如果一个设备不需要授权,那么缺省情况下,所有用户都能使用此设备。如果需要授权,则只有经授权的用户才能使用此设备。
要拒绝对可分配设备的所有访问,请参见Example 21–1。要创建并使用新授权,请参见Example 21–3。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
帮助文件为 HTML 格式。命名约定为 AuthName .html,如 DeviceAllocateCD.html 中所示。
# auths add -t "Authorization description" -h /full/path/to/helpfile.html authorization-name
# profiles rights-profile profiles:rights-profile > add auths="authorization-name"...
# usermod -P "rights-profile" username # rolemod -P "rights-profile" rolename
在 "Device Manager"(设备管理器)中,将新授权添加到所需授权列表中。有关过程,请参见如何在 Trusted Extensions 中将特定于站点的授权添加到设备。
在此示例中,NewCo 的安全管理员需要为公司构建细粒度设备授权。
首先,管理员将创建以下帮助文件:
Newco.html NewcoDevAllocateCDVD.html NewcoDevAllocateUSB.html
接下来,管理员将创建一个模板帮助文件,可以基于该文件复制其他帮助文件,然后进行修改。
<HTML> -- Copyright 2012 Newco. All rights reserved. -- NewcoDevAllocateCDVD.html --> <HEAD> <TITLE>Newco Allocate CD or DVD Authorization</TITLE> </HEAD> <BODY> The com.newco.dev.allocate.cdvd authorization enables you to allocate the CD drive on your system for your exclusive use. <p> The use of this authorization by a user other than the authorized account is a security violation. <p> </BODY> </HTML>
创建帮助文件后,管理员使用 auths 命令创建每个设备授权。由于授权应用于整个公司,因此管理员将授权置于 LDAP 系统信息库中。该命令包含到帮助文件的路径名。
管理员创建了两个设备授权和一个 Newco 授权标题。
一个授权用于授权用户分配 CD-ROM 或 DVD 驱动器。
# auths add -S ldap -t "Allocate CD or DVD" \ -h /docs/helps/NewcoDevAllocateCDVD.html com.newco.dev.allocate.cdvd
一个授权用于授权用户分配 USB 设备。
# auths add -S ldap -t "Allocate USB" \ -h /docs/helps/NewcoDevAllocateUSB.html com.newco.dev.allocate.usb
Newco 授权标题标识所有 Newco 授权。
# auths add -S ldap -t "Newco Auth Header" \ -h /docs/helps/Newco.html com.newco
缺省情况下,"Allocate Devices"(分配设备)授权允许从可信路径和可信路径外进行分配。
在下面的示例中,站点安全策略要求限制远程 CD-ROM 和 DVD 分配。安全管理员创建了 com.newco.dev.allocate.cdvd.local 授权。该授权适用于使用可信路径分配的 CD-ROM 和 DVD 驱动器。com.newco.dev.allocate.cdvd.remote 授权适用于少数用户,他们可以在可信路径外分配 CD-ROM 或 DVD 驱动器。
安全管理员创建帮助文件、将设备授权添加到 auth_attr 数据库、将授权添加到设备,然后将授权置于权限配置文件中。root 角色将配置文件指定给允许分配设备的用户。
以下命令将设备授权添加到 auth_attr 数据库:
# auths add -S ldap -t "Allocate Local DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDLocal.html \ com.newco.dev.allocate.cdvd.local # auths add -S ldap -t "Allocate Remote DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDRemote.html \ com.newco.dev.allocate.cdvd.remote
下面显示 "Device Manager"(设备管理器)分配:
CD-ROM 驱动器的本地分配受可信路径保护。
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.local
远程分配不受可信路径保护,因此,远程用户必须可信。最后,管理员将仅为两个角色授权远程分配。
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.remote
以下命令为这些授权创建 Newco 权限配置文件,并将授权添加到配置文件:
# profiles -S ldap "Remote Allocator" profiles:Remote Allocator > set desc="Allocate Remote CDs and DVDs" profiles:Remote Allocator > set help="/docs/helps/NewcoDevRemoteCDVD.html" profiles:Remote Allocator > add auths="com.newco.dev.allocate.cdvd.remote" profiles:Remote Allocator > end profiles:Remote Allocator > exit
# profiles -S ldap "Local Only Allocator" profiles:Local Only Allocator > set desc="Allocate Local CDs and DVDs" profiles:Local Only Allocator > set help="/docs/helps/NewcoDevLocalCDVD.html" profiles:Local Only Allocator > add auths="com.newco.dev.allocate.cdvd.local" profiles:Local Only Allocator > end profiles:Local Only Allocator > exit
以下命令将权限配置文件指定给授权的用户。root 角色指定配置文件。在该站点上,仅授权角色可远程分配外围设备。
# usermod -P "Local Only Allocator" jdoe # usermod -P "Local Only Allocator" kdoe
# rolemod -P "Remote Allocator" secadmin # rolemod -P "Remote Allocator" sysadmin