管理 Trusted Extensions 时的安全要求

在 Trusted Extensions 中，角色是用来管理系统的惯用方法。通常，不使用超级用户。角色的创建方式与在 Oracle Solaris OS 中一样，且大多数任务都是通过角色执行的。在 Trusted Extensions 中，不使用 root 用户来执行管理任务。

下面的角色是 Trusted Extensions 站点中的典型角色：

• root 角色—由初始设置团队创建

• "Security Administrator"（安全管理员）角色—由初始设置团队在初始配置期间或之后创建

• "System Administrator"（系统管理员）角色—由"Security Administrator"（安全管理员）角色创建

与在 Oracle Solaris OS 中一样，您还可以创建"Primary Administrator"（主管理员）角色、"Operator"（操作员）角色，等等。除 root 角色之外，可以在命名服务中管理您创建的任何角色。

与在 Oracle Solaris OS 中一样，只有已指定某个角色的用户可以承担该角色。在 Solaris Trusted Extensions (CDE) 中，您可以从名为 "Trusted Path"（可信路径）的桌面菜单承担某个角色。在 Solaris Trusted Extensions (JDS) 中，如果您的用户名显示在可信窗口条中，您就可以承担角色。单击您的用户名时，将显示角色选项。

在 Trusted Extensions 中创建角色

要管理 Trusted Extensions，您需要创建用于划分系统和安全功能的角色。初始设置团队已在配置过程中创建了"Security Administrator"（安全管理员）角色。有关详细信息，请参见《Trusted Extensions Configuration Guide》中的"Create the Security Administrator Role in Trusted Extensions"。

在 Trusted Extensions 中创建角色的过程与 Oracle Solaris OS 过程相同。如第 2 章中所述，Solaris Management Console 是 Trusted Extensions 中用来管理角色的 GUI。

• 有关角色创建的概述，请参见《System Administration Guide: Security Services》中的第 10  章 "Role-Based Access Control (Reference)"和《System Administration Guide: Security Services》中的"Using RBAC (Task Map)"。

• 要创建与超级用户等效的强大角色，请参见《Oracle Solaris 管理：基本管理》中的"创建主管理员角色"。在使用 Trusted Extensions 的站点中，使用 "Primary Administrator"（主管理员）角色可能不符合安全策略。这些站点将把 root 转变为角色，并创建"Security Administrator"（安全管理员）角色。

• 要创建 root 角色，请参见《System Administration Guide: Security Services》中的"How to Make root User Into a Role"。

• 要使用 Solaris Management Console 创建角色，请参见《System Administration Guide: Security Services》中的"How to Create and Assign a Role by Using the GUI"。

Trusted Extensions 中的角色承担

与 Oracle Solaris OS 不同，Trusted Extensions 在 "Trusted Path"（可信路径）菜单中提供了 "Assume Rolename Role"（承担 Rolename 角色）菜单项。在确认角色口令之后，软件将使用可信路径属性激活角色工作区。角色工作区是管理工作区。此类工作区位于全局区域中。