在 Trusted Extensions 中管理设备（任务列表）

以下任务列表描述了在您的站点上保护设备的过程。

如何在 Trusted Extensions 中配置设备

缺省情况下，可分配设备的标签范围是从 ADMIN_LOW 到 ADMIN_HIGH，并且必须在分配后才可使用。另外，用户必须获得授权才能分配设备。这些缺省值是可以更改的。

以下设备可供分配使用：

• audion－指示麦克风和扬声器

• cdromn－指示 CD-ROM 驱动器

• floppyn－指示磁盘驱动器

• mag_tapen－指示磁带机（流化处理）

• rmdiskn－指示可移除磁盘（如 JAZ 或 ZIP 驱动器）或者 USB 可热插拔介质

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

1. 从 "Trusted Path"（可信路径）菜单中，选择 "Allocate Device"（分配设备）。

   "Device Allocation Manager"（设备分配管理器）随即出现。

   
   
2. 查看缺省安全设置。

   单击 "Device Administration"（设备管理），然后突出显示设备。下图显示了 root 角色正在查看的音频设备。

   
   
3. 可选限制设备上的标签范围。
   1. 设置最小标签。

      单击 "Min Label"（最小标签）按钮。从标签生成器中选择一个最小标签。有关标签生成器的信息，请参见Trusted Extensions 中的标签生成器。

   2. 设置最大标签。

      单击 "Max Label..."（最大标签...）按钮。从标签生成器中选择一个最大标签。

4. 指定设备是否可以在本地分配。

   在 "Device Allocation Configuration"（设备分配配置）对话框中，在 "For Allocations From Trusted Path"（对于从可信路径进行的分配）下，从 "Allocatable By"（可由以下用户分配）列表中选择一个选项。缺省情况下，会选中 "Authorized Users"（经授权的用户）。因此，设备是可分配的，且用户必须已被授权。

   • 要使设备不可分配，请单击 "No Users"（无用户）。

     在配置打印机、帧缓存器或其他不可分配的设备时，请选择 "No Users"（无用户）。

   • 要使设备可分配，但不需要授权，请单击 "All Users"（所有用户）。
5. 指定设备是否可以远程分配。

   在 "For Allocations From Non-Trusted Path"（对于从非可信路径进行的分配）部分中，从 "Allocatable By"（可由以下用户分配）列表中选择一个选项。缺省情况下，会选中 "Same As Trusted Path"（与可信路径相同）。

   • 如果需要用户授权，请选择 "Allocatable by Authorized Users"（可由经授权的用户分配）。
   • 要使设备不可供远程用户分配，请选择 "No Users"（无用户）。
   • 要使设备可供任何人分配，请选择 "All Users"（所有用户）。
6. 如果设备是可分配的，并且您的站点已创建了新的设备授权，请选择相应的授权。

   下面的对话框显示了需要 solaris.device.allocate 授权才能分配 cdrom0 设备。

   
   

   要创建和使用特定于站点的设备授权，请参见在 Trusted Extensions 中定制设备授权（任务列表）。

7. 要保存更改，请单击 "OK"（确定）。

如何在 Trusted Extensions 中撤销或回收设备

如果某个设备没有在 "Device Allocation Manager"（设备分配管理器）中列出，则它可能已被分配，或者可能处于分配错误状态。系统管理员可以恢复此设备，使其可用。

开始之前

您必须具有全局区域中的 "System Administrator"（系统管理员）角色。此角色包含 solaris.device.revoke 授权。

1. 从 "Trusted Path"（可信路径）菜单中，选择 "Allocate Device"（分配设备）。

   在下图中，音频设备已分配给某个用户。

   
   
2. 单击 "Device Administration"（设备管理）按钮。
3. 检查设备的状态。

   选择设备名称，并检查 "State"（状态）字段。

   • 如果 "State"（状态）字段是 "Allocate Error State"（分配错误状态），请单击 "Reclaim"（回收）按钮。
   • 如果 "State"（状态）字段是 "Allocated"（已分配），请执行以下操作之一：
     • 请求 "Owner"（所有者）字段中的用户取消分配设备。
     • 通过单击 "Revoke"（撤销）按扭强制解除分配设备。
4. 关闭 "Device Allocation Manager"（设备分配管理器）。

如何在 Trusted Extensions 中保护不可分配的设备

对于帧缓存器和打印机，最常使用 "Device Configuration"（设备配置）对话框的 "Allocatable By"（可由以下用户分配）部分中的 "No Users"（无用户）选项，这些设备不必分配即可使用。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

1. 从 "Trusted Path"（可信路径）菜单中，选择 "Allocate Device"（分配设备）。
2. 在 "Device Allocation Manager"（设备分配管理器）中，单击 "Device Administration"（设备管理）按钮。
3. 选择新的打印机或帧缓存器。
   1. 要使设备不可分配，请单击 "No Users"（无用户）。
   2. 可选限制设备上的标签范围。
      1. 设置最小标签。

