/skelC $ cp .copy_files .link_files .ksh .profile .mailrc \ /etc/skelK
故障排除
如果您在最低级别标签创建了一个 .copy_files 文件,然后登录到较高级别区域运行 updatehome 命令,且该命令失败并出现访问错误,请尝试以下操作:
确认您可以从较高级别的区域查看较低级别的目录。
higher-level zone# ls /zone/lower-level-zone/home/username ACCESS ERROR: there are no files under that directory
如果您无法查看低级别目录,请在较高级别的区域中重新启动自动挂载服务:
higher-level zone# svcadm restart autofs
除非为主目录使用 NFS 挂载,否则较高级别区域中的自动挂载程序应从 /zone/lower-level-zone/export/home/username 回送挂载到 /zone/lower-level-zone/home/username。
在 Trusted Extensions 中,故障安全登录是受保护的。如果一般用户已定制了 shell 初始化文件但现在无法登录,您可以使用故障安全登录来修复用户的文件。
开始之前
您必须知道 root 口令。
现在,您可以调试用户的初始化文件了。