在 Trusted Extensions 中定制设备授权（任务列表）

请告诉我们如何提高我们的文档：

Your rating has been updated

感谢您的反馈！

您的反馈将非常有助于我们提供更好的文档。您是否愿意参与我们的内容改进并提供进一步的意见？

在 Trusted Extensions 中定制设备授权（任务列表）

下面的任务列表描述了在您的站点更改设备授权的过程。

任务	说明	参考
创建新的设备授权。	创建特定于站点的授权。	如何创建新的设备授权
将授权添加到设备。	将特定于站点的授权添加到选定设备。	如何在 Trusted Extensions 中将特定于站点的授权添加到设备
将设备授权指定给用户和角色。	使用户和角色能够使用新授权。	如何指定设备授权

如何创建新的设备授权

如果一个设备不需要授权，那么缺省情况下，所有用户都能使用此设备。如果需要授权，则只有经授权的用户才能使用此设备。

要拒绝对可分配设备的所有访问，请参见示例 21-1。要创建并使用新授权，请参见示例 21-3。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

可选为每一个新的设备授权创建帮助文件。
帮助文件为 HTML 格式。命名约定为 AuthName.html，如 DeviceAllocateCD.html 中所示。

创建设备授权。

$ auths add -t "Authorization description" -h /full/path/to/helpfile.html authorization-name

将新授权添加到相应的权限配置文件。

$ profiles rights-profile
profiles:rights-profile > add auths="authorization-name"...

将配置文件指定给用户和角色。

# usermod -P "rights-profile" username
# rolemod -P "rights-profile" rolename

使用授权来限制对选定设备的访问。
在 "Device Manager"（设备管理器）中，将新授权添加到所需授权列表中。有关过程，请参见如何在 Trusted Extensions 中将特定于站点的授权添加到设备。

示例 21-2 创建细粒度设备授权

在此示例中，NewCo 的安全管理员需要为公司构建细粒度设备授权。

首先，管理员将创建以下帮助文件：

Newco.html
NewcoDevAllocateCDVD.html
NewcoDevAllocateUSB.html

接下来，管理员将创建一个模板帮助文件，可以基于该文件复制其他帮助文件，然后进行修改。

<HTML>
-- Copyright 2012 Newco.  All rights reserved.
-- NewcoDevAllocateCDVD.html 
-->
<HEAD>
        <TITLE>Newco Allocate CD or DVD Authorization</TITLE>
</HEAD>
<BODY>
The com.newco.dev.allocate.cdvd authorization enables you to allocate the 
CD drive on your system for your exclusive use.
<p>
The use of this authorization by a user other than the authorized account 
is a security violation.
<p>
</BODY>
</HTML>

创建帮助文件后，管理员使用 auths 命令创建每个设备授权。由于授权应用于整个公司，因此管理员将授权置于 LDAP 系统信息库中。该命令包含到帮助文件的路径名。

管理员创建了两个设备授权和一个 Newco 授权标题。

一个授权用于授权用户分配 CD-ROM 或 DVD 驱动器。

# auths add -S ldap -t "Allocate CD or DVD" \
-h /docs/helps/NewcoDevAllocateCDVD.html com.newco.dev.allocate.cdvd

一个授权用于授权用户分配 USB 设备。

# auths add -S ldap -t "Allocate USB" \
-h /docs/helps/NewcoDevAllocateUSB.html com.newco.dev.allocate.usb

Newco 授权标题标识所有 Newco 授权。

# auths add -S ldap -t "Newco Auth Header" \
-h /docs/helps/Newco.html com.newco

示例 21-3 创建并指定可信路径和非可信路径设备授权

缺省情况下，"Allocate Devices"（分配设备）授权允许从可信路径和可信路径外进行分配。

在下面的示例中，站点安全策略要求限制远程 CD-ROM 和 DVD 分配。安全管理员创建了 com.newco.dev.allocate.cdvd.local 授权。该授权适用于使用可信路径分配的 CD-ROM 和 DVD 驱动器。com.newco.dev.allocate.cdvd.remote 授权适用于少数用户，他们可以在可信路径外分配 CD-ROM 或 DVD 驱动器。

安全管理员创建帮助文件、将设备授权添加到 auth_attr 数据库、将授权添加到设备，然后将授权置于权限配置文件中。root 角色将配置文件指定给允许分配设备的用户。

