Configuration des bases de données réseau de confiance (liste des tâches)

Le logiciel Trusted Extensions comprend les bases de données tnrhtp et tnrhdb. Ces bases de données fournissent des étiquettes aux hôtes distants qui contactent le système. La Console de gestion Solaris fournit l'interface graphique que vous utilisez pour administrer ces bases de données.

La liste ci-dessous décrit les tâches à exécuter pour créer des modèles de sécurité et les appliquer aux hôtes.

Tâche	Description	Voir
Évaluation de la nécessité d'utiliser des modèles de sécurité personnalisés sur votre site.	Évalue les modèles existants en fonction des exigences de sécurité de votre site.	Procédure d'évaluation de la nécessité d'utiliser des modèles de sécurité personnalisés sur votre site
Accès à l'outil Modèles de sécurité dans la Console de gestion Solaris.	Accède à l'outil de modification des bases de données du réseau de confiance.	Procédure d'ouverture des outils de gestion de réseaux de confiance
Modification de modèles de sécurité.	Modifie les définitions des attributs de sécurité de votre réseau de confiance en modifiant les bases de données du réseau de confiance.	Procédure de construction d'un modèle d'hôte distant
	Change la valeur du DOI en une valeur autre que `1`.	Exemple 13-1
	Crée un modèle de sécurité pour les hôtes étiquetés limitant la communication entre les autres hôtes à une seule étiquette.	Exemple 13-2
	Crée un modèle de sécurité pour les hôtes non étiquetés agissant en tant que passerelles à étiquette unique.	Exemple 13-3
	Crée un modèle de sécurité pour les hôtes dont la plage d'étiquettes est limitée.	Exemple 13-4
	Crée un modèle de sécurité pour un hôte spécifiant un ensemble d'étiquettes discrètes dans sa plage d'étiquettes.	Exemple 13-5
	Crée un modèle de sécurité pour des réseaux et systèmes non étiquetés.	Exemple 13-6
	Crée un modèle de sécurité pour deux systèmes de développeurs.	Exemple 13-7
Ajout d'hôtes au réseau connu.	Ajoute des systèmes et des réseaux au réseau de confiance.	Procédure d'ajout d'hôtes au réseau connu du système
Fourniture d'accès à des hôtes distants à l'aide d'entrées génériques.	Permet à des hôtes faisant partie d'un intervalle d'adresses IP de communiquer avec un système en assignant indirectement chaque hôte au même modèle de sécurité.	Exemple 13-8 Exemple 13-9 Exemple 13-10
Modification de l'entrée générique `admin_low` dans le fichier `tnrhdb`.	Renforce la sécurité en remplaçant l'entrée générique par des adresses spécifiques que l'hôte doit contacter au moment de l'initialisation.	Procédure de limitation des hôtes pouvant être contactés sur le réseau de confiance
	Renforce la sécurité en remplaçant l'entrée générique par un réseau d'hôtes étiquetés en tant que valeur par défaut.	Exemple 13-11
Création d'une entrée pour l'adresse d'hôte `0.0.0.0`.	Configure un serveur Sun Ray de manière à ce qu'il accepte le contact initial provenant d'un client distant.	Exemple 13-13
Assignation de modèles de sécurité.	Associe un modèle à une adresse IP ou à une liste d'adresses IP contiguës.	Procédure d'assignation d'un modèle de sécurité à un hôte ou à un groupe d'hôtes

Procédure d'évaluation de la nécessité d'utiliser des modèles de sécurité personnalisés sur votre site

