Personalización del entorno de usuario para la seguridad (mapa de tareas)

En el siguiente mapa de tareas se describen las tareas comunes que puede llevar a cabo para personalizar un sistema para todos los usuarios o una cuenta de usuario individual. Muchas de estas tareas se llevan a cabo antes de que los usuarios comunes puedan iniciar sesión.

Cómo modificar atributos de etiquetas de usuarios predeterminados

Puede modificar los atributos de etiquetas de usuarios predeterminados durante la configuración del primer sistema. Los cambios se deben copiar en cada sistema Trusted Extensions.

---

Precaución - Debe completar esta tarea antes de que los usuarios comunes accedan al sistema.

---

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.

1. Revise la configuración predeterminada de los atributos de usuario en el archivo /etc/security/tsol/label_encodings.

   Para conocer los valores predeterminados, consulte la Tabla 1-2 en Planificación de la seguridad del usuario en Trusted Extensions.

2. Modifique la configuración de los atributos de usuario en el archivo label_encodings.
3. Distribuya una copia del archivo en cada sistema Trusted Extensions.

   ---

   Precaución - El archivo label_encodings debe ser igual en todos los sistemas. Para conocer un método de distribución, consulte Cómo copiar archivos en medios portátiles en Trusted Extensions y Cómo copiar archivos desde medios portátiles en Trusted Extensions.

   ---

Cómo modificar los valores predeterminados de policy.conf

La modificación de los valores predeterminados de policy.conf en Trusted Extensions es idéntica a la modificación de cualquier archivo del sistema relacionado con la seguridad en Oracle Solaris. Utilice este procedimiento para cambiar los valores predeterminados para todos los usuarios de un sistema.

Antes de empezar

Debe estar con el rol de usuario root en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.

1. Revise los valores predeterminados en el archivo /etc/security/policy.conf.

   Para conocer las palabras clave de Trusted Extensions consulte la Tabla 10-1.

2. Modifique la configuración.

Ejemplo 11-1 Cambio de la configuración del tiempo de inactividad del sistema

En este ejemplo, el administrador de la seguridad desea que los sistemas inactivos regresen a la pantalla de inicio de sesión. El valor predeterminado bloquea los sistemas inactivos. Por lo tanto, el rol de usuario root agrega el par IDLECMD keyword=value al archivo /etc/security/policy.conf de la siguiente manera:

IDLECMD=LOGOUT

El administrador también desea que los sistemas permanezcan inactivos durante un período más corto antes de que se cierre la sesión. Por lo tanto, el rol de usuario root agrega el par IDLETIME keyword=value al archivo policy.conf de la siguiente manera:

IDLETIME=10

Así, el sistema cierra la sesión del usuario si el sistema permanece inactivo durante 10 minutos.

Tenga en cuenta que si el usuario de inicio de sesión asume un rol, los valores IDLECMD e IDLETIME del usuario están vigentes para ese rol.

Ejemplo 11-2 Modificación del conjunto de privilegios básico de cada usuario

En este ejemplo, el administrador de seguridad de una gran instalación de Sun Ray no quiere que los usuarios comunes vean los procesos de otros usuarios de Sun Ray. Por lo tanto, en todos los sistemas que estén configurados con Trusted Extensions, el rol de usuario root elimina proc_info del conjunto básico de privilegios. La configuración PRIV_DEFAULT del archivo /etc/policy.conf no tiene comentarios y se modifica de la siguiente manera:

PRIV_DEFAULT=basic,!proc_info

Ejemplo 11-3 Asignación de las autorizaciones relacionadas con la impresión a todos los usuarios de un sistema

En este ejemplo, la seguridad del sitio permite que un equipo de quiosco público imprima sin etiquetas. En el quiosco público, el rol root modifica el valor para AUTHS_GRANTED en el archivo /etc/security/policy.conf. La próxima vez que inicie, los trabajos de impresión de todos los usuarios de este quiosco se imprimen sin las etiquetas de las páginas.

AUTHS_GRANTED=solaris.print.unlabeled

A continuación, el administrador decide quitar las páginas de la carátula y del ubicador para ahorrar papel. El administrador modifica la entrada policy.conf.

AUTHS_GRANTED=solaris.print.unlabeled,solaris.print.nobanner

Después de reiniciar el quiosco público, se quitan todas las etiquetas de los trabajos de impresión y no cuentan con carátulas ni páginas de ubicador.

Cómo configurar los archivos de inicio para los usuarios en Trusted Extensions

Los usuarios pueden introducir los archivos .copy_files y .link_files en el directorio principal en la etiqueta que corresponde a la etiqueta de sensibilidad mínima. Los usuarios también pueden modificar los archivos .copy_files y .link_files que ya existen en la etiqueta mínima de los usuarios. Este procedimiento sirve para que el rol de administrador automatice la configuración del sitio.

Antes de empezar

Debe estar con el rol de administrador del sistema en la zona global. Para obtener detalles, consulte Cómo entrar en la zona global en Trusted Extensions.

