Configuración y administración de Trusted Extensions

Salir de la Vista de impresión

Actualización: Julio de 2014
 
 

Cómo crear usuarios que puedan asumir roles en Trusted Extensions

Si la política de seguridad del sitio lo permite, puede elegir crear un usuario que pueda asumir más de un rol administrativo.

Para una creación segura de los usuarios, el rol de administrador del sistema crea el usuario y asigna la contraseña inicial, y el rol de administrador de la seguridad asigna los atributos relacionados con la seguridad, por ejemplo, un rol.

Antes de empezar

Debe estar con el rol de usuario root en la zona global. O bien, si se aplica la separación de tareas, los usuarios que pueden asumir los roles de administrador de la seguridad y administrador del sistema deben estar presentes para asumir sus roles y llevar a cabo los pasos apropiados en este procedimiento.

  1. Cree un usuario.

    El rol de usuario root o el rol de administrador del sistema realizan este paso.

    No incluya información de propiedad exclusiva en el comentario.

    # useradd -c "Second User" -u 1201 -d /home/jdoe jdoe
  2. Después de crear el usuario, modifique los atributos de seguridad del usuario.

    El rol de usuario root o el rol de administrador de la seguridad realizan este paso.


    Notas - Para los usuarios que pueden asumir roles, desactive el bloqueo de cuentas y no establezca fechas de caducidad para las contraseñas. Además, audite los usos del comando pfexec. Sólo el rol root puede definir indicadores de auditoría por usuario.
    # usermod -K lock_after_retries=no -K idletime=5 -K idlecmd=lock \
    -K audit_flags=lo,ex:no jdoe

    Notas - Los valores de idletime e idlecmd siguen vigentes cuando el usuario asume un rol. Para obtener más información, consulte Valores predeterminados del archivo policy.conf en Trusted Extensions.
  3. Asigne una contraseña de seis caracteres alfanuméricos como mínimo.
    # passwd jdoe
    New Password: xxxxxxxx
    Re-enter new Password: xxxxxxxx

    Notas - Cuando el equipo de configuración inicial elige una contraseña, debe seleccionar una contraseña que sea difícil de adivinar. De esta manera, se reduce la posibilidad de que un adversario obtenga acceso no autorizado al intentar adivinar las contraseñas.
  4. Asigne un rol al usuario.

    El rol de usuario root o el rol de administrador de la seguridad realizan este paso.

    # usermod -R oper jdoe
  5. Personalice el entorno del usuario.
    1. Asigne autorizaciones convenientes.

      Después de comprobar la política de seguridad del sitio, es posible que desee otorgar a los primeros usuarios el perfil de derechos de autorizaciones convenientes. Con este perfil, los usuarios pueden asignar dispositivos, imprimir sin etiquetas, iniciar sesión de manera remota y apagar el sistema. Para crear el perfil, consulte Cómo crear perfiles de derechos para autorizaciones convenientes.

    2. Personalice los archivos de inicialización de usuario.

      Consulte Personalización del entorno de usuario para la seguridad.

    3. Cree archivos de copia y enlace de varios niveles.

      En un sistema de varios niveles, los usuarios y los roles se pueden configurar mediante archivos que contienen los archivos de inicialización de usuario que se copiarán o enlazarán a otras etiquetas. Para obtener más información, consulte Archivos .copy_files y .link_files.

Ejemplo 4-5  Uso del comando useradd para crear un usuario local

En este ejemplo, el rol de usuario root crea un usuario local que puede asumir el rol de administrador de la seguridad. Para obtener detalles, consulte las páginas del comando man useradd(1M) y atohexlabel(1M).

Este usuario tendrá un rango de etiquetas más amplio que el rango de etiquetas predeterminado. Entonces, el rol de usuario root determina el formato hexadecimal de la etiqueta mínima y la etiqueta de acreditación del usuario.

# atohexlabel public
0x0002-08-08
# atohexlabel -c "confidential restricted"
0x0004-08-78

Luego, el rol de usuario root consulta la Table 1–2 y crea el usuario. El administrador coloca el directorio de inicio del usuario en /export/home1 en lugar del directorio predeterminado /export/home.

# useradd -c "Local user for Security Admin" -d /export/home1/jandoe -K audit_flags=lo,ex:no \
-K  idletime=8 -K idlecmd=lock -K lock_after_retries=no \
-K min_label=0x0002-08-08 -K clearance=0x0004-08-78 jandoe

A continuación, el rol de usuario root proporciona una contraseña inicial.

# passwd -r files jandoe
New Password: xxxxxxxx
Re-enter new Password: xxxxxxxx
passwd: password successfully changed for jandoe
#

Por último, el rol de usuario root agrega el rol de administrador de la seguridad a la definición del usuario. El rol se creó en la sección Cómo crear el rol de administrador de la seguridad en Trusted Extensions.

# usermod -R secadmin jandoe