Ignorer les liens de navigation | |
Quitter l'aperu | |
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
1. Concepts d'administration de Trusted Extensions
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
8. Administration à distance dans Trusted Extensions (tâches)
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
12. Gestion de réseaux de confiance (présentation)
13. Gestion des réseaux dans Trusted Extensions (tâches)
Gestion du réseau de confiance (liste des tâches)
Configuration des bases de données réseau de confiance (liste des tâches)
Procédure d'ouverture des outils de gestion de réseaux de confiance
Procédure de construction d'un modèle d'hôte distant
Procédure d'ajout d'hôtes au réseau connu du système
Procédure d'assignation d'un modèle de sécurité à un hôte ou à un groupe d'hôtes
Procédure de limitation des hôtes pouvant être contactés sur le réseau de confiance
Procédure de configuration de routes à l'aide d'attributs de sécurité
Procédure de vérification de la syntaxe des bases de données d'un réseau de confiance
Procédure de synchronisation du cache du noyau avec les bases de données d'un réseau de confiance
Dépannage du réseau de confiance (liste des tâches)
Procédure de vérification de l'état d'activité des interfaces d'un hôte
Débogage du réseau Trusted Extensions
Procédure de débogage d'une connexion client au serveur LDAP
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
16. Périphériques dans Trusted Extensions (présentation)
17. Gestion des périphériques pour Trusted Extensions (tâches)
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
Le logiciel Trusted Extensions comprend les bases de données tnrhtp et tnrhdb. Ces bases de données fournissent des étiquettes aux hôtes distants qui contactent le système. La Console de gestion Solaris fournit l'interface graphique que vous utilisez pour administrer ces bases de données.
La liste ci-dessous décrit les tâches à exécuter pour créer des modèles de sécurité et les appliquer aux hôtes.
|
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.
Lisez le fichier tnrhtp sur un hôte local. Les commentaires qu'il contient sont utiles. Vous pouvez également afficher les valeurs des attributs de sécurité dans l'outil Security Templates (Modèles de sécurité) de la Console de gestion Solaris.
Les modèles par défaut conviennent pour n'importe quel type d'installation. La plage d'étiquettes de chaque modèle s'étend de ADMIN_LOW à ADMIN_HIGH.
Le modèle cipso définit un type d'hôte CIPSO dont la valeur du DOI est 1. La plage d'étiquettes du modèle s'étend de ADMIN_LOW à ADMIN_HIGH.
Le modèle admin_low définit un hôte non étiqueté dont la valeur du DOI est 1. L'étiquette par défaut du modèle est ADMIN_LOW. La plage d'étiquettes du modèle s'étend de ADMIN_LOW à ADMIN_HIGH. Dans la configuration par défaut, l'adresse 0.0.0.0 est assignée à ce modèle. Par conséquent, tous les hôtes non CIPSO sont traités comme des hôtes fonctionnant sous l'étiquette de sécurité ADMIN_LOW.
Pour permettre une assistance en cas de besoin, vous ne devez pas supprimer ni modifier les modèles par défaut. Vous pouvez modifier l'hôte auquel ces modèles par défaut sont assignés. Pour consulter un exemple, reportez-vous à la section Procédure de limitation des hôtes pouvant être contactés sur le réseau de confiance.
Limiter la plage d'étiquettes d'un hôte ou d'un groupe d'hôtes.
Créer un hôte à étiquette unique.
Créer un hôte capable de reconnaître certaines étiquettes discrètes.
Utiliser un DOI autre que 1.
Utiliser une étiquette par défaut autre que ADMIN_LOW pour les hôtes non étiquetés.
Pour plus d'informations, reportez-vous à la section Procédure de construction d'un modèle d'hôte distant.