以下命令将设备授权添加到 auth_attr 数据库：

$ auths add -S ldap -t "Allocate Local DVD or CD" \
-h /docs/helps/NewcoDevAllocateCDVDLocal.html \
com.newco.dev.allocate.cdvd.local
$ auths add -S ldap -t "Allocate Remote DVD or CD" \
-h /docs/helps/NewcoDevAllocateCDVDRemote.html \
com.newco.dev.allocate.cdvd.remote

下面显示 "Device Manager"（设备管理器）分配：

CD-ROM 驱动器的本地分配受可信路径保护。

Device Name: cdrom_0
For Allocations From: Trusted Path
Allocatable By: Authorized Users
Authorizations: com.newco.dev.allocate.cdvd.local

远程分配不受可信路径保护，因此，远程用户必须可信。最后，管理员将仅为两个角色授权远程分配。

Device Name: cdrom_0
For Allocations From: Non-Trusted Path
Allocatable By: Authorized Users
Authorizations: com.newco.dev.allocate.cdvd.remote

以下命令为这些授权创建 Newco 权限配置文件，并将授权添加到配置文件：

$ profiles -S ldap "Remote Allocator"
profiles:Remote Allocator > set desc="Allocate Remote CDs and DVDs"
profiles:Remote Allocator > set help="/docs/helps/NewcoDevRemoteCDVD.html"
profiles:Remote Allocator > add auths="com.newco.dev.allocate.cdvd.remote"
profiles:Remote Allocator > end
profiles:Remote Allocator > exit

$ profiles -S ldap "Local Only Allocator"
profiles:Local Only Allocator > set desc="Allocate Local CDs and DVDs"
profiles:Local Only Allocator > set help="/docs/helps/NewcoDevLocalCDVD.html"
profiles:Local Only Allocator > add auths="com.newco.dev.allocate.cdvd.local"
profiles:Local Only Allocator > end
profiles:Local Only Allocator > exit

以下命令将权限配置文件指定给授权的用户。root 角色指定配置文件。在该站点上，仅授权角色可远程分配外围设备。

# usermod -P "Local Only Allocator" jdoe
# usermod -P "Local Only Allocator" kdoe

# rolemod -P "Remote Allocator" secadmin
# rolemod -P "Remote Allocator" sysadmin

如何在 Trusted Extensions 中将特定于站点的授权添加到设备

开始之前

您必须是 "Security Administrator"（安全管理员）角色，或者是具有 "Configure Device Attributes"（配置设备属性）授权的角色。您必须已创建了特定于站点的授权，如如何创建新的设备授权中所述。

执行如何在 Trusted Extensions 中配置设备过程。
1. 选择一个需要由新授权来保护的设备。
2. 单击 "Administration"（管理）按钮。
3. 单击 "Authorizations"（授权）按钮。
  新授权显示在 "Not Required"（非必需）列表中。
4. 将新授权添加到授权的 "Required"（必需）列表中。
要保存更改，请单击 "OK"（确定）。

如何指定设备授权

"Allocate Device"（分配设备）授权允许用户分配设备。"Allocate Device"（分配设备）授权和 "Revoke or Reclaim Device"（撤销或回收设备）授权适用于管理角色。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

如果现有的配置文件不适用，安全管理员可以创建新的配置文件。有关示例，请参见如何创建权限配置文件以实现方便的授权。

为用户指定包含 "Allocate Device"（分配设备）授权的权限配置文件。
有关逐步操作过程，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何更改用户的安全属性"。

以下权限配置文件使得角色可以分配设备：
- "All Authorizations"（所有授权）
- "Device Management"（设备管理）
- "Media Backup"（介质备份）
- "Object Label Management"（对象标签管理）
- "Software Installation"（软件安装）
以下权限配置文件使得角色可以撤销或回收设备：
- "All Authorizations"（所有授权）
- "Device Management"（设备管理）
以下权限配置文件使得角色可以创建或配置设备：
- "All Authorizations"（所有授权）
- "Device Security"（设备安全）
示例 21-2 显示如何指定授权。

跳过导航链接
退出打印视图
	Trusted Extensions 配置和管理 Oracle Solaris 11.1 Information Library (简体中文)