| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
1. Concepts d'administration de Trusted Extensions
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
8. Administration à distance dans Trusted Extensions (tâches)
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
12. Gestion de réseaux de confiance (présentation)
13. Gestion des réseaux dans Trusted Extensions (tâches)
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
16. Périphériques dans Trusted Extensions (présentation)
17. Gestion des périphériques pour Trusted Extensions (tâches)
Manipulation des périphériques dans Trusted Extensions (liste des tâches)
Utilisation de périphériques dans Trusted Extensions (liste des tâches)
Gestion des périphériques dans Trusted Extensions (liste des tâches)
Procédure de configuration d'un périphérique dans Trusted Extensions
Procédure de révocation ou de récupération d'un périphérique dans Trusted Extensions
Procédure de protection des périphériques non allouables dans Trusted Extensions
Procédure de configuration d'une ligne série pour les connexions
Procédure d'ajout d'un script Device_Clean dans Trusted Extensions
Personnalisation des autorisations de périphériques dans Trusted Extensions (liste des tâches)
Procédure de création d'autorisations de périphériques
Procédure d'ajout d'autorisations spécifiques à un site à un périphérique dans Trusted Extensions
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
La liste des tâches ci-dessous décrit des procédures permettant de modifier les autorisations de périphériques sur votre site.
|
Si aucune autorisation n'est spécifiée lors de la création d'un périphérique, tous les utilisateurs peuvent, par défaut, utiliser le périphérique. Si une autorisation est spécifiée, seuls les utilisateurs autorisés peuvent, par défaut, utiliser le périphérique.
Pour empêcher tout accès à un périphérique allouable sans l'utilisation d'autorisations, reportez-vous à l'Exemple 17-1.
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.
Utilisez l'éditeur de confiance. Pour plus d'informations, reportez-vous à la section Modification des fichiers d'administration dans Trusted Extensions.
Utilisez le nom de domaine Internet de votre organisation en ordre inverse suivi de composants quelconques facultatifs, tels que le nom de votre société. Séparez les composants par des points. Ajoutez un point après les noms d'en-tête.
domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html
Ajoutez les autorisations (une autorisation par ligne). Les lignes sont fractionnées pour permettre leur affichage. Les autorisations comprennent des autorisations grant qui permettent aux administrateurs d'affecter les nouvelles autorisations.
domain-suffix.domain-prefix.grant:::Grant All Company Authorizations:: help=CompanyGrant.html domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations:: help=CompanyGrantDevice.html domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device:: help=CompanyTapeAllocate.html domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device:: help=CompanyFloppyAllocate.html
Pour plus d'informations, reportez-vous à la page de manuel ldapaddent(1M).
Utilisez la Console de gestion Solaris. Assumez le rôle d'administrateur de sécurité, puis suivez la procédure d'Oracle Solaris How to Create or Change a Rights Profile du System Administration Guide: Security Services.
Ajoutez les nouvelles autorisations à la liste des autorisations nécessaires dans le gestionnaire d'allocation de périphériques. Pour plus d'informations sur cette procédure, reportez-vous à la section Procédure d'ajout d'autorisations spécifiques à un site à un périphérique dans Trusted Extensions.
Exemple 17-4 Création d'autorisations de périphériques détaillées
Un administrateur de sécurité de NewCo a besoin de construire des autorisations de périphériques détaillées pour la société.
Tout d'abord, l'administrateur crée les fichiers d'aide suivants et les place dans le répertoire /usr/lib/help/auths/locale/C :
Newco.html NewcoGrant.html NewcoGrantDevice.html NewcoTapeAllocate.html NewcoFloppyAllocate.html
L'administrateur ajoute ensuite un en-tête pour toutes les autorisations de newco.com dans le fichier auth_attr.
# auth_attr file com.newco.:::NewCo Header::help=Newco.html
Puis l'administrateur ajoute les entrées des autorisations au fichier :
com.newco.grant:::Grant All NewCo Authorizations:: help=NewcoGrant.html com.newco.grant.device:::Grant NewCo Device Authorizations:: help=NewcoGrantDevice.html com.newco.device.allocate.tape:::Allocate Tape Device:: help=NewcoTapeAllocate.html com.newco.device.allocate.floppy:::Allocate Floppy Device:: help=NewcoFloppyAllocate.html
Les lignes sont fractionnées pour permettre leur affichage.
Les entrées dans auth_attr créent les autorisations suivantes :
une autorisation d'accorder toutes les autorisations de NewCo ;
une autorisation d'accorder les autorisations de périphériques de NewCo ;
une autorisation d'allouer un lecteur de bande ;
une autorisation d'allouer une unité de disquette.
Exemple 17-5 Création d'autorisations de chemin de confiance et de chemin non de confiance
Par défaut, l'autorisation Allocate Devices (Allouer des périphériques) permet l'allocation de tous les périphériques depuis le chemin de confiance et depuis d'autres emplacements que le chemin de confiance.
