Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
Control de dispositivos en Trusted Extensions (mapa de tareas)
Uso de dispositivos en Trusted Extensions (mapa de tareas)
Gestión de dispositivos en Trusted Extensions (mapa de tareas)
Cómo configurar un dispositivo en Trusted Extensions
Cómo revocar o reclamar un dispositivo en Trusted Extensions
Cómo proteger los dispositivos no asignables en Trusted Extensions
Cómo agregar una secuencia de comandos device_clean en Trusted Extensions
Personalización de autorizaciones para dispositivos en Trusted Extensions (mapa de tareas)
Cómo crear nuevas autorizaciones para dispositivos
Cómo agregar autorizaciones específicas del sitio a un dispositivo en Trusted Extensions
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
En el siguiente mapa de tareas, se describen los procedimientos para cambiar las autorizaciones para dispositivos en el sitio.
|
Si un dispositivo no requiere una autorización, de manera predeterminada, todos los usuarios pueden utilizar el dispositivo. Si se requiere una autorización, solamente los usuarios autorizados pueden utilizar el dispositivo.
Para denegar el acceso total a un dispositivo asignable, consulte el Ejemplo 21-1. Para crear y utilizar una nueva autorización, consulte el Ejemplo 21-3.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Los archivos de ayuda están en formato HTML. La convención de denominación es AuthName.html, como en DeviceAllocateCD.html.
$ auths add -t "Authorization description" -h /full/path/to/helpfile.html authorization-name
$ profiles rights-profile profiles:rights-profile > add auths="authorization-name"...
# usermod -P "rights-profile" username # rolemod -P "rights-profile" rolename
Agregue las autorizaciones nuevas a la lista de autorizaciones requeridas en Device Manager. Para conocer el procedimiento, consulte Cómo agregar autorizaciones específicas del sitio a un dispositivo en Trusted Extensions.
Ejemplo 21-2 Creación de autorizaciones para dispositivos específicas
En este ejemplo, un administrador de seguridad de NewCo necesita establecer autorizaciones específicas de dispositivos para la compañía.
En primer lugar, el administrador crea los siguientes archivos de ayuda:
Newco.html NewcoDevAllocateCDVD.html NewcoDevAllocateUSB.html
A continuación, el administrador crea un archivo de ayuda de plantilla a partir del cual se copian y modifican los demás archivos de ayuda.
<HTML> -- Copyright 2012 Newco. All rights reserved. -- NewcoDevAllocateCDVD.html --> <HEAD> <TITLE>Newco Allocate CD or DVD Authorization</TITLE> </HEAD> <BODY> The com.newco.dev.allocate.cdvd authorization enables you to allocate the CD drive on your system for your exclusive use. <p> The use of this authorization by a user other than the authorized account is a security violation. <p> </BODY> </HTML>
Después de crear los archivos de ayuda, el administrador utiliza el comando auths para crear cada autorización de dispositivo. Dedo que las autorizaciones se utilizan en toda la compañía, el administrador coloca las autorizaciones en el repositorio LDAP. El comando incluye el nombre de la ruta a los archivos de ayuda.
El administrador crea dos autorizaciones de dispositivos y un encabezado de autorización Newco.
Una autorización autoriza al usuario para asignar una unidad de CD-ROM o DVD.
# auths add -S ldap -t "Allocate CD or DVD" \ -h /docs/helps/NewcoDevAllocateCDVD.html com.newco.dev.allocate.cdvd
Una autorización autoriza al usuario para asignar un dispositivo USB.
# auths add -S ldap -t "Allocate USB" \ -h /docs/helps/NewcoDevAllocateUSB.html com.newco.dev.allocate.usb
El encabezado de autorización Newco identifica todas las autorizaciones Newco.
# auths add -S ldap -t "Newco Auth Header" \ -h /docs/helps/Newco.html com.newco
Ejemplo 21-3 Creación y asignación de autorizaciones de dispositivos Trusted Path y Non-Trusted Path
De manera predeterminada, la autorización Allocate Devices permite la asignación desde adentro de Trusted Path y desde afuera de Trusted Path.
