管理用户和权限(任务列表)
在 Trusted Extensions 中,您将承担 "Security Administrator"(安全管理员)角色,以便管理用户、授权、权限和角色。下面的任务列表介绍了您为在有标签环境中工作的用户执行的常见任务。
任务
说明
参考
修改用户的标签范围。
修改用户可在其上工作的标签。这些修改可以收缩或扩展 label_encodings 文件允许的范围。
创建权限配置文件以实现方便的授权。
有几种对一般用户可能很有用的授权。为有资格获得这些授权的用户创建配置文件。
创建一个限定用户只能访问几个应用程序的桌面。
指定权限配置文件,只允许用户打开桌面上出现的应用程序。命令行不可用,或者可选择接受几个命令。
修改用户的缺省特权集。
从用户的缺省特权集中删除特权。
防止锁定特定用户的帐户。
可以承担角色的用户必须关闭帐户锁定。
使用户能够重新为数据设置标签。
授予用户对信息进行降级或升级的权限。
如何修改用户的标签范围
您可能想要扩展用户的标签范围来给予用户对管理应用程序的读取访问权。例如,可登录全局区域的用户也可以查看在特定标签中运行的系统列表。该用户可以查看但不能更改内容。
另一方面,您也可能想要收缩用户的标签范围。例如,可以将来宾用户限制到一个标签中。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。执行以下操作之一:要扩展用户的标签范围,请指定一个更高级别的安全许可。# usermod -K min_label=INTERNAL -K clearance=ADMIN_HIGH jdoe
也可以通过降低最小标签的级别,来扩展用户的标签范围。# usermod -K min_label=PUBLIC -K clearance=INTERNAL jdoe
要将标签范围限制为一个标签,请使安全许可等于最小标签。# usermod -K min_label=INTERNAL -K clearance=INTERNAL jdoe
如何创建权限配置文件以实现方便的授权
如果站点安全策略允许,您可能希望创建权限配置文件,该文件包含对可执行需要授权的任务的用户进行的授权。要使特定系统的每个用户得以授权,请参见如何修改 policy.conf 缺省值。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。创建包含以下一种或多种授权的权限配置文件。
下列授权可能便于用户使用:
solaris.device.allocate-授权用户分配外围设备,例如麦克风或 CD-ROM。
缺省情况下,Oracle Solaris 用户可以对 CD-ROM 进行读取和写入。不过,在 Trusted Extensions 中,只有可以分配设备的用户能够访问 CD-ROM 驱动器。分配供使用的驱动器需要授权。因此,要在 Trusted Extensions 中对 CD-ROM 进行读取和写入,用户需要 "Allocate Device"(分配设备)授权。
solaris.label.file.downgrade-授权用户降低文件的安全级别。
solaris.label.file.upgrade-授权用户提高文件的安全级别。
solaris.label.win.downgrade-授权用户从较高级别文件选择信息并将所选信息放到较低级别文件中。
solaris.label.win.noview-授权用户移动信息而不查看所移动的信息。
solaris.label.win.upgrade-授权用户从较低级别文件选择信息并将所选信息放到较高级别文件中。
solaris.login.remote-授权用户远程登录。
solaris.print.ps-授予用户打印 PostScript 文件的权限。
solaris.print.nobanner-授予用户打印无标题页打印件的权限。
solaris.print.unlabeled-授予用户打印不显示标签的打印件的权限。
solaris.system.shutdown-授权用户关闭系统和关闭区域。
如何限定用户仅使用桌面应用程序
站点安全性可能要求用户只能访问可通过桌面图标打开的应用程序。以下过程可指定用于限定用户只访问所需应用程序的权限配置文件。
注 -在 Trusted Extensions 桌面上,始终基于权限配置文件执行命令。
要使特定系统的每个用户得到这样的授权,请参见如何修改 policy.conf 缺省值。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。创建一个名为 "Desktop applets"(桌面 applet)的权限配置文件,使 Oracle Solaris 用户可以在其桌面上运行基本 applet。
创建另一个权限配置文件,使 Trusted Extensions 用户可以在其桌面上运行所需的可信 applet。
由于显示的原因进行了换行。# profiles -p "Trusted Desktop Applets"
profiles:Trusted Desktop Applets>
set desc="Can use trusted desktop applications except terminal"
profiles:Trusted Desktop Applets> add cmd=/usr/dt/config/tsoljds-migration;end
profiles:Trusted Desktop Applets> add cmd=/usr/bin/tsoljds-xagent;end
profiles:Trusted Desktop Applets> commit
添加 "Desktop Applets"(桌面 Applet)配置文件,作为 "Trusted Desktop Applets"(可信桌面 Applet)配置文件的补充权限配置文件。
"Trusted Desktop Applets"(可信桌面 Applet)权限配置文件是在步骤 2 中创建的。profiles:Trusted Desktop Applets> add profiles="Desktop Applets"
profiles:Trusted Desktop Applets> commit
profiles:Trusted Desktop Applets> exit
检验 "Trusted Desktop Applets"(可信桌面 Applet)权限配置文件是否包含正确的条目。
检查这些条目中是否有错误,例如拼写错误、遗漏或重复。# profiles -p "Trusted Desktop Applets" info
Found profile in files repository.
