在 Trusted Extensions 中创建角色和用户

在 Trusted Extensions 中创建角色的过程与在 Oracle Solaris中创建角色的过程相同。但对于评估配置，需要 "Security Administrator"（安全管理员）角色。

如何在 Trusted Extensions 中创建 "Security Administrator"（安全管理员）角色

开始之前

您是全局区域中的 root 角色。

1. 要创建角色，请使用 roleadd 命令。

   有关该命令的信息，请参见 roleadd(1M) 手册页。

   可以使用下列信息作为参考：

   • Role name（角色名称）－secadmin

   • -c Local Security Officer

     请勿提供专有信息。

   • -m home-directory

   • -u role-UID

   • -S repository

   • -K key=value

     指定 "Information Security"（信息安全）和 "User Security"（用户安全）权限配置文件。

     ---

     注 - 对于所有管理角色，请使用管理标签作为标签范围、审计 pfexec 命令的使用、设置 lock_after_retries=no，且不设置口令失效日期。

     ---

   # roleadd -c "Local Security Officer" -m \
   -u 110 -K profiles="Information Security,User Security" -S files \
   -K lock_after_retries=no \
   -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin

2. 提供角色的初始口令。

   # passwd -r files secadmin
   New Password:        <Type password>
   Re-enter new Password: <Retype password>
   passwd: password successfully changed for secadmin
   #

   指定至少包含六个字母数字字符的口令。安全管理员角色的口令以及所有口令都必须难以猜出，从而减少通过试猜口令而让有敌意的人获取未经授权访问的机会。

3. 创建其他角色时，使用 "Security Administrator"（安全管理员）角色作为参考。

   可能的角色包括：

   • admin 角色－System Administrator（系统管理员）权限配置文件

   • oper 角色－Operator（操作员）权限配置文件

示例 4-4 在 LDAP 中创建 "Security Administrator"（安全管理员）角色

对第一个系统配置 "local Security Administrator"（本地安全管理员）角色后，管理员会在 LDAP 系统信息库中创建 "Security Administrator"（安全管理员）角色。在该方案中，LDAP 客户机可由在 LDAP 中定义的 "Security Administrator"（安全管理员）角色进行管理。

# roleadd -c "Site Security Officer" -d server1:/rpool/pool1/BayArea/secadmin
-u 111 -K profiles="Information Security,User Security" -S ldap \
-K lock_after_retries=no -K audit_flags=lo,ex:no \
-K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin

管理员提供角色的初始口令。

# passwd -r ldap secadmin
New Password:        <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for secadmin
#

接下来的步骤

要将本地角色分配给本地用户，请参见如何在 Trusted Extensions 中创建可以承担角色的用户。

如何创建 "System Administrator"（系统管理员）角色

开始之前

您是全局区域中的 root 角色。

1. 将 "System Administrator（系统管理员）"权限配置文件指定给角色。

   # roleadd -c "Local System Administrator" -m -u 111 -K audit_flags=lo,ex:no\
   -K profiles="System Administrator" -K lock_after_retries=no \
   -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH sysadmin

2. 提供角色的初始口令。

   # passwd -r files sysadmin
   New Password:        <Type password>
   Re-enter new Password: <Retype password>
   passwd: password successfully changed for sysadmin
   #

如何在 Trusted Extensions 中创建可以承担角色的用户

在站点安全策略允许的情况下，可以选择创建能承担多个管理角色的用户。

为保证可以创建用户，"System Administrator"（系统管理员）角色负责创建用户和指定初始口令，而 "Security Administrator"（安全管理员）角色则负责指定与安全相关的属性（如角色）。

开始之前

您必须在全局区域中承担 root 角色。或者，如果强制执行职责分离，必须存在可承担 "Security Administrator"（安全管理员）和 "System Administrator"（系统管理员）不同角色的用户以承担其角色，并执行此过程中的相应步骤。

1. 创建用户。

   root 角色或 "System Administrator"（系统管理员）角色执行此步骤。

   请勿在注释中放置专有信息。

   # useradd -c "Second User" -u 1201 -d /home/jdoe jdoe

2. 创建用户后，修改用户的安全属性。

   root 角色或 "Security Administrator"（安全管理员）角色执行此步骤。

   ---

   注 - 对于可承担角色的用户，请关闭帐户锁定，且不设置口令失效日期。同时，审计 pfexec 命令的使用。

   ---

   # usermod -K lock_after_retries=no -K idletime=5 -K idlecmd=lock \
   -K audit_flags=lo,ex:no jdoe

   ---

   注 - 用户承担角色后，idletime 和 idlecmd 的值继续有效。有关更多信息，请参见Trusted Extensions 中的 policy.conf 文件缺省值。

