配置安全功能

Trusted Extensions 使用的安全功能与 Oracle Solaris 提供的安全功能相同，并且增加了一些功能。例如，Oracle Solaris OS 提供了 eeprom 保护、口令要求和强大的口令算法、通过将用户锁定在外实现的系统保护，以及禁用键盘关机等功能。

Trusted Extensions 与 Oracle Solaris 的不同之处在于，通常通过承担角色来管理系统。与在 Oracle Solaris OS 中一样，由 root 角色修改配置文件。

Trusted Extensions 中的角色

在 Trusted Extensions 中，角色是用来管理系统的惯用方法。超级用户是 root 角色，是执行少数几个任务（例如设置审计标志、更改帐户口令和编辑系统文件）所必需的。创建角色的过程与在 Oracle Solaris 中进行创建的过程一样。

下面的角色是 Trusted Extensions 站点中的典型角色：

• root 角色－在 Oracle Solaris 安装时创建

• "Security Administrator"（安全管理员）角色—由初始设置团队在初始配置期间或之后创建

• "System Administrator"（系统管理员）角色—由初始设置团队在初始配置期间或之后创建

在 Trusted Extensions 中创建角色

要管理 Trusted Extensions，您需要创建用于划分系统和安全功能的角色。

在 Trusted Extensions 中创建角色的过程与 Oracle Solaris 过程相同。缺省情况下，为角色指定管理标签范围 ADMIN_HIGH 到 ADMIN_LOW。

• 有关角色创建的概述，请参见《Oracle Solaris 管理：安全服务》中的"使用 RBAC（任务）"。

• 要创建角色，请参见《Oracle Solaris 管理：安全服务》中的"如何创建角色"。

Trusted Extensions 中的角色承担

在可信桌面上，可以通过在用于选择角色的可信窗口条中单击您的用户名来承担指定的角色。确认角色口令后，当前工作区将更改为角色工作区。角色工作区处于全局区域中，并具有可信路径属性。角色工作区是管理工作区。

用于配置安全功能的 Trusted Extensions 接口

在 Trusted Extensions 中，您可以扩展现有安全功能。另外，Trusted Extensions 还提供了独有的安全功能。

Trusted Extensions 对 Oracle Solaris 安全功能的扩展

Oracle Solaris 提供的以下安全机制在 Trusted Extensions 中是可扩展的，如同它们在 Oracle Solaris 中一样：

• 审计类－有关添加添加审计类的说明，请参见《Oracle Solaris 管理：安全服务》中的第 28  章 "管理审计（任务）"。

  ---

  注 - 要添加审计事件的供应商需要联系 Oracle Solaris 代表，以保留事件数目以及获取对审计接口的访问权限。

  ---

• 角色和权限配置文件－有关添加角色和权限配置文件的说明，请参见《Oracle Solaris 管理：安全服务》中的第 9  章 "使用基于角色的访问控制（任务）"。

• 授权－有关添加新授权的示例，请参见在 Trusted Extensions 中定制设备授权（任务列表）。

与在 Oracle Solaris 中一样，无法扩展特权。

独有的 Trusted Extensions 安全功能

Trusted Extensions 提供了以下独有的安全功能：

• "Labels"（标签）－为主体和对象设置标签。为进程设置标签。为区域和网络设置标签。为工作区及其对象设置标签。

• "Device Manager"（设备管理器）－缺省情况下，设备由分配要求来提供保护。"Device Manager"（设备管理器）GUI 是供管理员和一般用户使用的界面。

• "Change Password"（更改口令）菜单－使用该菜单可以更改用户或角色口令。

• "Change Workspace Label"（更改工作区标签）菜单－多级别会话中的用户可以更改工作区标签。进入不同标签的工作区时，可能要求用户提供口令。