使用 Solaris Management Console 管理用户和权限（任务列表）

在 Trusted Extensions 中，必须使用 Solaris Management Console 来管理用户、授权、权限和角色。要管理用户及其安全属性，请承担 "Security Administrator"（安全管理员）角色。下面的任务列表介绍了您为在有标签环境中工作的用户执行的常见任务。

如何在 Solaris Management Console 中修改用户的标签范围

您可能想要扩展用户的标签范围来给予用户对管理应用程序的读取访问权。例如，可以登录到全局区域的用户随后可以运行 Solaris Management Console。该用户可以查看但不能更改内容。

另一方面，您也可能想要收缩用户的标签范围。例如，可以将来宾用户限制到一个标签中。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

1. 在 Solaris Management Console 中打开一个 Trusted Extensions 工具箱。

   请使用具有合适作用域的工具箱。有关详细信息，请参见《Trusted Extensions Configuration Guide》中的"Initialize the Solaris Management Console Server in Trusted Extensions"。

2. 在 "System Configuration"（系统配置）下，导航到 "User Accounts"（用户帐户）。

   此时可能会显示口令提示符。

3. 键入角色的口令。
4. 从 "User Accounts"（用户帐户）中选择单个用户。
5. 单击 "Trusted Extensions Attributes"（Trusted Extensions 属性）选项卡。
   
   • 要扩展用户的标签范围，请选择一个更高级别的安全许可。

     您也可以降低最小标签级别。

   • 要将标签范围限制为一个标签，请使安全许可等于最小标签。
6. 要保存更改，请单击 "OK"（确定）。

如何创建权限配置文件以实现方便的授权

如果站点安全策略允许，您可能希望创建权限配置文件，该文件包含对可执行需要授权的任务的用户进行的授权。要使特定系统的每个用户得以授权，请参见如何修改 policy.conf 缺省值。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

1. 在 Solaris Management Console 中打开一个 Trusted Extensions 工具箱。

   请使用具有合适作用域的工具箱。有关详细信息，请参见《Trusted Extensions Configuration Guide》中的"Initialize the Solaris Management Console Server in Trusted Extensions"。

2. 在 "System Configuration"（系统配置）下，导航到 "Rights"（权限）。

   此时可能会显示口令提示符。

3. 键入角色的口令。
4. 要添加权限配置文件，请单击 "Action"（操作）–> "Add Right"（添加权限）。
5. 创建包含以下一种或多种授权的权限配置文件。

   有关逐步操作过程，请参见《System Administration Guide: Security Services》中的"How to Create or Change a Rights Profile"。

   在下图中，"Authorizations Included"（包括的授权）窗口显示了可为用户提供方便的授权。

   
   

   • "Allocate Device"（分配设备）—给予用户分配外围设备（例如麦克风）的授权。

     缺省情况下，Oracle Solaris 用户可以对 CD-ROM 进行读取和写入。不过，在 Trusted Extensions 中，只有可以分配设备的用户能够访问 CD-ROM 驱动器。分配供使用的驱动器需要授权。因此，要在 Trusted Extensions 中对 CD-ROM 进行读取和写入，用户需要 "Allocate Device"（分配设备）授权。

   • "Downgrade DragNDrop or CutPaste Info"（降级 DragNDrop 或 CutPaste 信息）—授予用户从较高级别文件选择信息并将所选信息放到较低级别文件中的权限。

   • "Downgrade File Label"（降级文件标签）—授予用户降低文件安全级别的权限

   • "DragNDrop or CutPaste without viewing contents"（在不查看内容的情况下执行 DragNDrop 或 CutPaste）—授予用户在不查看所移动信息的情况下移动信息的权限。

   • "Print Postscript"（打印 Postscript）—授予用户打印 PostScript 文件的权限。

   • "Print without Banner"（无标题打印）—授予用户打印无标题页打印件的权限。

   • "Print without Label"（无标签打印）—授予用户打印不显示标签的打印件的权限。

   • "Remote Login"（远程登录）—授予用户远程登录的权限。

   • "Shutdown the System"（关闭系统）—授予用户关闭系统和关闭区域的权限。

   • "Upgrade DragNDrop or CutPaste Info"（升级 DragNDrop 或 CutPaste 信息）—授予用户从较低级别文件选择信息并将所选信息放到较高级别文件中的权限。

   • "Upgrade File Label"（升级文件标签）—授予用户提高文件安全级别的权限。

6. 将权限配置文件指定给用户或角色。

   有关帮助信息，请参见联机帮助。有关逐步操作过程，请参见《System Administration Guide: Security Services》中的"How to Change the RBAC Properties of a User"。

示例 7-5 为角色指定与打印相关的授权

在下例中，安全管理员允许某个角色执行正文页中没有标签的打印作业。

在 Solaris Management Console 中，安全管理员导航到 "Administrative Roles"（管理性角色）。她查看特定角色中包括的权限配置文件，然后确保与打印相关的授权包含在角色的其中一个权限配置文件中。

如何收缩用户的特权集

站点安全策略可能要求授予用户的特权要少于缺省情况下指定给用户的特权。例如，在 Sun Ray 系统上使用 Trusted Extensions 的站点，您可能希望阻止用户查看 Sun Ray 服务器上其他用户的进程。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

