针对安全性定制用户环境（任务列表）

下面的任务列表介绍了在针对所有用户定制系统时或定制各个用户帐户时可以执行的常见任务。

如何修改缺省用户标签属性

您可以在配置第一个系统期间修改缺省用户标签属性。必须将更改复制到每个 Trusted Extensions 主机。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。有关详细信息，请参见如何进入 Trusted Extensions 的全局区域。

1. 在 /etc/security/tsol/label_encodings 文件中查看缺省用户属性设置。

   有关缺省值，请参见label_encodings 文件缺省值。

2. 在 label_encodings 文件中修改用户属性设置。

   请使用可信编辑器。有关详细信息，请参见如何在 Trusted Extensions 中编辑管理文件。在 Trusted CDE 中，您还可以使用 "Edit Label Encodings"（编辑标签编码）操作。有关详细信息，请参见如何在 Trusted Extensions 中启动 CDE 管理操作。

   label_encodings 文件应该在所有主机上都相同。

3. 将文件的副本分布到每个 Trusted Extensions 主机。

如何修改 policy.conf 缺省值

在 Trusted Extensions 中更改 policy.conf 缺省值类似于在 Oracle Solaris OS 中更改任何安全相关系统文件。在 Trusted Extensions 中，使用可信编辑器修改系统文件。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。有关详细信息，请参见如何进入 Trusted Extensions 的全局区域。

1. 在 /etc/security/policy.conf 文件中查看缺省设置。

   有关 Trusted Extensions 关键字，请参见表 6-1。

2. 修改设置。

   使用可信编辑器来编辑系统文件。有关详细信息，请参见如何在 Trusted Extensions 中编辑管理文件。

示例 7-1 更改系统的空闲设置

在本例中，安全管理员想让空闲的系统返回到登录屏幕。缺省情况下会锁定空闲系统。因此，安全管理员角色将 IDLECMD 关键字=值对添加到 /etc/security/policy.conf 文件中，如下所示：

IDLECMD=LOGOUT

管理员还想缩短系统在注销之前空闲的时间。因此，安全管理员角色将 IDLETIME 关键字=值对添加到 policy.conf 文件中，如下所示：

IDLETIME=10

现在，系统会在空闲 10 分钟后注销用户。

示例 7-2 修改每个用户的基本特权集

在本例中，Sun Ray 安装的安全管理员不希望一般用户查看其他 Sun Ray 用户的进程。因此，在配置有 Trusted Extensions 的每个系统上，管理员将从基本特权集中删除 proc_info。对 /etc/policy.conf 文件中的 PRIV_DEFAULT 设置做如下修改：

PRIV_DEFAULT=basic,!proc_info

示例 7-3 为系统的所有用户指定与打印相关的授权

在本例中，安全管理员通过在计算机的 /etc/security/policy.conf 文件中键入以下内容来允许公共 kiosk 计算机在没有标签的情况下进行打印。在下次引导时，此 kiosk 的所有用户执行的打印作业都会在没有页面标签的情况下打印。

AUTHS_GRANTED= solaris.print.unlabeled

然后，管理员决定通过删除标题页和篇尾页来节省纸张。她首先在 "Print Manager"（打印管理器）中确保未选中 "Always Print Banners"（始终打印标题）复选框。然后修改 policy.conf 条目以读取以下内容并重新引导。此时，所有打印作业都是无标签的，且没有标题页或篇尾页。

AUTHS_GRANTED= solaris.print.unlabeled,solaris.print.nobanner

如何在 Trusted Extensions 中为用户配置启动文件

用户可以以对应于其最小敏感标签的标签将 .copy_files 文件和 .link_files 文件放入其起始目录中。用户还可以修改其最小标签的现有 .copy_files 和 .link_files 文件。管理员角色可以使用此过程来自动化站点的设置。

开始之前

您必须具有全局区域中的 "System Administrator"（系统管理员）角色。有关详细信息，请参见如何进入 Trusted Extensions 的全局区域。