Avant de commencer
Vous devez accéder à la zone globale à l'aide d'un rôle capable de modifier la sécurité du réseau. Par exemple, les rôles auxquels les profils de droits Information Security (Sécurité des informations) et Network Security (Sécurité du réseau) sont assignés sont autorisés à modifier les paramètres de sécurité. Le rôle d'administrateur de sécurité inclut ces profils.
Pour utiliser la boîte à outils LDAP, vous devez avoir effectué toutes les tâches décrites dans la section Configuration de la Console de gestion Solaris pour LDAP (liste des tâches) du Guide de configuration d’Oracle Solaris Trusted Extensions.
Pour plus d'informations, reportez-vous à la section Initialisation du serveur Console de gestion Solaris dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions.
Pour modifier un modèle, utilisez l'outil Security Templates (Modèles de sécurité).
Tous les modèles actuellement définis s'affichent dans le volet de droite. Lorsque vous sélectionnez ou créez un modèle, l'aide en ligne est disponible dans le volet de gauche.
Pour assigner un hôte à un modèle, utilisez l'outil Security Templates.
Pour créer un hôte pouvant être assigné à un modèle, utilisez l'outil Computers and Networks (Ordinateurs et réseaux).
Pour assigner une étiquette à une zone, utilisez l'outil Trusted Network Zones (Zones de réseau de confiance). Pour plus d'informations sur les zones dans Trusted Extensions, reportez-vous à la section Chapitre 10Gestion des zones dans Trusted Extensions (tâches).
Avant de commencer
Vous devez accéder à la zone globale à l'aide d'un rôle capable de modifier la sécurité du réseau. Par exemple, les rôles auxquels les profils de droits Information Security (Sécurité des informations) et Network Security (Sécurité du réseau) sont assignés sont autorisés à modifier les paramètres de sécurité. Le rôle d'administrateur de sécurité inclut ces profils.
Reportez-vous à la section Procédure d'ouverture des outils de gestion de réseaux de confiance pour connaître les étapes à effectuer.
Les modèles existants apparaissent dans le volet d'affichage. Ces modèles décrivent les attributs de sécurité des hôtes que ce système peut contacter. Il s'agit notamment d'hôtes CIPSO qui exécutent Trusted Extensions et d'hôtes non étiquetés.
Voyez à quels hôtes et réseaux ce modèle est déjà assigné.
Voyez à quels hôtes et réseaux ce modèle est déjà assigné.
Si les modèles fournis ne décrivent pas suffisamment les hôtes autorisés à communiquer avec ce système, choisissez Add Template (Ajouter un modèle) dans le menu Action.
Utilisez l'aide en ligne si vous avez besoin d'aide. Avant d'affecter des hôtes aux modèles, créez tous les modèles requis par votre site.
Double-cliquez sur le modèle et utilisez l'aide en ligne pour obtenir de l'assistance. Vous pouvez modifier les hôtes ou les réseaux assignés.
Exemple 13-1 Création d'un modèle de sécurité avec une valeur de DOI différente
Dans cet exemple, le réseau de l'administrateur de sécurité possède un DOI dont la valeur est différente de 1. L'équipe ayant initialement configuré le système a effectué les tâches décrites dans la section Configuration du domaine d’interprétation du Guide de configuration d’Oracle Solaris Trusted Extensions.
L'administrateur de sécurité confirme dans un premier temps la valeur du DOI dans le fichier /etc/system :
# grep doi /etc/system set default_doi = 4
Ensuite, dans l'outil Security Templates (Modèles de sécurité), la valeur du doi de chaque modèle créé par l'administrateur est définie sur 4. Pour le système à étiquette unique décrit dans l'Exemple 13-2, l'administrateur de sécurité crée le modèle suivant :
template: CIPSO_PUBLIC host_type: CIPSO doi: 4 min_sl: PUBLIC max_sl: PUBLIC
Exemple 13-2 Création d'un modèle de sécurité à étiquette unique
Dans cet exemple, l'administrateur de sécurité souhaite créer une passerelle qui permette uniquement la transmission de paquets d'une seule étiquette, l'étiquette PUBLIC. À l'aide de l'outil Security Templates de la Console de gestion Solaris, l'administrateur crée un modèle et assigne l'hôte de passerelle au modèle.
