跳过导航链接 | |
退出打印视图 | |
![]() |
Trusted Extensions 管理员规程 Oracle Solaris 10 1/13 Information Library (简体中文) |
3. Trusted Extensions 管理员入门(任务)
4. Trusted Extensions 系统上的安全要求(概述)
5. 在 Trusted Extensions 中管理安全要求(任务)
6. Trusted Extensions 中的用户、权限和角色(概述)
7. 在 Trusted Extensions 中管理用户、权限和角色(任务)
使用 Solaris Management Console 管理用户和权限(任务列表)
如何在 Solaris Management Console 中修改用户的标签范围
如何从 Trusted Extensions 系统删除用户帐户
在 Solaris Management Console 中处理其他任务(任务列表)
8. Trusted Extensions 中的远程管理(任务)
9. Trusted Extensions 和 LDAP(概述)
10. 在 Trusted Extensions 中管理区域(任务)
11. 在 Trusted Extensions 中管理和挂载文件(任务)
13. 在 Trusted Extensions 中管理网络(任务)
14. Trusted Extensions 中的多级别邮件(概述)
16. Trusted Extensions 中的设备(概述)
17. 管理 Trusted Extensions 的设备(任务)
下面的任务列表介绍了在针对所有用户定制系统时或定制各个用户帐户时可以执行的常见任务。
|
您可以在配置第一个系统期间修改缺省用户标签属性。必须将更改复制到每个 Trusted Extensions 主机。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。有关详细信息,请参见如何进入 Trusted Extensions 的全局区域。
有关缺省值,请参见label_encodings 文件缺省值。
请使用可信编辑器。有关详细信息,请参见如何在 Trusted Extensions 中编辑管理文件。在 Trusted CDE 中,您还可以使用 "Edit Label Encodings"(编辑标签编码)操作。有关详细信息,请参见如何在 Trusted Extensions 中启动 CDE 管理操作。
label_encodings 文件应该在所有主机上都相同。
在 Trusted Extensions 中更改 policy.conf 缺省值类似于在 Oracle Solaris OS 中更改任何安全相关系统文件。在 Trusted Extensions 中,使用可信编辑器修改系统文件。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。有关详细信息,请参见如何进入 Trusted Extensions 的全局区域。
有关 Trusted Extensions 关键字,请参见表 6-1。
使用可信编辑器来编辑系统文件。有关详细信息,请参见如何在 Trusted Extensions 中编辑管理文件。
示例 7-1 更改系统的空闲设置
在本例中,安全管理员想让空闲的系统返回到登录屏幕。缺省情况下会锁定空闲系统。因此,安全管理员角色将 IDLECMD 关键字=值对添加到 /etc/security/policy.conf 文件中,如下所示:
IDLECMD=LOGOUT
管理员还想缩短系统在注销之前空闲的时间。因此,安全管理员角色将 IDLETIME 关键字=值对添加到 policy.conf 文件中,如下所示:
IDLETIME=10
现在,系统会在空闲 10 分钟后注销用户。
示例 7-2 修改每个用户的基本特权集
在本例中,Sun Ray 安装的安全管理员不希望一般用户查看其他 Sun Ray 用户的进程。因此,在配置有 Trusted Extensions 的每个系统上,管理员将从基本特权集中删除 proc_info。对 /etc/policy.conf 文件中的 PRIV_DEFAULT 设置做如下修改:
PRIV_DEFAULT=basic,!proc_info
示例 7-3 为系统的所有用户指定与打印相关的授权
在本例中,安全管理员通过在计算机的 /etc/security/policy.conf 文件中键入以下内容来允许公共 kiosk 计算机在没有标签的情况下进行打印。在下次引导时,此 kiosk 的所有用户执行的打印作业都会在没有页面标签的情况下打印。
AUTHS_GRANTED= solaris.print.unlabeled
然后,管理员决定通过删除标题页和篇尾页来节省纸张。她首先在 "Print Manager"(打印管理器)中确保未选中 "Always Print Banners"(始终打印标题)复选框。然后修改 policy.conf 条目以读取以下内容并重新引导。此时,所有打印作业都是无标签的,且没有标题页或篇尾页。
AUTHS_GRANTED= solaris.print.unlabeled,solaris.print.nobanner