1. 创建两个 Trusted Extensions 启动文件。

   将 .copy_files 和 .link_files 添加到您的启动文件列表中。

   # cd /etc/skel
   # touch .copy_files .link_files

2. 定制 .copy_files 文件。
   1. 启动可信编辑器。

      有关详细信息，请参见如何在 Trusted Extensions 中编辑管理文件。

   2. 键入 .copy_files 文件的完整路径名。

      /etc/skel/.copy_files

   3. 在 .copy_files 中键入要复制到用户所有标签起始目录中的文件，每行键入一个文件。

      可使用 .copy_files 和 .link_files 文件作为参考。有关文件样例，请参见示例 7-4。

3. 定制 .link_files 文件。
   1. 在可信编辑器中，键入 .link_files 文件的完整路径名。

      /etc/skel/.link_files

   2. 在 .link_files 中键入要链接到用户在所有标签的起始目录中的文件，每行键入一个文件。
4. 为您的用户定制其他启动文件。

   • 有关启动文件中要包括的内容的讨论，请参见《Oracle Solaris 管理：基本管理》中的"定制用户的工作环境"。

   • 有关详细信息，请参见《Oracle Solaris 管理：基本管理》中的"如何定制用户初始化文件"。

   • 有关示例，请参见示例 7-4。

5. 可选为其缺省 shell 是“配置文件 shell”的用户创建 skelP 子目录。

   P 表示 Profile（配置文件）shell。

6. 将定制的启动文件复制到相应的框架目录中。
7. 创建用户时，请使用相应的 skelX 路径名。

   X 表示 shell 名称的开头字母，例如 B 代表 Bourne，K 代表 Korn，C 代表 C shell，P 代表 Profile shell。

示例 7-4 为用户定制启动文件

在本例中，安全管理员为每个用户的起始目录配置文件。这些文件在任何用户登录之前已工作。这些文件位于用户的最小标签。在此站点中，用户的缺省 shell 是 C shell。

安全管理员在可信编辑器中创建具有以下内容的 .copy_files 文件和 .link_files 文件：

## .copy_files for regular users
## Copy these files to my home directory in every zone
.mailrc
.mozilla
.soffice
:wq

## .link_files for regular users with C shells
## Link these files to my home directory in every zone
.cshrc
.login
.Xdefaults
.Xdefaults-hostname
:wq

## .link_files for regular users with Korn shells
# Link these files to my home directory in every zone
.ksh
.profile
.Xdefaults
.Xdefaults-hostname
:wq

在 shell 初始化文件中，管理员确保用户的打印作业会传至有标签的打印机。

## .cshrc file
setenv PRINTER conf-printer1
setenv LPDEST  conf-printer1

## .ksh file
export PRINTER conf-printer1
export LPDEST  conf-printer1

管理员将修改 .Xdefaults-home-directory-server 文件来强制执行 dtterm 命令，以便将 .profile 文件作为新终端的源。

## Xdefaults-HDserver
Dtterm*LoginShell: true

将定制的文件复制到相应的框架目录中。

$ cp .copy_files .link_files .cshrc .login .profile \
.mailrc .Xdefaults .Xdefaults-home-directory-server \
/etc/skelC
$ cp .copy_files .link_files .ksh .profile \
.mailrc .Xdefaults .Xdefaults-home-directory-server \
/etc/skelK

故障排除

如果您在最低级别标签创建了一个 .copy_files 文件，然后登录到较高级别区域运行 updatehome 命令，且该命令失败并出现访问错误，请尝试以下操作：

• 确认您可以从较高级别的区域查看较低级别的目录。

  higher-level zone# ls /zone/lower-level-zone/home/username
  ACCESS ERROR: there are no files under that directory

• 如果您无法查看低级别目录，请在较高级别的区域中重新启动自动挂载服务：

  higher-level zone# svcadm restart autofs

除非为主目录使用 NFS 挂载，否则较高级别区域中的自动挂载程序应从 /zone/lower-level-zone/export/home/username 回送挂载到 /zone/lower-level-zone/home/username。

如何在 Trusted Extensions 中登录到故障安全会话

在 Trusted Extensions 中，故障安全登录是受保护的。如果一般用户已定制了 shell 初始化文件但现在无法登录，您可以使用故障安全登录来修复用户的文件。

开始之前

您必须知道 root 口令。

1. 与在 Oracle Solaris OS 中一样，在登录屏幕上选择 "Options"（选项）–> "Failsafe Session"（故障安全会话）。
2. 在出现提示时，让用户输入用户名和口令。
3. 在提示输入 root 口令时，输入 root 的口令。

   现在，您可以调试用户的初始化文件了。