Personalización de autorizaciones para dispositivos en Trusted Extensions (mapa de tareas)

En el siguiente mapa de tareas, se describen los procedimientos para cambiar las autorizaciones para dispositivos en el sitio.

Tarea	Descripción	Para obtener instrucciones
Crear nuevas autorizaciones para dispositivos.	Se crean autorizaciones específicas del sitio.	Cómo crear nuevas autorizaciones para dispositivos
Agregar autorizaciones a un dispositivo.	Se agregan autorizaciones específicas del sitio a dispositivos seleccionados.	Cómo agregar autorizaciones específicas del sitio a un dispositivo en Trusted Extensions
Asignar autorizaciones para dispositivos a usuarios y roles.	Permite que los usuarios y los roles usen las autorizaciones nuevas.	Cómo asignar autorizaciones para dispositivos

Cómo crear nuevas autorizaciones para dispositivos

Si un dispositivo no requiere una autorización, de manera predeterminada, todos los usuarios pueden utilizar el dispositivo. Si se requiere una autorización, solamente los usuarios autorizados pueden utilizar el dispositivo.

Para denegar el acceso total a un dispositivo asignable, consulte el Ejemplo 21-1. Para crear y utilizar una nueva autorización, consulte el Ejemplo 21-3.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

(Opcional) Cree un archivo de ayuda para cada nueva autorización de dispositivo.
Los archivos de ayuda están en formato HTML. La convención de denominación es AuthName.html, como en DeviceAllocateCD.html.

Cree las autorizaciones de dispositivos.

$ auths add -t "Authorization description" -h /full/path/to/helpfile.html authorization-name

Agregue las autorizaciones nuevas a los perfiles de derechos adecuados.

$ profiles rights-profile
profiles:rights-profile > add auths="authorization-name"...

Asigne los perfiles a usuarios y roles.

# usermod -P "rights-profile" username
# rolemod -P "rights-profile" rolename

Utilice las autorizaciones para restringir el acceso a dispositivos seleccionados.
Agregue las autorizaciones nuevas a la lista de autorizaciones requeridas en Device Manager. Para conocer el procedimiento, consulte Cómo agregar autorizaciones específicas del sitio a un dispositivo en Trusted Extensions.

Ejemplo 21-2 Creación de autorizaciones para dispositivos específicas

En este ejemplo, un administrador de seguridad de NewCo necesita establecer autorizaciones específicas de dispositivos para la compañía.

En primer lugar, el administrador crea los siguientes archivos de ayuda:

Newco.html
NewcoDevAllocateCDVD.html
NewcoDevAllocateUSB.html

A continuación, el administrador crea un archivo de ayuda de plantilla a partir del cual se copian y modifican los demás archivos de ayuda.

<HTML>
-- Copyright 2012 Newco.  All rights reserved.
-- NewcoDevAllocateCDVD.html 
-->
<HEAD>
        <TITLE>Newco Allocate CD or DVD Authorization</TITLE>
</HEAD>
<BODY>
The com.newco.dev.allocate.cdvd authorization enables you to allocate the 
CD drive on your system for your exclusive use.
<p>
The use of this authorization by a user other than the authorized account 
is a security violation.
<p>
</BODY>
</HTML>

Después de crear los archivos de ayuda, el administrador utiliza el comando auths para crear cada autorización de dispositivo. Dedo que las autorizaciones se utilizan en toda la compañía, el administrador coloca las autorizaciones en el repositorio LDAP. El comando incluye el nombre de la ruta a los archivos de ayuda.

El administrador crea dos autorizaciones de dispositivos y un encabezado de autorización Newco.

Una autorización autoriza al usuario para asignar una unidad de CD-ROM o DVD.

# auths add -S ldap -t "Allocate CD or DVD" \
-h /docs/helps/NewcoDevAllocateCDVD.html com.newco.dev.allocate.cdvd

Una autorización autoriza al usuario para asignar un dispositivo USB.

# auths add -S ldap -t "Allocate USB" \
-h /docs/helps/NewcoDevAllocateUSB.html com.newco.dev.allocate.usb

El encabezado de autorización Newco identifica todas las autorizaciones Newco.

# auths add -S ldap -t "Newco Auth Header" \
-h /docs/helps/Newco.html com.newco

Ejemplo 21-3 Creación y asignación de autorizaciones de dispositivos Trusted Path y Non-Trusted Path

De manera predeterminada, la autorización Allocate Devices permite la asignación desde adentro de Trusted Path y desde afuera de Trusted Path.

En el siguiente ejemplo, la política de seguridad del sitio requiere la restricción de la asignación remota de CD-ROM y DVD. El administrador de seguridad crea la autorización com.newco.dev.allocate.cdvd.local. Esta autorización corresponde a las unidades de CD-ROM y DVD que se asignan con Trusted Path. La autorización com.newco.dev.allocate.cdvd.remote corresponde a los pocos usuarios que tienen permiso para asignar una unidad de CD-ROM o DVD fuera de Trusted Path.

