在 Trusted Extensions 中定制设备授权（任务列表）

下面的任务列表描述了在您的站点更改设备授权的过程。

任务	说明	参考
创建新的设备授权。	创建特定于站点的授权。	如何创建新的设备授权
将授权添加到设备。	将特定于站点的授权添加到选定设备。	如何在 Trusted Extensions 中将特定于站点的授权添加到设备
将设备授权指定给用户和角色。	使用户和角色能够使用新授权。	如何指定设备授权

如何创建新的设备授权

如果一个设备不需要授权，那么缺省情况下，所有用户都能使用此设备。如果需要授权，则只有经授权的用户才能使用此设备。

要拒绝对可分配设备的所有访问，请参见示例 17-1。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

编辑 auth_attr 文件。
请使用可信编辑器。有关详细信息，请参见如何在 Trusted Extensions 中编辑管理文件。
为新授权创建一个标题。
使用您的组织的反序 Internet 域名，后跟可选的其他任意组件，如您公司的名称。以点分隔组件。使用点结束标题名。
```
domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html
```

添加新的授权条目。

添加授权，每行一个授权。在示例中，为了便于显示，对行进行了拆分。授权包括 grant 授权，它使得管理员能够指定新的授权。

domain-suffix.domain-prefix.grant:::Grant All Company Authorizations::
help=CompanyGrant.html
domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations::
help=CompanyGrantDevice.html
domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device::
help=CompanyTapeAllocate.html
domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device::
help=CompanyFloppyAllocate.html

保存文件并关闭编辑器。
如果要使用 LDAP 作为命名服务，请更新 Oracle Directory Server Enterprise Edition（目录服务器）上的 auth_attr 条目。
有关信息，请参见 ldapaddent(1M) 手册页。
将新授权添加到相应的权限配置文件。然后，将配置文件指定给用户和角色。
使用 Solaris Management Console。承担 "Security Administrator"（安全管理员）角色，然后执行《System Administration Guide: Security Services》中的"How to Create or Change a Rights Profile" Oracle Solaris 过程。
使用授权来限制对磁带机和磁盘驱动器的访问。
在 "Device Allocation Manager"（设备分配管理器）中，将新授权添加到所需授权列表中。有关过程，请参见如何在 Trusted Extensions 中将特定于站点的授权添加到设备。

示例 17-4 创建细粒度设备授权

NewCo 的安全管理员需要为公司构建细粒度设备授权。

首先，管理员编写以下帮助文件，并将这些文件置于 /usr/lib/help/auths/locale/C 目录中：

Newco.html
NewcoGrant.html
NewcoGrantDevice.html
NewcoTapeAllocate.html
NewcoFloppyAllocate.html

然后，管理员在 auth_attr 文件中为 newco.com 的所有授权添加一个标题。

# auth_attr file
com.newco.:::NewCo Header::help=Newco.html

接下来，管理员向文件中添加授权条目：

com.newco.grant:::Grant All NewCo Authorizations::
help=NewcoGrant.html
com.newco.grant.device:::Grant NewCo Device Authorizations::
help=NewcoGrantDevice.html
com.newco.device.allocate.tape:::Allocate Tape Device::
help=NewcoTapeAllocate.html
com.newco.device.allocate.floppy:::Allocate Floppy Device::
help=NewcoFloppyAllocate.html

在示例中，为了便于显示，对行进行了拆分。

auth_attr 条目创建了以下授权：

用于授予所有 NewCo 授权的授权
用于授予 NewCo 设备授权的授权
用于分配磁带机的授权
用于分配磁盘驱动器的授权

示例 17-5 创建可信路径和非可信路径授权

缺省情况下，"Allocate Devices"（分配设备）授权允许从可信路径和可信路径外进行分配。

在下面的示例中，站点安全策略要求限制远程 CD-ROM 分配。安全管理员创建了 com.someco.device.cdrom.local 授权。该授权适用于使用可信路径分配的 CD-ROM 驱动器。com.someco.device.cdrom.remote 授权适用于少数用户，他们可以在可信路径外分配 CD-ROM 驱动器。