用户可以以对应于其最小敏感标签的标签将 .copy_files 文件和 .link_files 文件放入其起始目录中。用户还可以修改其最小标签的现有 .copy_files 和 .link_files 文件。管理员角色可以使用此过程来自动化站点的设置。
开始之前
您必须具有全局区域中的 "System Administrator"(系统管理员)角色。有关详细信息,请参见如何进入 Trusted Extensions 的全局区域。
将 .copy_files 和 .link_files 添加到您的启动文件列表中。
# cd /etc/skel # touch .copy_files .link_files
有关详细信息,请参见如何在 Trusted Extensions 中编辑管理文件。
/etc/skel/.copy_files
可使用 .copy_files 和 .link_files 文件作为参考。有关文件样例,请参见示例 7-4。
有关启动文件中要包括的内容的讨论,请参见《Oracle Solaris 管理:基本管理》中的"定制用户的工作环境"。
有关详细信息,请参见《Oracle Solaris 管理:基本管理》中的"如何定制用户初始化文件"。
有关示例,请参见示例 7-4。
P 表示 Profile(配置文件)shell。
X 表示 shell 名称的开头字母,例如 B 代表 Bourne,K 代表 Korn,C 代表 C shell,P 代表 Profile shell。
示例 7-4 为用户定制启动文件
在本例中,安全管理员为每个用户的起始目录配置文件。这些文件在任何用户登录之前已工作。这些文件位于用户的最小标签。在此站点中,用户的缺省 shell 是 C shell。
安全管理员在可信编辑器中创建具有以下内容的 .copy_files 文件和 .link_files 文件:
## .copy_files for regular users ## Copy these files to my home directory in every zone .mailrc .mozilla .soffice :wq
## .link_files for regular users with C shells ## Link these files to my home directory in every zone .cshrc .login .Xdefaults .Xdefaults-hostname :wq
## .link_files for regular users with Korn shells # Link these files to my home directory in every zone .ksh .profile .Xdefaults .Xdefaults-hostname :wq
在 shell 初始化文件中,管理员确保用户的打印作业会传至有标签的打印机。
## .cshrc file setenv PRINTER conf-printer1 setenv LPDEST conf-printer1
## .ksh file export PRINTER conf-printer1 export LPDEST conf-printer1
管理员将修改 .Xdefaults-home-directory-server 文件来强制执行 dtterm 命令,以便将 .profile 文件作为新终端的源。
## Xdefaults-HDserver Dtterm*LoginShell: true
将定制的文件复制到相应的框架目录中。
$ cp .copy_files .link_files .cshrc .login .profile \ .mailrc .Xdefaults .Xdefaults-home-directory-server \ /etc/skelC $ cp .copy_files .link_files .ksh .profile \ .mailrc .Xdefaults .Xdefaults-home-directory-server \ /etc/skelK
故障排除
如果您在最低级别标签创建了一个 .copy_files 文件,然后登录到较高级别区域运行 updatehome 命令,且该命令失败并出现访问错误,请尝试以下操作:
确认您可以从较高级别的区域查看较低级别的目录。
higher-level zone# ls /zone/lower-level-zone/home/username ACCESS ERROR: there are no files under that directory
如果您无法查看低级别目录,请在较高级别的区域中重新启动自动挂载服务:
higher-level zone# svcadm restart autofs
除非为主目录使用 NFS 挂载,否则较高级别区域中的自动挂载程序应从 /zone/lower-level-zone/export/home/username 回送挂载到 /zone/lower-level-zone/home/username。
在 Trusted Extensions 中,故障安全登录是受保护的。如果一般用户已定制了 shell 初始化文件但现在无法登录,您可以使用故障安全登录来修复用户的文件。
开始之前
您必须知道 root 口令。
现在,您可以调试用户的初始化文件了。