El administrador de seguridad crea los archivos de ayuda, agrega las autorizaciones de dispositivos a la base de datos auth_attr, agrega las autorizaciones a los dispositivos y, luego, aplica las autorizaciones en los perfiles de derechos. El rol root asigna los perfiles a los usuarios que tienen permiso para asignar dispositivos.

Los siguientes comandos agregan las autorizaciones de dispositivos a la base de datos auth_attr:

$ auths add -S ldap -t "Allocate Local DVD or CD" \
-h /docs/helps/NewcoDevAllocateCDVDLocal.html \
com.newco.dev.allocate.cdvd.local
$ auths add -S ldap -t "Allocate Remote DVD or CD" \
-h /docs/helps/NewcoDevAllocateCDVDRemote.html \
com.newco.dev.allocate.cdvd.remote

A continuación, se muestra la asignación de Device Manager:

La asignación local de la unidad de CD-ROM está protegida por Trusted Path.
```
Device Name: cdrom_0
For Allocations From: Trusted Path
Allocatable By: Authorized Users
Authorizations: com.newco.dev.allocate.cdvd.local
```
La asignación remota no está protegida por Trusted Path; por lo tanto, los usuarios remotos deben ser confiables. En el paso final, el administrador autorizará la asignación remota para dos roles únicamente.
```
Device Name: cdrom_0
For Allocations From: Non-Trusted Path
Allocatable By: Authorized Users
Authorizations: com.newco.dev.allocate.cdvd.remote
```

Los siguientes comandos crean los perfiles de derechos Newco para estas autorizaciones y agregan las autorizaciones a los perfiles:

$ profiles -S ldap "Remote Allocator"
profiles:Remote Allocator > set desc="Allocate Remote CDs and DVDs"
profiles:Remote Allocator > set help="/docs/helps/NewcoDevRemoteCDVD.html"
profiles:Remote Allocator > add auths="com.newco.dev.allocate.cdvd.remote"
profiles:Remote Allocator > end
profiles:Remote Allocator > exit

$ profiles -S ldap "Local Only Allocator"
profiles:Local Only Allocator > set desc="Allocate Local CDs and DVDs"
profiles:Local Only Allocator > set help="/docs/helps/NewcoDevLocalCDVD.html"
profiles:Local Only Allocator > add auths="com.newco.dev.allocate.cdvd.local"
profiles:Local Only Allocator > end
profiles:Local Only Allocator > exit

Los siguientes comandos asignan los perfiles de derechos a los usuarios autorizados. El rol root asigna los perfiles. En este sitio, únicamente los roles están autorizados para asignar remotamente dispositivos periféricos.
```
# usermod -P "Local Only Allocator" jdoe
# usermod -P "Local Only Allocator" kdoe
```
```
# rolemod -P "Remote Allocator" secadmin
# rolemod -P "Remote Allocator" sysadmin
```

Cómo agregar autorizaciones específicas del sitio a un dispositivo en Trusted Extensions

Antes de empezar

Debe estar con el rol de administrador de la seguridad o con un rol que incluya la autorización Configure Device Attributes. Ya debe haber creado las autorizaciones específicas del sitio, como se describe en Cómo crear nuevas autorizaciones para dispositivos.

Siga el procedimiento de Cómo configurar un dispositivo en Trusted Extensions.
1. Seleccione un dispositivo que deba protegerse con las autorizaciones nuevas.
2. Haga clic en el botón Administration.
3. Haga clic en el botón Authorizations.
  Las autorizaciones nuevas se muestran en la lista Not Required.
4. Agregue las autorizaciones nuevas a la lista de autorizaciones Required.
Para guardar los cambios, haga clic en OK.

Cómo asignar autorizaciones para dispositivos

La autorización Allocate Device activa a los usuarios para que asignen un dispositivo. Las autorizaciones Allocate Device y Revoke or Reclaim Device son adecuadas para los roles administrativos.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

Si los perfiles existentes no son adecuados, el administrador de la seguridad puede crear un perfil nuevo. Para ver un ejemplo, consulte Cómo crear perfiles de derechos para autorizaciones convenientes.

Asigne al usuario un perfil de derechos que cuente con la autorización Allocate Device.
Para conocer el procedimiento paso a paso, consulte Cómo cambiar los atributos de seguridad de un usuario de Administración de Oracle Solaris 11.1: servicios de seguridad.

Los siguientes perfiles de derechos activan un rol para que asigne dispositivos:
- All Authorizations
- Device Management
- Media Backup
- Object Label Management
- Software Installation
Los siguientes perfiles de derechos activan un rol para que revoque o reclame dispositivos:
- All Authorizations
- Device Management
Los siguientes perfiles de derechos activan un rol para que cree o configure dispositivos:
- All Authorizations
- Device Security
El Ejemplo 21-2 muestra cómo asignar las autorizaciones.

Omitir Vínculos de navegación
Salir de la Vista de impresión
	Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español)