1. 在 Solaris Management Console 中打开一个 Trusted Extensions 工具箱。

   请使用具有合适作用域的工具箱。有关详细信息，请参见《Trusted Extensions Configuration Guide》中的"Initialize the Solaris Management Console Server in Trusted Extensions"。

2. 在 "System Configuration"（系统配置）下，导航到 "User Accounts"（用户帐户）。

   此时可能会显示口令提示符。

3. 键入角色的口令。
4. 双击用户的图标。
5. 删除 "basic"（基本）集中的一个或多个特权。
   1. 双击用户的图标。
   2. 单击 "Rights"（权限）选项卡。
      
   3. 单击 right_extended_attrs 字段中 "basic"（基本）集右边的 "Edit"（编辑）按钮。
   4. 删除 proc_session 或 file_link_any。

      通过删除 proc_session 特权，可以防止用户检查其当前会话以外的任何进程。通过删除 file_link_any 特权，可以防止用户生成指向不归其所有的文件的硬链接。

      ---

      注意 - 请勿删除 proc_fork 或 proc_exec 特权。若没有这些特权，用户将无法使用系统。

      ---

      
      
6. 要保存更改，请单击 "OK"（确定）。

如何防止锁定用户帐户

Trusted Extensions 扩展了 Solaris Management Console 中的用户安全功能，包括了帐户锁定。为可以承担角色的用户关闭帐户锁定。

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

1. 启动 Solaris Management Console。

   请使用具有合适作用域的工具箱。有关详细信息，请参见《Trusted Extensions Configuration Guide》中的"Initialize the Solaris Management Console Server in Trusted Extensions"。

2. 在 "System Configuration"（系统配置）下，导航到 "User Accounts"（用户帐户）。

   此时可能会显示口令提示符。

3. 键入角色的口令。
4. 双击用户的图标。
5. 单击 "Trusted Extensions Attributes"（Trusted Extensions 属性）选项卡。
6. 在 "Account Usage"（帐户使用情况）会话中，从 "Lock account after maximum failed logins"（达到最大登录失败次数后锁定帐户）旁边的下拉菜单中选择 "No"（否）。
7. 要保存更改，请单击 "OK"（确定）。

如何允许用户更改数据的安全级别

可以授予一般用户或角色更改文件和目录的安全级别或标签的权限。除了具有授权外，该用户或角色还必须配置为以多个标签工作。而且，必须将有标签区域配置为允许重新设置标签。有关过程，请参见如何使文件可以从有标签区域重新设置标签。

---

注意 - 更改数据的安全级别是一个特权操作。此任务仅适用于值得信任的用户。

---

开始之前

您必须具有全局区域中的 "Security Administrator"（安全管理员）角色。

1. 按照如何创建权限配置文件以实现方便的授权过程创建权限配置文件。

   以下授权允许用户重新为文件设置标签：

   • "Downgrade File Label"（降级文件标签）

   • "Upgrade File Label"（升级文件标签）

   以下授权允许用户重新为文件内信息设置标签：

   • "Downgrade DragNDrop or CutPaste Info"（降级 DragNDrop 或 CutPaste 信息）

   • "DragNDrop or CutPaste Info Without Viewing"（在不查看内容的情况下 DragNDrop 或 CutPaste 信息）

   • "Upgrade DragNDrop or CutPaste Info"（升级 DragNDrop 或 CutPaste 信息）

2. 使用 Solaris Management Console 将配置文件指定给相应的用户和角色。

   有关帮助信息，请使用联机帮助。有关逐步操作过程，请参见《System Administration Guide: Security Services》中的"How to Change the RBAC Properties of a User"。

如何从 Trusted Extensions 系统删除用户帐户

从系统删除用户时，必须确保同时删除用户的起始目录以及用户拥有的所有对象。作为删除用户拥有的对象的替代方法，您可以将这些对象的所有权变更到一个有效用户。

您还必须确保删除与该用户关联的所有批处理作业。系统上不能保留任何属于已删除用户的对象或进程。

开始之前

您必须具有 "Security Administrator"（安全管理员）角色。

1. 归档用户在每个标签的起始目录。
2. 归档用户在每个标签的邮件文件。
3. 在 Solaris Management Console 中删除用户帐户。
   1. 在 Solaris Management Console 中打开一个 Trusted Extensions 工具箱。

      请使用具有合适作用域的工具箱。有关详细信息，请参见《Trusted Extensions Configuration Guide》中的"Initialize the Solaris Management Console Server in Trusted Extensions"。

   2. 在 "System Configuration"（系统配置）下，导航到 "User Accounts"（用户帐户）。

      此时可能会显示口令提示符。

   3. 键入角色的口令。
   4. 选择要删除的用户帐户，然后单击 "Delete"（删除）按钮。

      系统将提示您删除用户的起始目录和邮件文件。当您接受提示后，仅会删除用户在全局区域中的起始目录和邮件文件。

4. 在每个有标签区域中，手动删除用户的目录和邮件文件。

   ---

   注 - 您应当负责查找和删除用户在所有标签的临时文件，例如 /tmp 目录中的文件。

   ---