在 Trusted Extensions 中更改 policy.conf 缺省值等同于在 Oracle Solaris 中更改任何安全相关系统文件。使用以下过程可为系统的所有用户更改缺省值。
开始之前
您必须在全局区域中承担 root 角色。有关详细信息,请参见如何进入 Trusted Extensions 的全局区域。
有关 Trusted Extensions 关键字,请参见Table 10–1。
# pfedit /etc/security/policy.conf
在本例中,安全管理员想让空闲的系统返回到登录屏幕。缺省情况下会锁定空闲系统。因此,root 角色将按如下方式将 IDLECMD keyword=value 对添加到 /etc/security/policy.conf 文件中:
IDLECMD=LOGOUT
管理员还想缩短系统在注销之前空闲的时间。因此,root 角色将按如下方式将 IDLETIME keyword=value 对添加到 policy.conf 文件中:
IDLETIME=10
现在,系统会在空闲 10 分钟后注销用户。
请注意,如果登录用户承担了某个角色,则用户的 IDLECMD 和 IDLETIME 值将对该角色生效。
示例 11-2 修改每个用户的基本特权集在本示例中,大型 Sun Ray 安装的安全管理员不希望一般用户查看其他 Sun Ray 用户的进程。因此,在配置有 Trusted Extensions 的每个系统上,root 角色将从基本特权集中删除 proc_info。将按如下方式对 /etc/policy.conf 文件中的 PRIV_DEFAULT 设置取消注释并进行修改:
PRIV_DEFAULT=basic,!proc_info示例 11-3 为系统的所有用户指定与打印相关的授权
在此示例中,站点安全允许公共资讯服务站计算机在打印时不带标签。在公共资讯服务站中,root 角色修改 /etc/security/policy.conf 文件中的 AUTHS_GRANTED 值。在下次引导时,此 kiosk 的所有用户执行的打印作业都会在没有页面标签的情况下打印。
AUTHS_GRANTED=solaris.print.unlabeled
然后,管理员决定通过删除标题页和篇尾页来节省纸张。管理员进一步修改 policy.conf 条目。
AUTHS_GRANTED=solaris.print.unlabeled,solaris.print.nobanner
重新引导公共资讯服务站后,所有打印作业均不带标签,也没有标题页和篇尾页。