Il ajoute tout d'abord l'hôte de passerelle et l'adresse IP à l'outil Computers and Networks (Ordinateurs et réseaux).
gateway-1 192.168.131.75
Puis il crée le modèle dans l'outil Security Templates.Ci-dessous, les valeurs du modèle :
template: CIPSO_PUBLIC host_type: CIPSO doi: 1 min_sl: PUBLIC max_sl: PUBLIC
L'outil fournit la valeur hexadécimale pour PUBLIC, 0X0002-08-08.
L'hôte gateway-1 (passerelle 1) est ensuite assigné au modèle par le biais de son nom et de son adresse IP.
gateway-1 192.168.131.75
Sur un hôte local, l'entrée tnrhtp se présente de la manière suivante :
cipso_public:host_type=cipso;doi=1;min_sl=0X0002-08-08;max_sl=0X0002-08-08;
Sur un hôte local, l'entrée tnrhdb se présente de la manière suivante :
# gateway-1 192.168.131.75:cipso_public
Exemple 13-3 Création d'un modèle de sécurité pour un routeur non étiqueté
Tous les routeurs IP sont capables de transférer des messages pourvus d'étiquettes CIPSO, et ce même si les étiquettes ne sont pas explicitement prises en charge par le routeur. Ces routeurs non étiquetés nécessitent une étiquette par défaut définissant le niveau de traitement des connexions au routeur (pour la gestion du routeur par exemple). Dans cet exemple, l'administrateur de sécurité crée un routeur capable de transférer le trafic de n'importe quelle étiquette, mais toutes les communications directes avec le routeur sont gérées sous l'étiquette par défaut PUBLIC.
Dans la Console de gestion Solaris, l'administrateur crée un modèle auquel il assigne l'hôte de passerelle.
Il ajoute tout d'abord le routeur et son adresse IP à l'outil Computers and Networks (Ordinateurs et réseaux).
router-1 192.168.131.82
Il crée ensuite le modèle dans l'outil Security Templates (Modèles de sécurité). Le modèle contient les valeurs suivantes :
Template Name: UNL_PUBLIC Host Type: UNLABELED DOI: 1 Default Label: PUBLIC Minimum Label: ADMIN_LOW Maximum Label: ADMIN_HIGH
L'outil fournit la valeur hexadécimale des étiquettes.
Enfin, il assigne le routeur routeur-1 au modèle par le biais de son nom et de son adresse IP.
router-1 192.168.131.82
Exemple 13-4 Création d'un modèle de sécurité prenant en charge une plage d'étiquettes limitée
Dans cet exemple, l'administrateur de sécurité souhaite créer une passerelle limitant les paquets à une plage d'étiquettes restreinte. Dans la Console de gestion Solaris, l'administrateur crée un modèle auquel il assigne l'hôte de passerelle.
Il ajoute tout d'abord l'hôte et son adresse IP à l'outil Computers and Networks (Ordinateurs et réseaux).
gateway-ir 192.168.131.78
Il crée ensuite le modèle dans l'outil Security Templates. Le modèle contient les valeurs suivantes :
Template Name: CIPSO_IUO_RSTRCT Host Type: CIPSO DOI: 1 Minimum Label: CONFIDENTIAL : INTERNAL USE ONLY Maximum Label: CONFIDENTIAL : RESTRICTED
L'outil fournit la valeur hexadécimale des étiquettes.
Enfin, il assigne la passerelle gateway-ir au modèle par le biais de son nom et de son adresse IP.
gateway-ir 192.168.131.78
Exemple 13-5 Création d'un modèle de sécurité prenant en charge un ensemble d'étiquettes de sécurité
Dans cet exemple, l'administrateur de sécurité souhaite créer un modèle de sécurité capable de reconnaître deux étiquettes seulement. Dans la Console de gestion Solaris, l'administrateur crée un modèle auquel il assigne l'hôte de passerelle.
