Gestión de usuarios y derechos (mapa de tareas)

En Trusted Extensions, asume el rol de administrador de la seguridad para administrar usuarios, autorizaciones, derechos y roles. El siguiente mapa de tareas describe las tareas comunes que debe realizar para los usuarios que operan en un entorno con etiquetas.

Cómo modificar el rango de etiquetas de un usuario

Puede que desee ampliar el rango de etiquetas de un usuario para proporcionarle acceso de lectura a una aplicación administrativa. Por ejemplo, un usuario que puede iniciar sesión en la zona global puede ver una lista de los sistemas que se ejecutan en una determinada etiqueta. El usuario puede ver el contenido, pero no puede modificarlo.

Como alternativa, es posible que desee restringir el rango de etiquetas del usuario. Por ejemplo, un usuario invitado puede estar limitado a una etiqueta.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

• Realice una de las siguientes acciones:
  • Para ampliar el rango de etiquetas del usuario, asigne una acreditación superior.

    # usermod -K min_label=INTERNAL -K clearance=ADMIN_HIGH jdoe

    También puede ampliar el rango de etiquetas del usuario disminuyendo la etiqueta mínima.

    # usermod -K min_label=PUBLIC -K clearance=INTERNAL jdoe

    Para obtener más información, consulte las páginas del comando man usermod(1M) y user_attr(4).

  • Para restringir el rango de etiquetas a una etiqueta, haga la acreditación igual que la etiqueta mínima.

    # usermod -K min_label=INTERNAL -K clearance=INTERNAL jdoe

Cómo crear perfiles de derechos para autorizaciones convenientes

Cuando la política de seguridad del sitio lo permita, quizás desee crear un perfil de derechos que contenga las autorizaciones para los usuarios que pueden realizar tareas que requieren autorización. Para activar a todos los usuarios de un sistema en particular que se van a autorizar, consulte Cómo modificar los valores predeterminados de policy.conf.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

1. Cree un perfil de derechos que contenga una o más de las siguientes autorizaciones.

   Para conocer el procedimiento paso a paso, consulte Cómo crear un perfil de derechos de Administración de Oracle Solaris 11.1: servicios de seguridad.

   Las siguientes autorizaciones pueden ser convenientes para los usuarios:

   • solaris.device.allocate: autoriza a un usuario a asignar un dispositivo periférico, como un micrófono o un CD-ROM.

     De manera predeterminada, los usuarios de Oracle Solaris pueden leer y escribir en un CD-ROM. Sin embargo, en Trusted Extensions, solamente los usuarios que pueden asignar un dispositivo pueden acceder a la unidad de CD-ROM. Para asignar la unidad para su uso se requiere autorización. Por lo tanto, para leer y escribir en un CD-ROM en Trusted Extensions, los usuarios necesitan la autorización Allocate Device.

   • solaris.label.file.downgrade: autoriza a un usuario a disminuir el nivel de seguridad de un archivo.

   • solaris.label.file.upgrade: autoriza a un usuario a aumentar el nivel de seguridad de un archivo.

   • solaris.label.win.downgrade: autoriza a un usuario a seleccionar información de un archivo de nivel superior y colocarla en un archivo de nivel inferior.

   • solaris.label.win.noview: autoriza a un usuario a mover información sin ver la información que se mueve.

   • solaris.label.win.upgrade: autoriza a un usuario a seleccionar información de un archivo de nivel inferior y colocarla en un archivo de nivel superior.

   • solaris.login.remote: autoriza a un usuario a iniciar sesión de manera remota.

   • solaris.print.nobanner: autoriza a un usuario a que haga copias impresas sin la página de carátula.

   • solaris.print.unlabeled : autoriza a un usuario a que haga copias impresas que no muestren etiquetas.

   • solaris.system.shutdown: autoriza a un usuario a apagar el sistema y cerrar una zona.

2. Asigne el perfil de derechos a un usuario o a un rol.

   Para conocer el procedimiento paso a paso, consulte Cómo cambiar los atributos de seguridad de un usuario de Administración de Oracle Solaris 11.1: servicios de seguridad.

Cómo restringir el conjunto de privilegios de un usuario

Puede que la seguridad del sitio requiera que a los usuarios se les otorgue menos privilegios que los asignados de manera predeterminada. Por ejemplo, en un sitio que utiliza Trusted Extensions en los sistemas Sun Ray, puede que desee impedir que los usuarios vean los procesos de los demás usuarios en el servidor Sun Ray.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

• Elimine uno o varios de los privilegios del conjunto basic.