   ---

3. 指定至少包含六个字母数字字符的口令。

   # passwd jdoe
   New Password: Type password
   Re-enter new Password:Retype password

   ---

   注 - 初始设置团队选择口令时，必须选择难以猜出的口令，从而减少通过试猜口令而让有敌意的人获取未经授权访问的机会。

   ---

4. 将角色分配给用户。

   root 角色或 "Security Administrator"（安全管理员）角色执行此步骤。

   # usermod -R oper jdoe

5. 定制用户的环境。
   1. 指定方便授权。

      在检查了站点安全策略以后，可能需要向您的首批用户授予 "Convenient Authorizations"（方便授权）权限配置文件。使用此配置文件，用户可以分配设备、打印 PostScript 文件、进行无标签打印、远程登录以及关闭系统。要创建配置文件，请参见如何创建权限配置文件以实现方便的授权。

   2. 定制用户初始化文件。

      请参见针对安全性定制用户环境（任务列表）。

   3. 创建多级别副本和链接文件。

      在多级别系统上，可以为用户和角色设置一些文件，这些文件列出要复制或链接到其他标签的用户初始化文件。有关更多信息，请参见.copy_files 和 .link_files 文件。

示例 4-5 使用 useradd 命令创建本地用户

在此示例中，root 角色创建一个可承担 "Security Administrator"（安全管理员）角色的本地用户。有关详细信息，请参见 useradd(1M) 和 atohexlabel(1M) 手册页。

该用户将具有比缺省标签范围更广的标签范围。因此，root 角色确定用户的最小标签和安全许可标签的十六进制格式。

# atohexlabel public
0x0002-08-08
# atohexlabel -c "confidential restricted"
0x0004-08-78

其次，root 角色参考表 1-2，然后创建用户。管理员将用户的起始目录放置到 /export/home1，而不是缺省的 /export/home 中。

# useradd -c "Local user for Security Admin" -d /export/home1/jandoe \
-K idletime=10 -K idlecmd=logout -K lock_after_retries=no
-K min_label=0x0002-08-08 -K clearance=0x0004-08-78 jandoe

接着，root 角色指定初始口令。

# passwd -r files jandoe
New Password:    <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for jandoe
#

最后，root 角色将 "Security Administrator"（安全管理员）角色添加到用户的定义中。该角色是在如何在 Trusted Extensions 中创建 "Security Administrator"（安全管理员）角色中创建的。

# usermod -R secadmin jandoe

如何检验 Trusted Extensions 角色是否有效

要检验每个角色，请承担相应的角色。然后，执行只有该角色可以执行的任务，并尝试不允许该角色执行的任务。

开始之前

如果您配置了 DNS 或路由，则必须在创建角色之后，检验该角色是否有效之前，进行重新引导。

1. 对于每个角色，以可以承担相应角色的用户身份登录。
2. 承担角色。

   在以下可信窗口条中，用户名为 tester。

   
   
   1. 在可信窗口条中，单击您的用户名。
   2. 从分配给您的角色列表中，选择一个角色。
3. 测试该角色。

   有关更改用户属性所需的授权，请参见 passwd(1) 手册页。

   • "System Administrator"（系统管理员）角色应该能够创建用户和修改需要 solaris.user.manage 授权的用户属性，如用户的登录 shell。"System Administrator"（系统管理员）角色应该不能更改需要 solaris.account.setpolicy 授权的用户属性。

   • "Security Administrator"（安全管理员）角色应该能够更改需要 solaris.account.setpolicy 授权的用户属性。"Security Administrator"（安全管理员）应该不能创建用户或更改用户的登录 shell。

如何使用户能够登录到有标签区域

重新引导系统时，必须重新建立设备与底层存储之间的关联。

开始之前

您已经创建了至少一个有标签的区域。配置系统后，您已重新引导。您可承担 root 角色。

1. 登录并承担 root 角色。
2. 检查区域服务的状态。

   # svcs zones
   STATE          STIME    FMRI
   offline        -        svc:/system/zones:default

3. 重新启动服务。

   # svcadm restart svc:/system/zones:default

4. 注销。

   一般用户现在可以登录了。他们的会话位于有标签区域中。