En un sistema Oracle Solaris, los dispositivos se pueden proteger mediante la asignación y la autorización. De manera predeterminada, los dispositivos se encuentran disponibles para los usuarios comunes sin necesidad de autorización. Un sistema configurado con la función Trusted Extensions utiliza los mecanismos de protección de dispositivos del SO Oracle Solaris.
Sin embargo, de manera predeterminada, Trusted Extensions requiere que los dispositivos se asignen y que el usuario esté autorizado para usarlos. Además, los dispositivos se protegen mediante etiquetas. Trusted Extensions proporciona una interfaz gráfica de usuario (GUI, Graphical User Interface) para que los administradores puedan gestionar los dispositivos. Es la misma interfaz que utilizan los usuarios para asignar los dispositivos.
Para obtener información sobre la protección de dispositivos en Oracle Solaris, consulte Capítulo 4, Control de acceso a dispositivos de Protección de sistemas y dispositivos conectados en Oracle Solaris 11.2 .
En el sistema configurado con Trusted Extensions, dos roles protegen los dispositivos.
El rol de administrador del sistema controla el acceso a los dispositivos periféricos.
El administrador del sistema permite que los dispositivos sean asignables. Nadie puede usar los dispositivos establecidos como no asignables por el administrador del sistema. Solamente los usuarios autorizados pueden asignar los dispositivos asignables.
El rol de administrador de la seguridad restringe las etiquetas en las que se puede acceder a un dispositivo y establece la política de dispositivos. El administrador de la seguridad decide quién está autorizado a asignar un dispositivo.
Las siguientes son las principales funciones del control de los dispositivos con el software Trusted Extensions:
De manera predeterminada, un usuario no autorizado en un sistema Trusted Extensions no puede asignar dispositivos, como unidades de cinta o unidades de CD-ROM.
Un usuario común que cuente con la autorización Allocate Device puede importar o exportar la información de la etiqueta en la que el usuario asigna el dispositivo.
Los usuarios invocan Device Allocation Manager cuando inician sesión directamente. Para asignar un dispositivo de manera remota, los usuarios deben tener acceso a la zona global. En general, solamente los roles tienen acceso a la zona global.
El administrador de seguridad puede restringir el rango de etiquetas de cada dispositivo. Los usuarios comunes están limitados a acceder a los dispositivos cuyo rango de etiquetas incluya las etiquetas en las que a los usuarios se les permite trabajar. El rango de etiquetas predeterminado de un dispositivo es de ADMIN_LOW a ADMIN_HIGH.
Los rangos de etiquetas se pueden restringir tanto para los dispositivos que son asignables como para los que no son asignables. Entre los dispositivos que no son asignables se encuentran los búferes de trama y las impresoras.