En el siguiente ejemplo, la política de seguridad del sitio requiere la restricción de la asignación remota de CD-ROM y DVD. El administrador de seguridad crea la autorización com.newco.dev.allocate.cdvd.local. Esta autorización corresponde a las unidades de CD-ROM y DVD que se asignan con Trusted Path. La autorización com.newco.dev.allocate.cdvd.remote corresponde a los pocos usuarios que tienen permiso para asignar una unidad de CD-ROM o DVD fuera de Trusted Path.
El administrador de seguridad crea los archivos de ayuda, agrega las autorizaciones de dispositivos a la base de datos auth_attr, agrega las autorizaciones a los dispositivos y, luego, aplica las autorizaciones en los perfiles de derechos. El rol root asigna los perfiles a los usuarios que tienen permiso para asignar dispositivos.
Los siguientes comandos agregan las autorizaciones de dispositivos a la base de datos auth_attr:
$ auths add -S ldap -t "Allocate Local DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDLocal.html \ com.newco.dev.allocate.cdvd.local $ auths add -S ldap -t "Allocate Remote DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDRemote.html \ com.newco.dev.allocate.cdvd.remote
A continuación, se muestra la asignación de Device Manager:
La asignación local de la unidad de CD-ROM está protegida por Trusted Path.
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.local
La asignación remota no está protegida por Trusted Path; por lo tanto, los usuarios remotos deben ser confiables. En el paso final, el administrador autorizará la asignación remota para dos roles únicamente.
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.remote
Los siguientes comandos crean los perfiles de derechos Newco para estas autorizaciones y agregan las autorizaciones a los perfiles:
$ profiles -S ldap "Remote Allocator" profiles:Remote Allocator > set desc="Allocate Remote CDs and DVDs" profiles:Remote Allocator > set help="/docs/helps/NewcoDevRemoteCDVD.html" profiles:Remote Allocator > add auths="com.newco.dev.allocate.cdvd.remote" profiles:Remote Allocator > end profiles:Remote Allocator > exit
$ profiles -S ldap "Local Only Allocator" profiles:Local Only Allocator > set desc="Allocate Local CDs and DVDs" profiles:Local Only Allocator > set help="/docs/helps/NewcoDevLocalCDVD.html" profiles:Local Only Allocator > add auths="com.newco.dev.allocate.cdvd.local" profiles:Local Only Allocator > end profiles:Local Only Allocator > exit
Los siguientes comandos asignan los perfiles de derechos a los usuarios autorizados. El rol root asigna los perfiles. En este sitio, únicamente los roles están autorizados para asignar remotamente dispositivos periféricos.
# usermod -P "Local Only Allocator" jdoe # usermod -P "Local Only Allocator" kdoe
# rolemod -P "Remote Allocator" secadmin # rolemod -P "Remote Allocator" sysadmin
Antes de empezar
Debe estar con el rol de administrador de la seguridad o con un rol que incluya la autorización Configure Device Attributes. Ya debe haber creado las autorizaciones específicas del sitio, como se describe en Cómo crear nuevas autorizaciones para dispositivos.
Las autorizaciones nuevas se muestran en la lista Not Required.
La autorización Allocate Device activa a los usuarios para que asignen un dispositivo. Las autorizaciones Allocate Device y Revoke or Reclaim Device son adecuadas para los roles administrativos.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Si los perfiles existentes no son adecuados, el administrador de la seguridad puede crear un perfil nuevo. Para ver un ejemplo, consulte Cómo crear perfiles de derechos para autorizaciones convenientes.
Para conocer el procedimiento paso a paso, consulte Cómo cambiar los atributos de seguridad de un usuario de Administración de Oracle Solaris 11.1: servicios de seguridad.
Los siguientes perfiles de derechos activan un rol para que asigne dispositivos:
All Authorizations
Device Management
Media Backup
Object Label Management
Software Installation
Los siguientes perfiles de derechos activan un rol para que revoque o reclame dispositivos:
All Authorizations
Device Management
Los siguientes perfiles de derechos activan un rol para que cree o configure dispositivos:
All Authorizations
Device Security
El Ejemplo 21-2 muestra cómo asignar las autorizaciones.