Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
Etiquetas, impresoras e impresión
Diferencias entre la impresión de Trusted Extensions en Oracle Solaris 10 y Oracle Solaris 11
Resultado de impresión con etiquetas
Páginas de carátula y de ubicador con etiquetas
Páginas del cuerpo con etiquetas
Archivo de configuración tsol_separator.ps
Gestión de impresión en Trusted Extensions (tareas)
Configuración de impresión con etiquetas (mapa de tareas)
Cómo configurar un servidor de impresión de varios niveles y sus impresoras
Cómo configurar una impresora de red
Cómo configurar una zona como un servidor de impresión de un solo nivel
Cómo activar un cliente de Trusted Extensions para que acceda a un impresora
Cómo configurar un rango de etiquetas restringido para una impresora
Reducción de las restricciones de impresión en Trusted Extensions (mapa de tareas)
Cómo eliminar páginas de carátula y de ubicador
Cómo asignar una etiqueta a un servidor de impresión sin etiquetas
Cómo permitir que usuarios y roles específicos omitan el etiquetado de la salida impresa
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
Trusted Extensions usa etiquetas para controlar el acceso a las impresoras. Las etiquetas se usan para controlar el acceso a las impresoras y a la información sobre los trabajos de impresión en cola. El software también etiqueta las copias impresas. Las páginas del cuerpo y las páginas de la carátula y el ubicador obligatorios tienen etiquetas. Además, las páginas de carátula y ubicador pueden incluir instrucciones de tratamiento.
El administrador del sistema se encarga de la administración básica de las impresoras. El rol de administrador de la seguridad se ocupa de la seguridad de las impresoras, que incluye las etiquetas y el tratamiento del la impresión con etiquetas. Los administradores siguen los procedimientos de administración de impresoras básicos de Oracle Solaris. La configuración es necesaria para aplicar etiquetas, limitar el rango de etiquetas de los trabajos de impresión, configurar las zonas con etiquetas para imprimir y flexibilizar restricciones de impresión.
Trusted Extensions admite la impresión de un solo nivel y de varios niveles. De manera predeterminada, un servidor de impresión configurado en la zona global de un sistema Trusted Extensions puede imprimir toda la gama de las etiquetas, es decir, el servidor de impresión tiene varios niveles. Cualquier sistema o zona etiquetados que puedan acceder a ese servidor de impresión tienen la capacidad de imprimir en la impresora conectada. Una zona etiquetada admite la impresión de un solo nivel. La zona puede conectarse a la impresora a través de la zona global o se puede configurar como servidor de impresión. Cualquier zona en esa etiqueta que pueda acceder a la zona etiquetada y, por lo tanto, al servidor de impresión, tiene la capacidad de imprimir en la impresora conectada. La impresión de un solo nivel también es posible mediante el servidor de impresión en un sistema sin etiquetar que tiene asignada una etiqueta arbitraria. Estos trabajos de impresión se imprimen sin una etiqueta.
El protocolo de impresión predeterminado para Oracle Solaris 10 es el servicio de impresión LP. El valor predeterminado para Oracle Solaris 11 es el sistema común de impresión de Unix (CUPS). Para ver una guía completa de CUPS en Oracle Solaris, consulte Configuración y gestión de la impresión en Oracle Solaris 11.1. En la siguiente tabla, se muestran las diferencias principales entre los protocolos de impresión CUPS y LP.
Tabla 19-1 Diferencias entre CUPS y LP
|
Los usuarios y los roles de un sistema configurado con Trusted Extensions crean trabajos de impresión en la etiqueta de su sesión. Los trabajos de impresión son aceptados solamente por servidores de impresión que reconocen esa etiqueta. La etiqueta debe estar en el rango de etiquetas del servidor de impresión.
Los usuarios y los roles pueden ver los trabajos de impresión que tengan la misma etiqueta que la sesión. En la zona global, un rol puede ver los trabajos cuyas etiquetas estén controladas por la etiqueta de la zona.
Trusted Extensions imprime la información de seguridad en las páginas del cuerpo y en las páginas de carátula y de ubicador. Esta opción proviene del archivo /etc/security/tsol/label_encodings y del archivo /usr/lib/cups/filter/tsol_separator.ps. Las etiquetas que tienen más de 80 caracteres se imprimen truncadas en la parte superior e inferior de todas las páginas. El truncamiento se indica mediante una flecha (->). Las etiquetas del encabezado y el pie de página se imprimen en forma vertical, aun cuando las páginas del cuerpo se imprimen en forma horizontal. Para ver un ejemplo, consulte la Figura 19-4.
El texto, las etiquetas y las advertencias que aparecen en los trabajos de impresión se pueden configurar. El texto también se puede reemplazar con texto en otro idioma para su localización. El administrador de seguridad puede configurar lo siguiente:
Localizar o personalizar el texto de las páginas de carátula y de ubicador
Especificar etiquetas alternativas que se vayan a imprimir en las páginas del cuerpo o en los diversos campos de las páginas de carátula y de ubicador
Cambiar u omitir cualquiera de los textos o las etiquetas
Los usuarios que son dirigidos a una impresora sin etiquetas pueden imprimir la salida sin etiquetas. Los usuarios en una zona etiquetada con su propio servidor de impresión pueden imprimir la salida sin etiquetas si se les asigna la autorización solaris.print.unlabeled. Los roles se pueden configurar para imprimir la salida sin etiquetas en una impresora local controlada por un servidor de impresión de Trusted Extensions. Para obtener ayuda, consulte Reducción de las restricciones de impresión en Trusted Extensions (mapa de tareas).
