跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 管理员规程 Oracle Solaris 10 1/13 Information Library (简体中文) |
3. Trusted Extensions 管理员入门(任务)
4. Trusted Extensions 系统上的安全要求(概述)
5. 在 Trusted Extensions 中管理安全要求(任务)
6. Trusted Extensions 中的用户、权限和角色(概述)
7. 在 Trusted Extensions 中管理用户、权限和角色(任务)
8. Trusted Extensions 中的远程管理(任务)
9. Trusted Extensions 和 LDAP(概述)
10. 在 Trusted Extensions 中管理区域(任务)
11. 在 Trusted Extensions 中管理和挂载文件(任务)
13. 在 Trusted Extensions 中管理网络(任务)
14. Trusted Extensions 中的多级别邮件(概述)
16. Trusted Extensions 中的设备(概述)
17. 管理 Trusted Extensions 的设备(任务)
在 Trusted Extensions 中操作设备(任务列表)
在 Trusted Extensions 中使用设备(任务列表)
在 Trusted Extensions 中管理设备(任务列表)
如何在 Trusted Extensions 中撤销或回收设备
如何在 Trusted Extensions 中保护不可分配的设备
如何在 Trusted CDE 中配置音频播放器程序以便使用
在 Trusted Extensions 中定制设备授权(任务列表)
如何在 Trusted Extensions 中将特定于站点的授权添加到设备
以下任务列表描述了在您的站点上保护设备的过程。
|
缺省情况下,可分配设备的标签范围是从 ADMIN_LOW 到 ADMIN_HIGH,并且必须在分配后才可使用。另外,用户必须获得授权才能分配设备。这些缺省值是可以更改的。
以下设备可供分配使用:
audion-指示麦克风和扬声器
cdromn-指示 CD-ROM 驱动器
floppyn-指示磁盘驱动器
mag_tapen-指示磁带机(流化处理)
rmdiskn-指示可移除磁盘(如 JAZ 或 ZIP 驱动器)或者 USB 可热插拔介质
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
"Device Allocation Manager"(设备分配管理器)随即出现。
单击 "Device Administration"(设备管理),然后突出显示设备。下图显示了 root 角色正在查看的音频设备。
单击 "Min Label"(最小标签)按钮。从标签生成器中选择一个最小标签。有关标签生成器的信息,请参见Trusted Extensions 中的标签生成器。
单击 "Max Label..."(最大标签...)按钮。从标签生成器中选择一个最大标签。
在 "Device Allocation Configuration"(设备分配配置)对话框中,在 "For Allocations From Trusted Path"(对于从可信路径进行的分配)下,从 "Allocatable By"(可由以下用户分配)列表中选择一个选项。缺省情况下,会选中 "Authorized Users"(经授权的用户)。因此,设备是可分配的,且用户必须已被授权。
在配置打印机、帧缓存器或其他不可分配的设备时,请选择 "No Users"(无用户)。
在 "For Allocations From Non-Trusted Path"(对于从非可信路径进行的分配)部分中,从 "Allocatable By"(可由以下用户分配)列表中选择一个选项。缺省情况下,会选中 "Same As Trusted Path"(与可信路径相同)。
下面的对话框显示了需要 solaris.device.allocate 授权才能分配 cdrom0 设备。
要创建和使用特定于站点的设备授权,请参见在 Trusted Extensions 中定制设备授权(任务列表)。
如果某个设备没有在 "Device Allocation Manager"(设备分配管理器)中列出,则它可能已被分配,或者可能处于分配错误状态。系统管理员可以恢复此设备,使其可用。
开始之前
您必须具有全局区域中的 "System Administrator"(系统管理员)角色。此角色包含 solaris.device.revoke 授权。
在下图中,音频设备已分配给某个用户。
选择设备名称,并检查 "State"(状态)字段。
对于帧缓存器和打印机,最常使用 "Device Configuration"(设备配置)对话框的 "Allocatable By"(可由以下用户分配)部分中的 "No Users"(无用户)选项,这些设备不必分配即可使用。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
单击 "Min Label..."(最小标签...)按钮。从标签生成器中选择一个最小标签。有关标签生成器的信息,请参见Trusted Extensions 中的标签生成器。
单击 "Max Label..."(最大标签...)按钮。从标签生成器中选择一个最大标签。
示例 17-1 阻止远程分配音频设备
"Allocatable By"(可由以下用户分配)部分中的 "No Users"(无用户)选项可阻止远程用户在远程系统上收听对话。
安全管理员在 "Device Allocation Manager"(设备分配管理器)中按以下方式配置音频设备:
Device Name: audio For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: solaris.device.allocate
Device Name: audio For Allocations From: Non-Trusted Pathh Allocatable By: No Users
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
图 17-1 Solaris Management Console 中的串行端口工具
在出现提示时提供口令。按照联机帮助来配置串行端口。
缺省标签范围是从 ADMIN_LOW 到 ADMIN_HIGH。
示例 17-2 限制串行端口的标签范围
创建串行登录设备之后,安全管理员将串行端口的标签范围限制为单个标签 Public(公共)。管理员在 "Device Administration"(设备管理)对话框中设置以下值。
Device Name: /dev/term/[a|b] Device Type: tty Clean Program: /bin/true Device Map: /dev/term/[a|b] Minimum Label: Public Maximum Label: Public Allocatable By: No Users
以下过程可以使音频播放器在用户插入音乐 CD 时自动在 Trusted CDE 工作区中打开。有关用户的操作过程,请参见《Trusted Extensions User’s Guide》中的"How to Allocate a Device in Trusted Extensions"中的示例。
注 - 在 Trusted JDS 工作区中,用户指定可移除介质的行为时所使用的方法与在非可信工作区中使用的方法相同。
开始之前
您必须具有全局区域中的 "System Administrator"(系统管理员)角色。
请使用可信编辑器。有关详细信息,请参见如何在 Trusted Extensions 中编辑管理文件。
action media action_program.so path-to-program
示例 17-3 配置音频播放器程序以便使用
在下面的示例中,系统管理员使 workman 程序可供系统的所有用户使用。workman 程序是一个音频播放器程序。
# /etc/rmmount.conf file action cdrom action_workman.so /usr/local/bin/workman
缺省情况下,挂载设备时会显示 "File Manager"(文件管理器)。如果正在挂载的设备没有文件系统,您可能希望阻止 "File Manager"(文件管理器)显示。
开始之前
您必须具有全局区域中的 "System Administrator"(系统管理员)角色。
请使用可信编辑器。有关详细信息,请参见如何在 Trusted Extensions 中编辑管理文件。
action cdrom action_filemgr.so action floppy action_filemgr.so
以下示例显示已经为 cdrom 和 diskette 设备注释掉 action_filemgr.so 操作。
# action cdrom action_filemgr.so # action floppy action_filemgr.so
在分配 CDROM 或磁盘时,"File Manager"(文件管理器)不会显示。
如果在创建设备时没有指定 device_clean (设备清除)脚本,则会使用缺省脚本 /bin/true。
开始之前
准备一个具有如下功能的脚本:清除物理设备中的所有可用数据,并且在成功时返回 0。对于具有可移除介质的设备,如果用户没有弹出介质,脚本会尝试执行此操作。如果介质没有弹出,脚本会将设备置于分配错误状态。有关要求的详细信息,请参见 device_clean(5) 手册页。
您必须在全局区域中承担 root 角色。