Las siguientes decisiones afectan las acciones que los usuarios pueden realizar en Trusted Extensions y la cantidad de esfuerzo que se necesita. Algunas decisiones son las mismas que deben tomarse cuando se instala el SO Oracle Solaris. Sin embargo, las decisiones que son específicas de Trusted Extensions pueden afectar la seguridad del sitio y la facilidad de uso.
Decida si se cambian los atributos de seguridad del usuario predeterminados en el archivo policy.conf. Los valores predeterminados de usuario del archivo label_encodings fueron configurados originalmente por el equipo de configuración inicial. Para obtener una descripción de los valores predeterminados, consulte Atributos de seguridad del usuario predeterminados en Trusted Extensions.
Decida qué archivos de inicio se copiarán o enlazarán del directorio principal de etiqueta mínima del usuario a los directorios principales de nivel superior del usuario. Para conocer el procedimiento, consulte Cómo configurar los archivos de inicio para los usuarios en Trusted Extensions.
Decida si los usuarios pueden acceder a los dispositivos periféricos, como el micrófono, la unidad de CD-ROM y los dispositivos USB.
Si a algunos usuarios se les permite el acceso, decida si el sitio requiere autorizaciones adicionales a fin de garantizar la seguridad del sitio. Para obtener una lista predeterminada con las autorizaciones relacionadas con los dispositivos, consulte Cómo asignar autorizaciones para dispositivos. Para crear un conjunto de autorizaciones para dispositivos más específico, consulte Personalización de autorizaciones para dispositivos en Trusted Extensions.
Decida si las cuentas de usuario se deben crear por separado en las zonas etiquetadas.
De manera predeterminada, las zonas etiquetadas comparten la configuración del servicio de nombres de la zona global. Por lo tanto, las cuentas de usuario se crean en la zona global para todas las zonas. Los archivos /etc/passwd y /etc/shadow de las zonas con etiquetas son vistas de sólo lectura de los archivos de la zona global. Del mismo modo, las bases de datos LDAP son de sólo lectura en las zonas etiquetadas.
Las aplicaciones que instala en una zona desde dentro de una zona posiblemente requieran la creación de cuentas de usuario, por ejemplo, pkg:/service/network/ftp. Para activar una aplicación específica de zona para crear una cuenta de usuario, debe configurar el daemon de servicio de nombres por zona, como se describe en Cómo configurar un servicio de nombres independiente para cada zona con etiquetas. Las cuentas de usuario que esas aplicaciones agregan a una zona etiquetada deben estar gestionadas manualmente por el administrador de zona.