Dans l'exemple suivant, la stratégie de sécurité du site exige la limitation de l'allocation de CD-ROM distant. L'administrateur de sécurité crée l'autorisation com.someco.device.cdrom.local. Cette autorisation concerne les unités de CD-ROM qui sont allouées via le chemin de confiance. L'autorisation com.someco.device.cdrom.remote est destinée aux rares utilisateurs autorisés à allouer des unités de CD-ROM depuis un emplacement autre que le chemin de confiance.
L'administrateur de sécurité crée les fichiers d'aide, ajoute les autorisations à la base de données auth_attr, ajoute les autorisations aux périphériques, puis place les autorisations dans des profils de droits. Les profils sont affectés aux utilisateurs autorisés à allouer des périphériques.
Entrées de la base de données auth_attr :
com.someco.:::SomeCo Header::help=Someco.html com.someco.grant:::Grant All SomeCo Authorizations:: help=SomecoGrant.html com.someco.grant.device:::Grant SomeCo Device Authorizations:: help=SomecoGrantDevice.html com.someco.device.cdrom.local:::Allocate Local CD-ROM Device:: help=SomecoCDAllocateLocal.html com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device:: help=SomecoCDAllocateRemote.html
L'assignation du gestionnaire d'allocation de périphériques est présentée ci-dessous :
Le chemin de confiance permet aux utilisateurs autorisés d'utiliser le gestionnaire d'allocation de périphériques pour allouer l'unité de CD-ROM locale.
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.local
Le chemin non de confiance permet aux utilisateurs d'allouer un périphérique à distance à l'aide de la commande allocate.
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.remote
Entrées du profil de droits :
# Local Allocator profile com.someco.device.cdrom.local # Remote Allocator profile com.someco.device.cdrom.remote
Profils de droits des utilisateurs autorisés :
# List of profiles for regular authorized user Local Allocator Profile ... # List of profiles for role or authorized user Remote Allocator Profile ...
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité ou dans un rôle qui inclut l'autorisation Configure Device Attributes (Configurer les attributs des périphériques). Vous devez avoir créé des autorisations spécifiques à un site, comme décrit à la section Procédure de création d'autorisations de périphériques.
Les nouvelles autorisations s'affichent dans la liste Not Required (Non requis).
L'autorisation Allocate Device (Allouer un périphérique) permet aux utilisateurs d'allouer un périphérique. Les autorisations Allocate Device et Revoke or Reclaim Device (Révoquer ou récupérer un périphérique) sont appropriées pour les rôles d'administration.
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.
Si les profils existants ne sont pas appropriés, l'administrateur de sécurité peut créer un nouveau profil. Pour obtenir un exemple, reportez-vous à la section Procédure de création d'un profil de droits pour des autorisations commodes.
Pour obtenir de l'aide, reportez-vous à l'aide en ligne. Pour la procédure étape par étape, reportez-vous à la section How to Change the RBAC Properties of a User du System Administration Guide: Security Services.
Les profils de droits suivants permettent à un rôle d'allouer des périphériques :
All Authorizations (Toutes les autorisations) ;
Device Management (Gestion des périphériques) ;
Media Backup (Sauvegarde des supports) ;
Media Restore (Restauration des supports) ;
Object Label Management (Gestion de l'étiquette des objets) ;
Software Installation (Installation de logiciels).
Les profils de droits suivants permettent à un rôle de révoquer ou récupérer des périphériques :
All Authorizations (Toutes les autorisations) ;
Device Management (Gestion des périphériques) ;
Les profils de droits suivants permettent à un rôle de créer ou de configurer des périphériques :
All Authorizations (Toutes les autorisations) ;
Device Security (Sécurité des périphériques).
Exemple 17-6 Affectation de nouvelles autorisations de périphériques
Dans cet exemple, l'administrateur de sécurité configure les nouvelles autorisations de périphériques pour le système et affecte le profil de droits incluant les nouvelles autorisations à des utilisateurs dignes de confiance. L'administrateur de sécurité effectue les opérations suivantes :
Il crée de nouvelles autorisations de périphériques, comme décrit à la section Procédure de création d'autorisations de périphériques.
Dans le gestionnaire d'allocation de périphériques, il ajoute les nouvelles autorisations de périphériques aux lecteurs de bande et aux unités de disquette.
Il place les nouvelles autorisations dans le profil de droits NewCo Allocation.
Il ajoute le profil de droits NewCo Allocation aux profils des utilisateurs et des rôles qui sont autorisés à allouer des lecteurs de bande et des unités de disquette.
Les utilisateurs et les rôles autorisés peuvent maintenant utiliser les lecteurs de bande et les unités de disquette sur ce système.
|