安全管理员创建帮助文件、将授权添加到 auth_attr 数据库、将授权添加到设备，然后将授权置于权限配置文件中。配置文件被指定给允许分配设备的用户。

下面是 auth_attr 数据库条目：

com.someco.:::SomeCo Header::help=Someco.html
com.someco.grant:::Grant All SomeCo Authorizations::
help=SomecoGrant.html
com.someco.grant.device:::Grant SomeCo Device Authorizations::
help=SomecoGrantDevice.html
com.someco.device.cdrom.local:::Allocate Local CD-ROM Device::
help=SomecoCDAllocateLocal.html
com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device::
help=SomecoCDAllocateRemote.html

下面是 "Device Allocation Manager"（设备分配管理器）分配：

"Trusted Path"（可信路径）允许经授权的用户在分配本地 CD-ROM 驱动器时使用 "Device Allocation Manager"（设备分配管理器）。
```
Device Name: cdrom_0
For Allocations From: Trusted Path
Allocatable By: Authorized Users
Authorizations: com.someco.device.cdrom.local
```
"Non-Trusted Path"（非可信路径）允许用户使用 allocate 命令远程分配设备。
```
Device Name: cdrom_0
For Allocations From: Non-Trusted Path
Allocatable By: Authorized Users
Authorizations: com.someco.device.cdrom.remote
```

下面是权限配置文件条目：

# Local Allocator profile
com.someco.device.cdrom.local

# Remote Allocator profile
com.someco.device.cdrom.remote

下面是适用于经授权的用户的权限配置文件：

# List of profiles for regular authorized user
Local Allocator Profile
...

# List of profiles for role or authorized user
Remote Allocator Profile
...

如何在 Trusted Extensions 中将特定于站点的授权添加到设备

开始之前

您必须是 "Security Administrator"（安全管理员）角色，或者是具有 "Configure Device Attributes"（配置设备属性）授权的角色。您必须已创建了特定于站点的授权，如如何创建新的设备授权中所述。

执行如何在 Trusted Extensions 中配置设备过程。
1. 选择一个需要由新授权来保护的设备。
2. 单击 "Device Administration"（设备管理）按钮。
3. 单击 "Authorizations"（授权）按钮。
  新授权显示在 "Not Required"（非必需）列表中。
4. 将新授权添加到授权的 "Required"（必需）列表中。
要保存更改，请单击 "OK"（确定）。

如何指定设备授权

"Allocate Device"（分配设备）授权允许用户分配设备。"Allocate Device"（分配设备）授权和 "Revoke or Reclaim Device"（撤销或回收设备）授权适用于管理角色。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

如果现有的配置文件不适用，安全管理员可以创建新的配置文件。有关示例，请参见如何创建权限配置文件以实现方便的授权。

为用户指定包含 "Allocate Device"（分配设备）授权的权限配置文件。
有关帮助信息，请参见联机帮助。有关逐步操作过程，请参见《System Administration Guide: Security Services》中的"How to Change the RBAC Properties of a User"。

以下权限配置文件使得角色可以分配设备：
- "All Authorizations"（所有授权）
- "Device Management"（设备管理）
- "Media Backup"（介质备份）
- "Object Label Management"（对象标签管理）
- "Software Installation"（软件安装）
以下权限配置文件使得角色可以撤销或回收设备：
- "All Authorizations"（所有授权）
- "Device Management"（设备管理）
以下权限配置文件使得角色可以创建或配置设备：
- "All Authorizations"（所有授权）
- "Device Security"（设备安全）

示例 17-6 指定新的设备授权

在本例中，安全管理员为系统配置新的设备授权，并将包含新授权的权限配置文件指定给可信用户。安全管理员执行以下操作：

按如何创建新的设备授权中所述创建新的设备授权
在 "Device Allocation Manager"（设备分配管理器）中，将新的设备授权添加到磁带机和磁盘驱动器
将新授权置于 "NewCo Allocation"（NewCo 分配）权限配置文件中
将 "NewCo Allocation"（NewCo 分配）权限配置文件添加到被授权分配磁带机和磁盘驱动器的用户和角色的配置文件中

现在，经授权的用户和角色可以在此系统上使用磁带机和磁盘驱动器了。

跳过导航链接
退出打印视图
	Trusted Extensions 管理员规程 Oracle Solaris 10 1/13 Information Library (简体中文)