Las siguientes figuras muestran la página de carátula predeterminada y las variaciones de la página de ubicador predeterminada. Las llamadas identifican las distintas secciones. Para obtener una explicación del origen del texto en estas secciones, consulte el Capítulo 4, Labeling Printer Output (Tasks) de Trusted Extensions Label Administration. Tenga en cuenta que la página de ubicador utiliza una línea exterior diferente.
Figura 19-1 Página de carátula típica de un trabajo de impresión con etiquetas
Figura 19-2 Diferencias en una página de ubicador
De manera predeterminada, la clasificación “Protect as” se imprime en la parte superior y en la parte inferior de cada página del cuerpo. La clasificación “Protect as” es la clasificación dominante cuando la clasificación de la etiqueta del trabajo se compara con la clasificación minimum protect as. La clasificación minimum protect as se define en el archivo label_encodings .
Por ejemplo, si el usuario se encuentra en una sesión Internal Use Only, los trabajos de impresión del usuario están en esa etiqueta. Si la clasificación minimum protect as en el archivo label_encodings es Public, la etiqueta Internal Use Only se imprime en las páginas del cuerpo.
Figura 19-3 Etiqueta del trabajo impresa en la parte superior y en la parte inferior de una página del cuerpo
Cuando las páginas del cuerpo se imprimen en modo horizontal, la etiqueta se imprime en modo vertical. En la figura siguiente, se ilustra una página del cuerpo, impresa en modo horizontal, cuya etiqueta Protect As se extiende más allá de los límites de la página. La etiqueta se trunca a 80 caracteres.
Figura 19-4 Etiqueta del trabajo impresa en modo vertical cuando la página del cuerpo se imprime en modo horizontal
En la siguiente tabla, se muestran los aspectos de la impresión de confianza que el administrador de seguridad puede cambiar mediante la modificación del archivo /usr/lib/cups/filter/tsol_separator.ps.
Tabla 19-2 Valores configurables en el archivo tsol_separator.ps
|
La impresión con etiquetas en Trusted Extensions se basa en las funciones de impresión de Oracle Solaris. Al igual que en el SO Oracle Solaris, la job-sheets gestiona la creación de páginas de carátula. Para implementar el etiquetado, un filtro convierte el trabajo de impresión en un archivo PostScript. A continuación, el archivo PostScript se manipula para que se inserten etiquetas en las páginas del cuerpo y se creen las páginas de la carátula y del ubicador.
Nota - CUPS evita la modificación de los archivos PostScript. Por lo tanto, un programador capacitado de PostScript no puede crear un archivo PostScript que modifica las etiquetas en la copia impresa.
Trusted Extensions agrega las siguientes autorizaciones de impresión para implementar la política de seguridad de Trusted Extensions. Estas autorizaciones se comprueban en el servidor de impresión. Por lo tanto, los usuarios remotos, como los usuarios de zonas etiquetadas, no pueden aprobar la comprobación de autorización.
solaris.print.admin: activa un rol para administrar la impresión
solaris.print.list: activa un rol para ver trabajos de impresión que no pertenecen al rol
solaris.print.nobanner: activa un rol para imprimir trabajos sin páginas de carátula ni de ubicador de la zona global
solaris.print.unlabeled: activa un rol para imprimir trabajos de impresión sin etiquetas de páginas de la zona global
Los siguientes comandos de usuario se amplían a fin de cumplir con la política de seguridad de Trusted Extensions:
cancel: el emisor de llamada debe ser igual a la etiqueta del trabajo de impresión para cancelar un trabajo. Los usuarios normales solamente pueden cancelar sus propios trabajos.
lp: la opción -o nolabel, que imprime páginas del cuerpo sin etiquetas, requiere la autorización solaris.print.unlabeled. La opción -o job-sheets=none, que imprime el trabajo sin una página de carátula ni de ubicador, requiere la autorización solaris.print.nobanner.
lpstat: el emisor de llamada debe ser igual a la etiqueta del trabajo de impresión para obtener el estado de un trabajo. Los usuarios normales solamente pueden ver sus propios trabajos de impresión.
Los siguientes comandos administrativos se amplían a fin de cumplir con la política de seguridad de Trusted Extensions. Al igual que en el SO Oracle Solaris, solamente los roles que incluyen el perfil de derechos de gestión de impresoras pueden ejecutar estos comandos.
lpmove: el emisor de llamada debe ser igual a la etiqueta del trabajo de impresión para mover un trabajo. De manera predeterminada, los usuarios comunes pueden mover solamente sus propios trabajos de impresión.
lpadmin: en la zona global, este comando funciona para todos los trabajos. En una zona etiquetada, el emisor de llamada debe dominar la etiqueta del trabajo de impresión para ver un trabajo y debe ser igual para cambiar un trabajo.
lpsched: en la zona global, este comando siempre se ejecuta correctamente. Al igual que en el SO Oracle Solaris, use el comando svcadm para activar, desactivar, iniciar o reiniciar el servicio de impresión. En una zona etiquetada, el emisor de llamada debe ser igual a la etiqueta del servicio de impresión para cambiar el servicio de impresión. Para obtener detalles sobre la utilidad de gestión de servicios, consulte las páginas del comando man smf(5), svcadm(1M) y svcs(1).