1. Cree dos archivos de inicio de Trusted Extensions.

   Agregará los archivos .copy_files y .link_files a la lista de archivos de inicio.

   # cd /etc/skel
   # touch .copy_files .link_files

2. Personalice el archivo .copy_files.
   1. En un editor, escriba el nombre completo de la ruta del archivo .copy_files.

      # pfedit /etc/skel/.copy_files

   2. Escriba en .copy_files, uno por línea, los archivos que se copiarán en el directorio principal del usuario en todas las etiquetas.

      Consulte Archivos .copy_files y .link_files para obtener ideas. Para ver archivos de muestra, consulte el Ejemplo 11-4.

3. Personalice el archivo .link_files.
   1. En un editor, escriba el nombre completo de la ruta de .link_files.

      # pfedit /etc/skel/.link_files

   2. Escriba en .link_files, uno por línea, los archivos que se enlazarán con el directorio principal del usuario en todas las etiquetas.
4. Personalice los otros archivos de inicio para sus usuarios.

   • Para ver una explicación de los archivos que se incluirán en los archivos de inicio, consulte Personalización de un entorno de trabajo del usuario de Gestión de las cuentas de usuario y los entornos de usuario en Oracle Solaris 11.1.

   • Para obtener detalles, consulte Cómo personalizar los archivos de inicialización de usuario de Gestión de las cuentas de usuario y los entornos de usuario en Oracle Solaris 11.1.

5. (Opcional) Cree un subdirectorio skelP para los usuarios cuyo shell predeterminado sea un shell del perfil.

   P indica el shell Profile.

6. Copie los archivos de inicio personalizados en el directorio de estructura básica apropiado.
7. Utilice el nombre de ruta skelX apropiado cuando cree el usuario.

   X representa la letra con la que comienza el nombre del shell; por ejemplo, B para un shell Bourne, K para un shell Korn, C para un shell C y P para un shell Profile.

Ejemplo 11-4 Personalización de los archivos de inicio para los usuarios

En este ejemplo, el administrador del sistema configura archivos para el directorio principal de cada usuario. Los archivos se encuentran en su lugar antes de que cualquier usuario inicie sesión. Los archivos están en la etiqueta mínima del usuario. En este sitio, el shell predeterminado de los usuarios es el shell C.

El administrador del sistema crea un archivo .copy_files y un archivo .link_files con el siguiente contenido:

## .copy_files for regular users
## Copy these files to my home directory in every zone
.mailrc
.mozilla
.soffice
:wq

## .link_files for regular users with C shells
## Link these files to my home directory in every zone
.bashrc
.bashrc.user
.cshrc
.login
:wq

## .link_files for regular users with Korn shells
# Link these files to my home directory in every zone
.ksh
.profile
:wq

En los archivos de inicialización del shell, el administrador garantiza que los trabajos de impresión de los usuarios se dirijan a una impresora con etiquetas.

## .cshrc file
setenv PRINTER conf-printer1
setenv LPDEST  conf-printer1

## .ksh file
export PRINTER conf-printer1
export LPDEST  conf-printer1

Los archivos personalizados se copian en el directorio de estructura básica apropiado.

$ cp .copy_files .link_files .bashrc .bashrc.user .cshrc \
.login .profile .mailrc /etc/skelC
$ cp .copy_files .link_files .ksh .profile .mailrc \
/etc/skelK

Errores más frecuentes

Si crea archivos .copy_files en la etiqueta más baja y, a continuación, inicia sesión en una zona superior para ejecutar el comando updatehome, y el comando falla con un error de acceso, intente realizar lo siguiente:

• Verifique que desde la zona de nivel superior pueda ver el directorio de nivel inferior.

  higher-level zone# ls /zone/lower-level-zone/home/username
  ACCESS ERROR: there are no files under that directory

• Si no puede ver el directorio, reinicie el servicio de montaje automático en la zona de nivel superior:

  higher-level zone# svcadm restart autofs

Salvo que use montajes de NFS para los directorios principales, el montador automático de la zona de nivel superior debe montar en bucle de retorno de /zone/lower-level-zone/export/home/username a /zone/lower-level-zone/home/username.

Cómo iniciar una sesión en modo a prueba de fallos en Trusted Extensions

En Trusted Extensions, el inicio de sesión en modo a prueba de fallos está protegido. Si un usuario común personalizó los archivos de inicialización del shell y ahora no puede iniciar sesión, puede utilizar el inicio de sesión en modo a prueba de fallos para reparar los archivos del usuario.

Antes de empezar

Debe conocer la contraseña de usuario root.

1. Escriba su nombre de usuario en la pantalla de inicio de sesión.
2. En la parte inferior de la pantalla, seleccione Solaris Trusted Extensions Failsafe Session del menú de escritorio.
3. Cuando se solicite, escriba su contraseña.
4. Cuando se solicite una contraseña adicional, escriba la contraseña de usuario root.

   Ya puede depurar los archivos de inicialización del usuario.