在 Trusted Extensions 中规划用户安全 - Trusted Extensions 配置和管理

Trusted Extensions 配置和管理

退出打印视图

» ...Documentation Home » Oracle Solaris 11.2 Information Library (简体中文) » Trusted Extensions 配置和管理 » Trusted Extensions 的初始配置 » Trusted Extensions 的安全规划 » 在 Trusted Extensions 中规划安全 » 在 Trusted Extensions 中规划用户安全

更新时间： 2014 年 7 月

Trusted Extensions 配置和管理

使用本文档

第 I 部分 Trusted Extensions 的初始配置

第 1 章 Trusted Extensions 的安全规划

Oracle Solaris 11.2 中 Trusted Extensions 的新增功能

在 Trusted Extensions 中规划安全

了解 Trusted Extensions

了解站点的安全策略

规划配置 Trusted Extensions 的人员

设计标签策略

规划 Trusted Extensions 的系统硬件和容量

规划可信网络

在 Trusted Extensions 中规划有标签区域

规划多级别服务

在 Trusted Extensions 中规划 LDAP 命名服务

在 Trusted Extensions 中规划审计

在 Trusted Extensions 中规划用户安全

为 Trusted Extensions 成立一个安装团队

在启用 Trusted Extensions 之前解决其他问题

在启用 Trusted Extensions 之前备份系统

启用 Trusted Extensions 的结果（从管理员角度）

第 2 章 Trusted Extensions 的配置任务列表

任务列表：准备和启用 Trusted Extensions

任务列表：选择 Trusted Extensions 配置

任务列表：使用提供的缺省设置配置 Trusted Extensions

任务列表：配置 Trusted Extensions 以满足站点要求

第 3 章将 Trusted Extensions 功能添加到 Oracle Solaris

初始设置团队的职责

在安装 Trusted Extensions 之前解决安全问题

安装和启用 Trusted Extensions

第 4 章配置 Trusted Extensions

在 Trusted Extensions 中设置全局区域

创建有标签区域

在 Trusted Extensions 中配置网络接口

在 Trusted Extensions 中创建角色和用户

在 Trusted Extensions 中创建集中起始目录

Trusted Extensions 配置故障排除

其他 Trusted Extensions 配置任务

第 5 章为 Trusted Extensions 配置 LDAP

在 Trusted Extensions 网络上配置 LDAP

在 Trusted Extensions 系统上配置 LDAP 代理服务器

在 Trusted Extensions 系统上配置 Oracle Directory Server 企业版

为现有 Oracle Directory Server 企业版创建 Trusted Extensions 代理

创建 Trusted Extensions LDAP 客户机

第 II 部分 Trusted Extensions 的管理

附录 A 站点安全策略

附录 B Trusted Extensions 的配置核对表

附录 C Trusted Extensions 管理快速参考

附录 D Trusted Extensions 手册页列表

语言：

在 Trusted Extensions 中规划用户安全

Trusted Extensions 软件为用户提供了合理的安全缺省设置。Table 1–2 中列出了这些安全缺省设置。如果列出了两个值，则第一个值为缺省值。安全管理员可以修改这些缺省值以反映站点的安全策略。设置缺省值后，安全管理员可以创建继承这些已建立缺省值的所有用户。有关这些缺省值的关键字和值的说明，请参见 label_encodings(4) 和 policy.conf(4) 手册页。

表 1-2 Trusted Extensions 用户帐户安全缺省值

文件名	关键字	值
`/etc/security/policy.conf`	`IDLECMD`	`lock` \|`logout`
	`IDLETIME`	`15`
	`CRYPT_ALGORITHMS_ALLOW`	`1,2a,md5,5,6`
	`CRYPT_DEFAULT`	`5` (`sha256`)
	`LOCK_AFTER_RETRIES`	`no` \|`yes`
	`PRIV_DEFAULT`	`basic`
	`PRIV_LIMIT`	`all`
	`AUTHS_GRANTED`	`solaris.device.cdrw`
	`CONSOLE_USER`	`Console User`
	`PROFS_GRANTED`	`Basic Solaris User`
`/etc/security/tsol/label_encodings` 的 LOCAL DEFINITIONS 部分	Default User Clearance（缺少用户安全许可）	`CNF: INTERNAL USE ONLY`（CNF：仅供内部使用）
`/etc/security/tsol/label_encodings` 的 LOCAL DEFINITIONS 部分	Default User Sensitivity Label（缺少用户敏感标签）	`PUBLIC`

注 - IDLECMD 和 IDLETIME 变量应用于登录用户的会话。如果登录用户承担了角色，则用户的 IDLECMD 和 IDLETIME 值将对该角色生效。

系统管理员可以设置一个标准用户模板，该模板可为每个用户设置适当的系统缺省值。例如，缺省情况下每个用户的初始 shell 为 bash shell。系统管理员可以设置一个为每个用户提供一个 pfbash shell 的模板。

版权所有 © 1992, 2014, Oracle 和/或其附属公司。保留所有权利。法律声明