Il ajoute tout d'abord tous les hôtes et toutes les adresses IP qui utiliseront ce modèle à l'outil Computers and Networks (Ordinateurs et réseaux).
host-slset1 192.168.132.21 host-slset2 192.168.132.22 host-slset3 192.168.132.23 host-slset4 192.168.132.24
Il crée ensuite le modèle dans l'outil Security Templates. Le modèle contient les valeurs suivantes :
Template Name: CIPSO_PUB_RSTRCT Host Type: CIPSO DOI: 1 Minimum Label: PUBLIC Maximum Label: CONFIDENTIAL : RESTRICTED SL Set: PUBLIC, CONFIDENTIAL : RESTRICTED
L'outil fournit la valeur hexadécimale des étiquettes.
Il assigne ensuite la plage d'adresses IP au modèle à l'aide du bouton générique et d'un préfixe.
192.168.132.0/17
Exemple 13-6 Création d'un modèle non étiqueté sous l'étiquette PUBLIC
Dans cet exemple, l'administrateur de sécurité permet à un sous-réseau de systèmes Oracle Solaris d'adopter l'étiquette PUBLIC dans le réseau de confiance. Le modèle contient les valeurs suivantes :
Template Name: public Host Type: Unlabeled Default Label: Public Minimum Label: Public Maximum Label: Public DOI: 1 Wildcard Entry: 10.10.0.0 Prefix: 16
Tous les systèmes du sous-réseau 10.10.0.0 sont traités sous l'étiquette PUBLIC.
Exemple 13-7 Création d'un modèle étiqueté pour les développeurs
Dans cet exemple, l'administrateur de sécurité crée un modèle SANDBOX. Ce modèle est assigné aux systèmes utilisés par les développeurs de logiciels de confiance. Les deux systèmes auxquels ce modèle est assigné créent et testent des programmes étiquetés. Cependant, leurs tests n'affectent pas les autres systèmes étiquetés, car l'étiquette SANDBOX est disjointe des autres étiquettes du réseau.
Template Name: cipso_sandbox Host Type: CIPSO Minimum Label: SANDBOX Maximum Label: SANDBOX DOI: 1 Hostname: DevMachine1 IP Address: 196.168.129.129 Hostname: DevMachine2 IP Address: 196.168.129.102
Les développeurs qui utilisent ces systèmes peuvent communiquer les uns avec les autres à l'aide de l'étiquette SANDBOX.
L'outil Computers (Ordinateurs) de la Console de gestion Solaris est identique à l'outil Computers d'SE Oracle Solaris. La procédure est décrite ici pour votre commodité. Une fois que vous connaissez les hôtes, vous les assignez à un modèle de sécurité.
Avant de commencer
Vous devez assumer un rôle d'administrateur autorisé à gérer les réseaux. Par exemple, les rôles incluant les profils de droits Network Management (Gestion du réseau) ou System Administrator (Administrateur système) peuvent gérer des réseaux.
Pour plus d'informations, reportez-vous à la section Procédure d'ouverture des outils de gestion de réseaux de confiance.
Vous devez ajouter tous les hôtes que ce système est susceptible de contacter, y compris les routeurs statiques et les serveurs d'audit.
Utilisez l'aide en ligne pour ajouter des groupes d'hôtes à l'aide d'une adresse IP de réseau.
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.
Tous les hôtes que vous souhaitez assigner à un modèle doivent exister dans l'outil Computers and Networks (Ordinateurs et réseaux). Pour plus d'informations, reportez-vous à la section Procédure d'ajout d'hôtes au réseau connu du système .
Pour plus d'informations, reportez-vous à la section Procédure d'ouverture des outils de gestion de réseaux de confiance.
