Si un dispositif ne nécessite pas une autorisation, par défaut, tous les utilisateurs peuvent utiliser le périphérique. Si une autorisation est requise, seuls les utilisateurs autorisés peuvent utiliser le périphérique.
Pour refuser tout accès à un périphérique allouable, reportez-vous à l'Example 21–1. Pour créer et utiliser une nouvelle autorisation, reportez-vous à l'Example 21–3.
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.
Les fichiers d'aide sont au format HTML. La convention de nommage est AuthName.html, comme dans DeviceAllocateCD.html.
# auths add -t "Authorization description" -h /full/path/to/helpfile.html authorization-name
# profiles rights-profile profiles:rights-profile > add auths="authorization-name"...
# usermod -P "rights-profile" username # rolemod -P "rights-profile" rolename
Ajoutez les nouvelles autorisations à la liste des autorisations nécessaires dans le gestionnaire de périphériques. Pour plus d'informations sur cette procédure, reportez-vous à la section Ajout d'autorisations spécifiques à un site à un périphérique dans Trusted Extensions.
Dans cet exemple, un administrateur de sécurité de NewCo a besoin de construire des autorisations de périphériques détaillées pour la société.
Tout d'abord, l'administrateur crée les fichiers d'aide suivants :
Newco.html NewcoDevAllocateCDVD.html NewcoDevAllocateUSB.html
Puis il crée un modèle de fichier d'aide à partir duquel les autres fichiers d'aide sont copiés et modifiés.
<HTML> -- Copyright 2012 Newco. All rights reserved. -- NewcoDevAllocateCDVD.html --> <HEAD> <TITLE>Newco Allocate CD or DVD Authorization</TITLE> </HEAD> <BODY> The com.newco.dev.allocate.cdvd authorization enables you to allocate the CD drive on your system for your exclusive use. <p> The use of this authorization by a user other than the authorized account is a security violation. <p> </BODY> </HTML>
Après avoir créé les fichiers d'aide, l'administrateur utilise la commande auths pour créer chaque autorisation de périphériques. Les autorisations étant employées par l'ensemble de la société, l'administrateur place les autorisations dans le référentiel LDAP. La commande inclut le chemin d'accès vers les fichiers d'aide.
L'administrateur crée deux autorisations de périphériques et un en-tête d'autorisation NewCo.
Une des autorisations autorise l'utilisateur à allouer une unité de CD-ROM ou de DVD.
# auths add -S ldap -t "Allocate CD or DVD" \ -h /docs/helps/NewcoDevAllocateCDVD.html com.newco.dev.allocate.cdvd
L'autre autorise l'utilisateur à allouer un périphérique USB.
# auths add -S ldap -t "Allocate USB" \ -h /docs/helps/NewcoDevAllocateUSB.html com.newco.dev.allocate.usb
L'en-tête d'autorisation NewCo identifie toutes les autorisations NewCo.
# auths add -S ldap -t "Newco Auth Header" \ -h /docs/helps/Newco.html com.newco
Par défaut, l'autorisation Allocate Devices (Allouer des périphériques) permet l'allocation de tous les périphériques depuis le chemin de confiance et depuis d'autres emplacements que le chemin de confiance.
Dans l'exemple suivant, la stratégie de sécurité du site exige la limitation de l'allocation distante de CD-ROM et de DVD. L'administrateur de sécurité crée l'autorisation com.newco.dev.allocate.cdvd.local. Cette autorisation concerne les unités de CD-ROM et de DVD qui sont allouées via le chemin de confiance. L'autorisation com.newco.dev.allocate.cdvd.remote est destinée aux rares utilisateurs autorisés à allouer des unités de CD-ROM ou de DVD depuis un emplacement autre que le chemin de confiance.
L'administrateur de sécurité crée les fichiers d'aide, ajoute les autorisations de périphériques à la base de données auth_attr, ajoute les autorisations aux périphériques, puis place les autorisations dans des profils de droits. Le rôle root assigne les profils aux utilisateurs autorisés à allouer des périphériques.
Les commandes suivantes ajoutent les autorisations de périphériques à la base de données auth_attr :
# auths add -S ldap -t "Allocate Local DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDLocal.html \ com.newco.dev.allocate.cdvd.local # auths add -S ldap -t "Allocate Remote DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDRemote.html \ com.newco.dev.allocate.cdvd.remote
L'assignation du gestionnaire de périphériques est présentée ci-dessous :
L'allocation locale de l'unité de CD-ROM est protégée par le chemin de confiance.
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.local
L'allocation distante n'est pas protégée par le chemin de confiance, par conséquent les utilisateurs distants doivent être dignes de confiance. Lors de la dernière étape, l'administrateur peut autoriser l'allocation distante pour deux rôles uniquement.
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.remote
Les commandes suivantes créent les profils de droits Newco pour ces autorisations et ajoutent les autorisations aux profils :
# profiles -S ldap "Remote Allocator" profiles:Remote Allocator > set desc="Allocate Remote CDs and DVDs" profiles:Remote Allocator > set help="/docs/helps/NewcoDevRemoteCDVD.html" profiles:Remote Allocator > add auths="com.newco.dev.allocate.cdvd.remote" profiles:Remote Allocator > end profiles:Remote Allocator > exit
# profiles -S ldap "Local Only Allocator" profiles:Local Only Allocator > set desc="Allocate Local CDs and DVDs" profiles:Local Only Allocator > set help="/docs/helps/NewcoDevLocalCDVD.html" profiles:Local Only Allocator > add auths="com.newco.dev.allocate.cdvd.local" profiles:Local Only Allocator > end profiles:Local Only Allocator > exit
Les commandes suivantes assignent les profils de droits aux utilisateurs autorisés. Le rôle root assigne les profils. Sur ce site, seuls les rôles sont autorisés à allouer à distance des périphériques.
# usermod -P "Local Only Allocator" jdoe # usermod -P "Local Only Allocator" kdoe
# rolemod -P "Remote Allocator" secadmin # rolemod -P "Remote Allocator" sysadmin