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

Familiarisez-vous avec les modèles de Trusted Extensions.
Lisez le fichier tnrhtp sur un hôte local. Les commentaires qu'il contient sont utiles. Vous pouvez également afficher les valeurs des attributs de sécurité dans l'outil Security Templates (Modèles de sécurité) de la Console de gestion Solaris.
- Les modèles par défaut conviennent pour n'importe quel type d'installation. La plage d'étiquettes de chaque modèle s'étend de ADMIN_LOW à ADMIN_HIGH.
- Le modèle cipso définit un type d'hôte CIPSO dont la valeur du DOI est 1. La plage d'étiquettes du modèle s'étend de ADMIN_LOW à ADMIN_HIGH.
- Le modèle admin_low définit un hôte non étiqueté dont la valeur du DOI est 1. L'étiquette par défaut du modèle est ADMIN_LOW. La plage d'étiquettes du modèle s'étend de ADMIN_LOW à ADMIN_HIGH. Dans la configuration par défaut, l'adresse 0.0.0.0 est assignée à ce modèle. Par conséquent, tous les hôtes non CIPSO sont traités comme des hôtes fonctionnant sous l'étiquette de sécurité ADMIN_LOW.
Conservez les modèles par défaut.
Pour permettre une assistance en cas de besoin, vous ne devez pas supprimer ni modifier les modèles par défaut. Vous pouvez modifier l'hôte auquel ces modèles par défaut sont assignés. Pour consulter un exemple, reportez-vous à la section Procédure de limitation des hôtes pouvant être contactés sur le réseau de confiance.
Créez de nouveaux modèles si vous souhaitez effectuer l'une des opérations suivantes :
- Limiter la plage d'étiquettes d'un hôte ou d'un groupe d'hôtes.
- Créer un hôte à étiquette unique.
- Créer un hôte capable de reconnaître certaines étiquettes discrètes.
- Utiliser un DOI autre que 1.
- Utiliser une étiquette par défaut autre que ADMIN_LOW pour les hôtes non étiquetés.
Pour plus d'informations, reportez-vous à la section Procédure de construction d'un modèle d'hôte distant.

Procédure d'ouverture des outils de gestion de réseaux de confiance

Avant de commencer

Vous devez accéder à la zone globale à l'aide d'un rôle capable de modifier la sécurité du réseau. Par exemple, les rôles auxquels les profils de droits Information Security (Sécurité des informations) et Network Security (Sécurité du réseau) sont assignés sont autorisés à modifier les paramètres de sécurité. Le rôle d'administrateur de sécurité inclut ces profils.

Pour utiliser la boîte à outils LDAP, vous devez avoir effectué toutes les tâches décrites dans la section Configuration de la Console de gestion Solaris pour LDAP (liste des tâches) du Guide de configuration d’Oracle Solaris Trusted Extensions.

Démarrez la Console de gestion Solaris.
Pour plus d'informations, reportez-vous à la section Initialisation du serveur Console de gestion Solaris dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions.
Utilisez l'outil approprié.
- Pour modifier un modèle, utilisez l'outil Security Templates (Modèles de sécurité).
  
  Tous les modèles actuellement définis s'affichent dans le volet de droite. Lorsque vous sélectionnez ou créez un modèle, l'aide en ligne est disponible dans le volet de gauche.
- Pour assigner un hôte à un modèle, utilisez l'outil Security Templates.
- Pour créer un hôte pouvant être assigné à un modèle, utilisez l'outil Computers and Networks (Ordinateurs et réseaux).
- Pour assigner une étiquette à une zone, utilisez l'outil Trusted Network Zones (Zones de réseau de confiance). Pour plus d'informations sur les zones dans Trusted Extensions, reportez-vous à la section Chapitre 10Gestion des zones dans Trusted Extensions (tâches).

