Gestión de asignación de dispositivos (tareas)

La asignación de dispositivos se suele implementar en sitios que requieren un nivel adicional de seguridad de dispositivos. Generalmente, los usuarios deben tener autorización para acceder a dispositivos asignables.

Gestión de asignación de dispositivos (mapa de tareas)

El siguiente mapa de tareas hace referencia a los procedimientos para activar y configurar la asignación de dispositivos, y para la resolución de problemas de la asignación de dispositivos. La asignación de dispositivos está desactivada de manera predeterminada. Después de que la asignación de dispositivos esté activada, consulte Asignación de dispositivos (tareas) para obtener instrucciones sobre la asignación de dispositivos.

Cómo activar la asignación de dispositivos

Antes de empezar

Debe convertirse en un administrador con el perfil de derechos de seguridad de dispositivo asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

1. Active el servicio de asignación de dispositivos y verifique que el servicio esté activado.

   # svcadm enable svc:/system/device/allocate
   # svcs -x allocate
   svc:/system/device/allocate:default (device allocation)
    State: online since September 10, 2011 01:10:11 PM PDT
      See: allocate(1)
      See: deallocate(1)
      See: list_devices(1)
      See: device_allocate(1M)
      See: mkdevalloc(1M)
      See: mkdevmaps(1M)
      See: dminfo(1M)
      See: device_maps(4)
      See: /var/svc/log/system-device-allocate:default.log
   Impact: None.

2. Para desactivar el servicio de asignación de dispositivos, utilice el subcomando disable.

   # svcadm disable device/allocate

Cómo autorizar a usuarios para que asignen un dispositivo

Antes de empezar

Debe convertirse en un administrador con el perfil de derechos de seguridad de usuarios asignado. Los perfiles de derechos deben incluir la autorización solaris.auth.delegate. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

1. Cree un perfil de derechos que incluya la autorización y los comandos adecuados.

   Generalmente, debe crear un perfil de derechos que incluya la autorización solaris.device.allocate. Siga las instrucciones de Cómo crear un perfil de derechos. Otorgue al perfil de derechos las propiedades adecuadas, como las siguientes:

   • Nombre del perfil de derechos: Device Allocation

   • Autorizaciones otorgadas: solaris.device.allocate

   • Comandos con privilegios: mount con privilegio sys_mount y umount con privilegio sys_mount

2. (Opcional) Cree un rol para el perfil de derechos.

   Siga las instrucciones de Cómo crear un rol. Utilice las siguientes propiedades del rol como guía:

   • Nombre del rol: devicealloc

   • Nombre completo del rol: Device Allocator

   • Descripción del rol: Allocates and mounts allocated devices

   • Perfil de derechos: Device Allocation

     Este perfil de derechos debe ser el primero de la lista de perfiles incluidos en el rol.

3. Asigne el perfil de derechos a usuarios autorizados o roles autorizados.
4. Enseñe a los usuarios cómo utilizar la asignación de dispositivos.

   Para ver ejemplos de cómo asignar medios extraíbles, consulte Cómo asignar un dispositivo.

Cómo ver la información de asignación de un dispositivo

Antes de empezar

Ha completado Cómo activar la asignación de dispositivos.

Debe convertirse en un administrador con el perfil de derechos de seguridad de dispositivo asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

• Visualice información sobre los dispositivos asignables en el sistema.

  # list_devices device-name

  Donde device-name es uno de los siguientes:

  • audio[n]: micrófono y altavoz.

  • fd[n]: unidad de disquete.

  • rmdisk[n]: es un dispositivo de medios extraíbles, como un USB.

  • sr[n]: unidad de CD-ROM.

  • st[n]: unidad de cinta.

Errores más frecuentes

Si el comando list_devices devuelve un mensaje de error similar al siguiente, es posible que la asignación de dispositivos no esté activada o que usted no cuente con permisos suficientes para recuperar la información.

list_devices: No device maps file entry for specified device.

Para que el comando se ejecute correctamente, active la asignación de dispositivos y asuma un rol con la autorización solaris.device.revoke.

Cómo asignar de manera forzada un dispositivo

La asignación forzada se utiliza cuando alguien ha olvidado desasignar un dispositivo. La asignación forzada también se puede utilizar cuando un usuario tiene una necesidad inmediata de un dispositivo.

Antes de empezar

Debe convertirse en un administrador con la autorización solaris.device.revoke asignada. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

1. Determine si tiene las autorizaciones adecuadas en el rol.

   $ auths
   solaris.device.allocate solaris.device.revoke

2. Asigne de manera forzada el dispositivo al usuario que lo necesita.

   En este ejemplo, la unidad USB se asigna de manera forzada al usuario jdoe .

   $ allocate -U jdoe

Cómo desasignar de manera forzada un dispositivo

Los dispositivos que un usuario ha asignado no se desasignan automáticamente cuando finaliza el proceso o cuando el usuario cierra la sesión. La desasignación forzada se utiliza cuando un usuario ha olvidado desasignar un dispositivo.

Antes de empezar

Debe convertirse en un administrador con la autorización solaris.device.revoke asignada. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

1. Determine si tiene las autorizaciones adecuadas en el rol.

   $ auths
   solaris.device.allocate solaris.device.revoke

2. Desasigne el dispositivo de manera forzada.

   En este ejemplo, la impresora se desasigna de manera forzada. La impresora ahora está disponible para que otro usuario la asigne.

   $ deallocate -f /dev/lp/printer-1

Cómo cambiar los dispositivos que se pueden asignar

Antes de empezar

La asignación de dispositivos debe estar activada para que este procedimiento se realice correctamente. Para activar la asignación de dispositivos, consulte Cómo activar la asignación de dispositivos. Debe asumir el rol root.

• Especifique si se requiere autorización o especifique la autorización solaris.device.allocate.

  Cambie el quinto campo en la entrada del dispositivo del archivo device_allocate.

  audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean
  fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean
  sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean

  Donde solaris.device.allocate indica que un usuario debe tener la autorización solaris.device.allocate para utilizar el dispositivo.

Ejemplo 5-2 Permiso para que cualquier usuario asigne un dispositivo

En el ejemplo siguiente, cualquier usuario del sistema puede asignar cualquier dispositivo. El quinto campo en cada entrada de dispositivo del archivo device_allocate se cambió al símbolo arroba (@).

# pfedit /etc/security/device_allocate
audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean
…

Ejemplo 5-3 Prevención de uso de algunos dispositivos periféricos

En el ejemplo siguiente, el dispositivo de audio no se puede utilizar. El quinto campo en la entrada del dispositivo de audio del archivo device_allocate se cambió a un asterisco (*).

# pfedit /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean
…

Ejemplo 5-4 Prevención de uso de todos los dispositivos periféricos

En el ejemplo siguiente, no se puede utilizar ningún dispositivo periférico. El quinto campo en cada entrada de dispositivo del archivo device_allocate se cambió a un asterisco (*).

# pfedit /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean
…

Cómo auditar la asignación de dispositivos

De manera predeterminada, los comandos de asignación de dispositivos se encuentran en la clase de auditoría other.

Antes de empezar

Debe convertirse en un administrador con el perfil de derechos de configuración de auditoría asignado. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

• Preseleccione la clase de auditoría ot.

  $ auditconfig -getflags
  current-flags
  $ auditconfig -setflags current-flags,ot

  Para obtener instrucciones detalladas, consulte Cómo preseleccionar clases de auditoría.