name=Trusted Desktop Applets
desc=Can use trusted desktop applications except terminal
profiles=Desktop Applets
cmd=/usr/dt/config/tsoljds-migration
cmd=/usr/bin/tsoljds-xagent
提示 -可以为具有桌面图标的一个应用程序或一类应用程序创建一个权限配置文件。然后,添加 "Trusted Desktop Applets"(可信桌面 Applet)权限配置文件作为补充权限配置文件,以进行桌面访问。
为用户指定 Trusted Desktop Applets(可信桌面 Applet)和 Stop(停止)权限配置文件。# usermod -P "Trusted Desktop Applets,Stop" username
此用户可以使用可信桌面,但不能启动终端窗口,不能充当控制台用户,也没有 "Basic Solaris User"(基本 Solaris 用户)权限配置文件中所包含的任何权限。
示例 11-5 使桌面用户可以打开终端窗口
在本示例中,管理员将使桌面用户可以打开终端窗口。管理员已经在 LDAP 系统信息库中为 Oracle Solaris 桌面用户创建了 "Desktop Applets"(桌面 Applet)权限配置文件,并为 Trusted Extensions 桌面用户创建了
"Trusted Desktop Applets"(可信桌面 Applet)权限配置文件。
首先,管理员创建 "Terminal Window"(终端窗口)权限配置文件并检验其内容。# profiles -p "Terminal Window" -S ldap
profiles:Terminal Window> set desc="Can open a terminal window"
profiles:Terminal Window> add cmd=/usr/bin/gnome-terminal;end
profiles:Terminal Window> commit
profiles:Terminal Window> exit
# profiles -p "Terminal Window" info
Found profile in ldap repository.
name=Terminal Window
desc=Can open a terminal window
cmd=/usr/bin/gnome-terminal
然后,管理员将此权限配置文件和 "All"(全部)权限配置文件指定给需要使用终端窗口来执行其任务的桌面用户。如果没有 "All"(全部)权限配置文件,用户将无法运行不需要特权的 UNIX 命令,例如 ls 和 cat。# usermod -P "Trusted Desktop Applets,Terminal Window,All,Stop" -S ldap jdoe
通过这一组权限配置文件,用户 jdoe 可以使用桌面和终端窗口,但不能充当控制台用户,也没有 "Basic Solaris User"(基本 Solaris 用户)权限配置文件中所包含的任何权限。
如何收缩用户的特权集
站点安全策略可能要求授予用户的特权要少于缺省情况下指定给用户的特权。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。删除 "basic"(基本)集中的一个或多个特权。
注意 -请勿删除 proc_fork 或 proc_exec 特权。如果没有这些特权,用户无法使用系统。
# usermod -K defaultpriv=basic,!proc_info,!proc_session,!file_link_any
通过删除 proc_info 特权,可以防止用户检查其他用户发起的任何进程。通过删除 proc_session 特权,可以防止用户检查其当前会话以外的任何进程。通过删除 file_link_any 特权,可以防止用户生成指向不归其所有的文件的硬链接。
另请参见
要限制系统中所有用户的特权,请参见示例 11-2。
如何防止锁定用户的帐户
对可承担角色的所有用户执行以下过程。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。对本地用户关闭帐户锁定。# usermod -K lock_after_retries=no jdoe
要对 LDAP 用户关闭帐户锁定,请指定 LDAP 系统信息库。# usermod -S ldap -K lock_after_retries=no jdoe
如何允许用户更改数据的安全级别
可以授权一般用户或角色更改文件和目录或所选文本的安全级别或标签。除了具有授权外,该用户或角色还必须配置为以多个标签工作。而且,必须将有标签区域配置为允许重新设置标签。有关过程,请参见如何使文件可以从有标签区域被重新设置标签。
注意 -更改数据的安全级别是一个特权操作。此任务仅适用于值得信任的用户。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。以下授权允许用户重新为文件设置标签:
"Downgrade File Label"(降级文件标签)
"Upgrade File Label"(升级文件标签)
以下授权允许用户重新为文件内信息设置标签:
"Downgrade DragNDrop or CutPaste Info"(降级 DragNDrop 或 CutPaste 信息)
"DragNDrop or CutPaste Info Without Viewing"(在不查看内容的情况下 DragNDrop 或 CutPaste 信息)
"Upgrade DragNDrop or CutPaste Info"(升级 DragNDrop 或 CutPaste 信息)
如何从 Trusted Extensions 系统删除用户帐户
从系统删除用户时,必须确保同时删除用户的起始目录以及用户拥有的所有对象。作为删除用户拥有的对象的替代方法,您可以将这些对象的所有权变更到一个有效用户。
您还必须确保删除与该用户关联的所有批处理作业。系统上不能保留任何属于已删除用户的对象或进程。
开始之前
您必须具有全局区域中的 "System Administrator"(系统管理员)角色。归档用户在每个标签的起始目录。
归档用户在每个标签的邮件文件。
删除用户帐户。# userdel -r jdoe
在每个有标签区域中,手动删除用户的目录和邮件文件。
注 -您应当负责查找和删除用户在所有标签的临时文件,例如 /tmp 目录中的文件。
有关其他注意事项,请参见用户删除操作。