Si un dispositivo no requiere una autorización, de manera predeterminada, todos los usuarios pueden utilizar el dispositivo. Si se requiere una autorización, solamente los usuarios autorizados pueden utilizar el dispositivo.
Para denegar el acceso total a un dispositivo asignable, consulte el Example 21–1. Para crear y utilizar una nueva autorización, consulte el Example 21–3.
Antes de empezar
Debe estar con el rol de administrador de la seguridad en la zona global.
Los archivos de ayuda están en formato HTML. La convención de denominación es AuthName.html, como en DeviceAllocateCD.html.
# auths add -t "Authorization description" -h /full/path/to/helpfile.html authorization-name
# profiles rights-profile profiles:rights-profile > add auths="authorization-name"...
# usermod -P "rights-profile" username # rolemod -P "rights-profile" rolename
Agregue las autorizaciones nuevas a la lista de autorizaciones requeridas en Device Manager. Para conocer el procedimiento, consulte Cómo agregar autorizaciones específicas del sitio a un dispositivo en Trusted Extensions.
En este ejemplo, un administrador de seguridad de NewCo necesita establecer autorizaciones específicas de dispositivos para la compañía.
En primer lugar, el administrador crea los siguientes archivos de ayuda:
Newco.html NewcoDevAllocateCDVD.html NewcoDevAllocateUSB.html
A continuación, el administrador crea un archivo de ayuda de plantilla a partir del cual se copian y modifican los demás archivos de ayuda.
<HTML> -- Copyright 2012 Newco. All rights reserved. -- NewcoDevAllocateCDVD.html --> <HEAD> <TITLE>Newco Allocate CD or DVD Authorization</TITLE> </HEAD> <BODY> The com.newco.dev.allocate.cdvd authorization enables you to allocate the CD drive on your system for your exclusive use. <p> The use of this authorization by a user other than the authorized account is a security violation. <p> </BODY> </HTML>
Después de crear los archivos de ayuda, el administrador utiliza el comando auths para crear cada autorización de dispositivo. Dedo que las autorizaciones se utilizan en toda la compañía, el administrador coloca las autorizaciones en el repositorio LDAP. El comando incluye el nombre de la ruta a los archivos de ayuda.
El administrador crea dos autorizaciones de dispositivos y un encabezado de autorización Newco.
Una autorización autoriza al usuario para asignar una unidad de CD-ROM o DVD.
# auths add -S ldap -t "Allocate CD or DVD" \ -h /docs/helps/NewcoDevAllocateCDVD.html com.newco.dev.allocate.cdvd
Una autorización autoriza al usuario para asignar un dispositivo USB.
# auths add -S ldap -t "Allocate USB" \ -h /docs/helps/NewcoDevAllocateUSB.html com.newco.dev.allocate.usb
El encabezado de autorización Newco identifica todas las autorizaciones Newco.
# auths add -S ldap -t "Newco Auth Header" \ -h /docs/helps/Newco.html com.newco
De manera predeterminada, la autorización Allocate Devices permite la asignación desde adentro de Trusted Path y desde afuera de Trusted Path.
En el siguiente ejemplo, la política de seguridad del sitio requiere la restricción de la asignación remota de CD-ROM y DVD. El administrador de seguridad crea la autorización com.newco.dev.allocate.cdvd.local. Esta autorización corresponde a las unidades de CD-ROM y DVD que se asignan con Trusted Path. La autorización com.newco.dev.allocate.cdvd.remote corresponde a los pocos usuarios que tienen permiso para asignar una unidad de CD-ROM o DVD fuera de Trusted Path.
El administrador de seguridad crea los archivos de ayuda, agrega las autorizaciones de dispositivos a la base de datos auth_attr, agrega las autorizaciones a los dispositivos y, luego, aplica las autorizaciones en los perfiles de derechos. El rol root asigna los perfiles a los usuarios que tienen permiso para asignar dispositivos.
Los siguientes comandos agregan las autorizaciones de dispositivos a la base de datos auth_attr:
# auths add -S ldap -t "Allocate Local DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDLocal.html \ com.newco.dev.allocate.cdvd.local # auths add -S ldap -t "Allocate Remote DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDRemote.html \ com.newco.dev.allocate.cdvd.remote
A continuación, se muestra la asignación de Device Manager:
La asignación local de la unidad de CD-ROM está protegida por Trusted Path.
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.local
La asignación remota no está protegida por Trusted Path; por lo tanto, los usuarios remotos deben ser confiables. En el paso final, el administrador autorizará la asignación remota para dos roles únicamente.
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.remote
Los siguientes comandos crean los perfiles de derechos Newco para estas autorizaciones y agregan las autorizaciones a los perfiles:
# profiles -S ldap "Remote Allocator" profiles:Remote Allocator > set desc="Allocate Remote CDs and DVDs" profiles:Remote Allocator > set help="/docs/helps/NewcoDevRemoteCDVD.html" profiles:Remote Allocator > add auths="com.newco.dev.allocate.cdvd.remote" profiles:Remote Allocator > end profiles:Remote Allocator > exit
# profiles -S ldap "Local Only Allocator" profiles:Local Only Allocator > set desc="Allocate Local CDs and DVDs" profiles:Local Only Allocator > set help="/docs/helps/NewcoDevLocalCDVD.html" profiles:Local Only Allocator > add auths="com.newco.dev.allocate.cdvd.local" profiles:Local Only Allocator > end profiles:Local Only Allocator > exit
Los siguientes comandos asignan los perfiles de derechos a los usuarios autorizados. El rol root asigna los perfiles. En este sitio, únicamente los roles están autorizados para asignar remotamente dispositivos periféricos.
# usermod -P "Local Only Allocator" jdoe # usermod -P "Local Only Allocator" kdoe
# rolemod -P "Remote Allocator" secadmin # rolemod -P "Remote Allocator" sysadmin