Exemple 13-8 Ajout d'un réseau IPv4 en tant qu'entrée générique
Dans l'exemple suivant, un administrateur de sécurité assigne plusieurs sous-réseaux IPv4 à un même modèle de sécurité. Dans l'onglet Hosts Assigned to Template (Hôtes assignés au modèle), l'administrateur ajoute les entrées génériques suivantes :
IP Address: 192.168.113.0 IP address: 192.168.75.0
Exemple 13-9 Ajout d'une liste d'hôtes IPv4 en tant qu'entrée générique
Dans l'exemple ci-dessous, un administrateur de sécurité assigne au même modèle de sécurité à des adresses IPv4 contiguës non alignées sur des limites d'octets. Dans l'onglet Hosts Assigned to Template (Hôtes assignés au modèle), l'administrateur ajoute les entrées génériques suivantes :
IP Address: 192.168.113.100 Prefix Length: 25
Cette entrée générique couvre la plage d'adresses comprise entre 192.168.113.0 et 192.168.113.127. L'adresse inclut 192.168.113.100.
Exemple 13-10 Ajout d'une liste d'hôtes IPv6 en tant qu'entrée générique
Dans l'exemple suivant, un administrateur de sécurité assigne des adresses IPv6 contiguës au même modèle de sécurité. Dans l'onglet Hosts Assigned to Template (Hôtes assignés au modèle), l'administrateur ajoute les entrées génériques suivantes :
IP Address: 2001:a08:3903:200::0 Prefix Length: 56
Cette entrée générique couvre la plage d'adresses comprise entre 2001:a08:3903:200::0 et 2001:a08:3903:2ff:ffff:ffff:ffff:ffff. L'adresse inclut 2001:a08:3903:201:20e:cff:fe08:58c.
Cette procédure empêche que les hôtes étiquetés ne soient contactés par des hôtes non étiquetés arbitraires. Lorsque Trusted Extensions est installé, ce modèle par défaut définit chaque hôte sur le réseau. Utilisez cette procédure pour énumérer des hôtes non étiquetés spécifiques.
Le fichier local tnrhdb présent sur chaque système est utilisé pour établir le contact avec le réseau lors de l'initialisation. Par défaut, tous les hôtes qui ne sont pas pourvus d'un modèle CIPSO sont définis par le modèle admin_low. Ce modèle définit tous les systèmes non définis par ailleurs (0.0.0.0) comme étant des systèmes sans étiquette et leur assigne l'étiquette par défaut admin_low.
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.
Tous les hôtes qui doivent être contactés lors de l'initialisation doivent exister dans l'outil Computers and Networks (Ordinateurs et réseaux).
L'étendue fichiers protège le système lors de l'initialisation. Pour accéder à l'outil Security Templates, reportez-vous à la section Procédure d'ouverture des outils de gestion de réseaux de confiance.
Tous les hôtes ajoutés peuvent être contactés pendant l'initialisation sous l'étiquette ADMIN_LOW.
Tous les hôtes ajoutés peuvent être contactés pendant l'initialisation sous l'étiquette ADMIN_LOW.
Pour plus d'informations, reportez-vous à la section Procédure d'assignation d'un modèle de sécurité à un hôte ou à un groupe d'hôtes.
Incluez tous les routeurs infra-réseau n'exécutant pas Trusted Extensions via lesquels cet hôte doit communiquer
Tous les hôtes ajoutés peuvent être contactés durant l'initialisation.
Tous les hôtes ajoutés peuvent être contactés pendant l'initialisation sous l'étiquette ADMIN_LOW.
Pour plus d'informations, reportez-vous à la section Procédure d'assignation d'un modèle de sécurité à un hôte ou à un groupe d'hôtes.
Incluez le serveur LDAP.
Incluez tous les routeurs infra-réseau exécutant Trusted Extensions via lesquels cet hôte doit communiquer
Assurez-vous que toutes les interfaces réseau sont assignées au modèle.