  ---

  Precaución - No elimine los privilegios proc_fork o proc_exec. Sin estos privilegios, los usuarios no pueden utilizar el sistema.

  ---

  # usermod -K defaultpriv=basic,!proc_info,!proc_session,!file_link_any

  Al eliminar el privilegio proc_info, impide que el usuario examine los procesos que no se originan desde el usuario. Con la eliminación del privilegio proc_session, se impide que el usuario examine cualquier proceso que se encuentre fuera de su sesión actual. Con la eliminación del privilegio file_link_any, se impide que el usuario establezca enlaces físicos con archivos que no sean de su propiedad.

Véase también

Para ver un ejemplo de recopilación de restricciones de privilegios en un perfil de derechos, consulte los ejemplos que siguen a Cómo crear un perfil de derechos de Administración de Oracle Solaris 11.1: servicios de seguridad.

Para restringir los privilegios de todos los usuarios en un sistema, consulte el Ejemplo 11-2.

Cómo impedir el bloqueo de cuentas de los usuarios

Realice este procedimiento para todos los usuarios que pueden asumir un rol.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

• Desactive el bloqueo de cuentas para un usuario local.

  # usermod -K lock_after_retries=no jdoe

  Para desactivar el bloqueo de cuentas para un usuario LDAP, especifique el repositorio LDAP.

  # usermod -S ldap -K lock_after_retries=no jdoe

Cómo activar a un usuario para que cambie el nivel de seguridad de los datos

Se puede autorizar a un usuario común o a un rol a cambiar el nivel de seguridad, o las etiquetas, de los archivos y los directorios o del texto seleccionado. El usuario o el rol, además de tener la autorización, deben estar configurados para trabajar en más de una etiqueta. Las zonas con etiquetas deben estar configuradas de modo que se permita volver a etiquetar. Para conocer el procedimiento, consulte Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas.

---

Precaución - El cambio del nivel de seguridad de los datos es una operación privilegiada. Esta tarea la deben realizar únicamente los usuarios de confianza.

---

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global.

• Asigne el perfil de derechos de gestión de etiquetas de objetos para los usuarios y roles adecuados.

  Para conocer el procedimiento paso a paso, consulte Cómo cambiar los atributos de seguridad de un usuario de Administración de Oracle Solaris 11.1: servicios de seguridad.

Ejemplo 11-5 Cómo permitir que un usuario actualice, pero no degrade, la etiqueta de un archivo

El perfil de derechos de gestión de etiquetas de objetos permite que los usuarios actualicen y degraden etiquetas. En este ejemplo, el administrador permite que un usuario de confianza actualice los datos, pero no los degrade.

El administrador crea un perfil de derechos basado en el perfil de gestión de etiquetas de objetos y elimina las autorizaciones Downgrade File Label y Downgrade DragNDrop or CutPaste Info en el nuevo perfil.

# profiles -p "Object Label Management"
profiles:Object Label Management> set name="Object Upgrade"
profiles:Object Upgrade> info auths
...
profiles:Object Upgrade> remove auths="solaris.label.file.downgrade,
solaris.label.win.downgrade"
profiles:Object Upgrade> commit
profiles:Object Upgrade> end

Luego, el administrador asigna el perfil a un usuario de confianza.

# usermod -P +"Object Upgrade" jdoe

Cómo suprimir una cuenta de usuario de un sistema Trusted Extensions

Cuando se elimina del sistema a un usuario, debe asegurarse de que también se supriman el directorio principal del usuario y cualquier otro objeto que sea propiedad del usuario. Como alternativa a la supresión de objetos que sean propiedad del usuario, puede transferir la propiedad de estos objetos a un usuario válido.

También debe asegurarse de que se supriman todos los trabajos por lotes que estén asociados con el usuario. Ningún objeto o proceso que pertenezca a un usuario eliminado puede permanecer en el sistema.

Antes de empezar

Debe estar con el rol de administrador del sistema en la zona global.

1. Archive el directorio principal del usuario en cada etiqueta.
2. Archive los archivos de correo del usuario en cada etiqueta.
3. Suprima la cuenta de usuario.

   # userdel -r jdoe

4. En cada zona con etiquetas, suprima manualmente los directorios del usuario y sus archivos de correo.

   ---

   Nota - Deberá buscar y suprimir los archivos temporales del usuario en todas las etiquetas, como los archivos de los directorios /tmp.

   ---

   Para conocer otras consideraciones, consulte Prácticas de supresión de usuarios.