         单击 "Min Label..."（最小标签...）按钮。从标签生成器中选择一个最小标签。有关标签生成器的信息，请参见Trusted Extensions 中的标签生成器。

      2. 设置最大标签。

         单击 "Max Label..."（最大标签...）按钮。从标签生成器中选择一个最大标签。

示例 17-1 阻止远程分配音频设备

"Allocatable By"（可由以下用户分配）部分中的 "No Users"（无用户）选项可阻止远程用户在远程系统上收听对话。

安全管理员在 "Device Allocation Manager"（设备分配管理器）中按以下方式配置音频设备：

Device Name: audio
For Allocations From: Trusted Path
Allocatable By: Authorized Users
Authorizations: solaris.device.allocate

Device Name: audio
For Allocations From: Non-Trusted Pathh
Allocatable By: No Users

如何配置用于登录的串行线路

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

1. 在 "Files"（文件）作用域中打开 Solaris Management Console。
   

   图 17-1 Solaris Management Console 中的串行端口工具

   
2. 在 "Devices and Hardware"（设备和硬件）下，导航到 "Serial Ports"（串行端口）。

   在出现提示时提供口令。按照联机帮助来配置串行端口。

3. 要更改缺省标签范围，请打开 "Device Allocation Manager"（设备分配管理器）。

   缺省标签范围是从 ADMIN_LOW 到 ADMIN_HIGH。

示例 17-2 限制串行端口的标签范围

创建串行登录设备之后，安全管理员将串行端口的标签范围限制为单个标签 Public（公共）。管理员在 "Device Administration"（设备管理）对话框中设置以下值。

Device Name: /dev/term/[a|b]
Device Type: tty
Clean Program: /bin/true
Device Map: /dev/term/[a|b]
Minimum Label: Public
Maximum Label: Public
Allocatable By: No Users

如何在 Trusted CDE 中配置音频播放器程序以便使用

以下过程可以使音频播放器在用户插入音乐 CD 时自动在 Trusted CDE 工作区中打开。有关用户的操作过程，请参见《Trusted Extensions User’s Guide》中的"How to Allocate a Device in Trusted Extensions"中的示例。

开始之前

您必须具有全局区域中的 "System Administrator"（系统管理员）角色。

1. 编辑 /etc/rmmount.conf 文件。

   请使用可信编辑器。有关详细信息，请参见如何在 Trusted Extensions 中编辑管理文件。

2. 将您的站点的 CD 播放器程序添加到文件中的 cdrom 操作。

   action media action_program.so path-to-program

示例 17-3 配置音频播放器程序以便使用

在下面的示例中，系统管理员使 workman 程序可供系统的所有用户使用。workman 程序是一个音频播放器程序。

# /etc/rmmount.conf file
action cdrom action_workman.so /usr/local/bin/workman

如何阻止在分配设备后显示 "File Manager"（文件管理器）

缺省情况下，挂载设备时会显示 "File Manager"（文件管理器）。如果正在挂载的设备没有文件系统，您可能希望阻止 "File Manager"（文件管理器）显示。

开始之前

您必须具有全局区域中的 "System Administrator"（系统管理员）角色。

1. 编辑 /etc/rmmount.conf 文件。

   请使用可信编辑器。有关详细信息，请参见如何在 Trusted Extensions 中编辑管理文件。

2. 找到以下 filemgr 操作：

   action cdrom action_filemgr.so
   action floppy action_filemgr.so

3. 注释掉相应的操作。

   以下示例显示已经为 cdrom 和 diskette 设备注释掉 action_filemgr.so 操作。

   # action cdrom action_filemgr.so
   # action floppy action_filemgr.so

   在分配 CDROM 或磁盘时，"File Manager"（文件管理器）不会显示。

如何在 Trusted Extensions 中添加 Device_Clean （设备清除）脚本

如果在创建设备时没有指定 device_clean （设备清除）脚本，则会使用缺省脚本 /bin/true。

开始之前

准备一个具有如下功能的脚本：清除物理设备中的所有可用数据，并且在成功时返回 0。对于具有可移除介质的设备，如果用户没有弹出介质，脚本会尝试执行此操作。如果介质没有弹出，脚本会将设备置于分配错误状态。有关要求的详细信息，请参见 device_clean(5) 手册页。

您必须在全局区域中承担 root 角色。

1. 将脚本复制到 /etc/security/lib 目录中。
2. 在 "Device Administration"（设备管理）对话框中，指定脚本的完整路径。
   1. 打开 "Device Allocation Manager"（设备分配管理器）。
   2. 单击 "Device Administration"（设备管理）按钮。
   3. 选择设备的名称，然后单击 "Configure"（配置）按钮。
   4. 在 "Clean Program"（清除程序）字段中，键入脚本的完整路径。
3. 保存您的更改。