Incluez les adresses de diffusion.
Exemple 13-11 Modification de l'étiquette de l'entrée tnrhdb 0.0.0.0
Dans cet exemple, l'administrateur de sécurité crée un système de passerelles publiques. L'administrateur supprime l'entrée 0.0.0.0 du modèle admin_low et assigne l'entrée à un modèle sans étiquette nommé public. Le système reconnaît ensuite tout système non répertorié dans son fichier tnrhdb comme un système non étiqueté possédant les attributs de sécurité du modèle de sécurité public.
Le tableau suivant décrit un modèle sans étiquette conçu spécifiquement pour les passerelles publiques.
Template Name: public Host Type: Unlabeled Default Label: Public Minimum Label: Public Maximum Label: Public DOI: 1
Exemple 13-12 Énumération des ordinateurs à contacter durant l'initialisation dans la base de données tnrhdb
L'exemple suivant présente la base de données tnrhdb locale comportant des entrées pour un client LDAP avec deux interfaces réseau. Le client communique avec un autre réseau et des routeurs.
127.0.0.1:cipso Loopback address 192.168.112.111:cipso Interface 1 of this host 192.168.113.111:cipso Interface 2 of this host 10.6.6.2:cipso LDAP server 192.168.113.6:cipso Audit server 192.168.112.255:cipso Subnet broadcast address 192.168.113.255:cipso Subnet broadcast address 192.168.113.1:cipso Router 192.168.117.0:cipso Another Trusted Extensions network 192.168.112.12:public Specific network router 192.168.113.12:public Specific network router 224.0.0.2:public Multicast address 255.255.255.255:admin_low Broadcast address
Exemple 13-13 Transformation de l'adresse hôte 0.0.0.0 en une entrée tnrhdb valide
Dans cet exemple, l'administrateur de sécurité configure un serveur Sun Ray de manière à ce qu'il accepte les requêtes de connexion initiales de clients potentiels. Le serveur utilise une topologie privée et les valeurs par défaut :
# utadm -a bge0
L'administrateur détermine tout d'abord le nom de domaine de la Console de gestion Solaris :
SMCserver # /usr/sadm/bin/dtsetup scopes Getting list of managable scopes... Scope 1 file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM
L'administrateur ajoute ensuite l'entrée pour la connexion initiale du client à la base de données tnrhdb du serveur Sun Ray. Étant donné que l'administrateur est en train d'effectuer un test, l'adresse générique par défaut est toujours utilisée pour toutes les adresses inconnues :
SunRayServer # /usr/sadm/bin/smtnrhdb \ add -D file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM \ -- -w 0.0.0.0 -p 32 -n admin_low Authenticating as user: root Please enter a string value for: password :: ... from machine1.ExampleCo.COM was successful.
Après cette commande, la base de données tnhrdb se présente de la manière suivante. Le résultat de la commande smtnrhdb est mis en évidence :
## tnrhdb database ## Sun Ray server address 192.168.128.1:cipso ## Sun Ray client addresses on 192.168.128 network 192.168.128.0/24:admin_low ## Initial address for new clients 0.0.0.0/32:admin_low ## Default wildcard address 0.0.0.0:admin_low Other addresses to be contacted at boot
# tnchkdb -h /etc/security/tsol/tnrhdb
Après la réussite de cette phase de test, l'administrateur renforce la sécurité de la configuration en supprimant l'adresse générique par défaut, il vérifie la syntaxe de la base de données tnrhdb puis il recommence le test. La base de données tnhrdb finale se présente de la manière suivante :
## tnrhdb database ## Sun Ray server address 192.168.128.1:cipso ## Sun Ray client addresses on 192.168.128 network 192.168.128.0/24:admin_low ## Initial address for new clients 0.0.0.0/32:admin_low ## 0.0.0.0:admin_low - no other systems can enter network at admin_low Other addresses to be contacted at boot