Procédure de construction d'un modèle d'hôte distant

Avant de commencer

Dans la Console de gestion Solaris, accédez à l'outil Security Templates (Modèles de sécurité).
Reportez-vous à la section Procédure d'ouverture des outils de gestion de réseaux de confiance pour connaître les étapes à effectuer.
Sous Computers and Networks (Ordinateurs et réseaux), double-cliquez sur Security Templates.
Les modèles existants apparaissent dans le volet d'affichage. Ces modèles décrivent les attributs de sécurité des hôtes que ce système peut contacter. Il s'agit notamment d'hôtes CIPSO qui exécutent Trusted Extensions et d'hôtes non étiquetés.
Examinez le modèle cipso.
Voyez à quels hôtes et réseaux ce modèle est déjà assigné.
Examinez le modèle admin_low.
Voyez à quels hôtes et réseaux ce modèle est déjà assigné.
Créez un modèle.
Si les modèles fournis ne décrivent pas suffisamment les hôtes autorisés à communiquer avec ce système, choisissez Add Template (Ajouter un modèle) dans le menu Action.
Utilisez l'aide en ligne si vous avez besoin d'aide. Avant d'affecter des hôtes aux modèles, créez tous les modèles requis par votre site.
(Facultatif) Modifiez un modèle existant qui n'est pas un modèle par défaut.
Double-cliquez sur le modèle et utilisez l'aide en ligne pour obtenir de l'assistance. Vous pouvez modifier les hôtes ou les réseaux assignés.

Exemple 13-1 Création d'un modèle de sécurité avec une valeur de DOI différente

Dans cet exemple, le réseau de l'administrateur de sécurité possède un DOI dont la valeur est différente de 1. L'équipe ayant initialement configuré le système a effectué les tâches décrites dans la section Configuration du domaine d’interprétation du Guide de configuration d’Oracle Solaris Trusted Extensions.

L'administrateur de sécurité confirme dans un premier temps la valeur du DOI dans le fichier /etc/system :

# grep doi /etc/system
set default_doi = 4

Ensuite, dans l'outil Security Templates (Modèles de sécurité), la valeur du doi de chaque modèle créé par l'administrateur est définie sur 4. Pour le système à étiquette unique décrit dans l'Exemple 13-2, l'administrateur de sécurité crée le modèle suivant :

template: CIPSO_PUBLIC
host_type: CIPSO
doi: 4
min_sl: PUBLIC
max_sl: PUBLIC

Exemple 13-2 Création d'un modèle de sécurité à étiquette unique

Dans cet exemple, l'administrateur de sécurité souhaite créer une passerelle qui permette uniquement la transmission de paquets d'une seule étiquette, l'étiquette PUBLIC. À l'aide de l'outil Security Templates de la Console de gestion Solaris, l'administrateur crée un modèle et assigne l'hôte de passerelle au modèle.

Il ajoute tout d'abord l'hôte de passerelle et l'adresse IP à l'outil Computers and Networks (Ordinateurs et réseaux).

gateway-1
192.168.131.75

Puis il crée le modèle dans l'outil Security Templates.Ci-dessous, les valeurs du modèle :

template: CIPSO_PUBLIC
host_type: CIPSO
doi: 1
min_sl: PUBLIC
max_sl: PUBLIC

L'outil fournit la valeur hexadécimale pour PUBLIC, 0X0002-08-08.

L'hôte gateway-1 (passerelle 1) est ensuite assigné au modèle par le biais de son nom et de son adresse IP.

gateway-1
192.168.131.75

Sur un hôte local, l'entrée tnrhtp se présente de la manière suivante :

cipso_public:host_type=cipso;doi=1;min_sl=0X0002-08-08;max_sl=0X0002-08-08;

Sur un hôte local, l'entrée tnrhdb se présente de la manière suivante :

# gateway-1
192.168.131.75:cipso_public

Exemple 13-3 Création d'un modèle de sécurité pour un routeur non étiqueté

Tous les routeurs IP sont capables de transférer des messages pourvus d'étiquettes CIPSO, et ce même si les étiquettes ne sont pas explicitement prises en charge par le routeur. Ces routeurs non étiquetés nécessitent une étiquette par défaut définissant le niveau de traitement des connexions au routeur (pour la gestion du routeur par exemple). Dans cet exemple, l'administrateur de sécurité crée un routeur capable de transférer le trafic de n'importe quelle étiquette, mais toutes les communications directes avec le routeur sont gérées sous l'étiquette par défaut PUBLIC.

Dans la Console de gestion Solaris, l'administrateur crée un modèle auquel il assigne l'hôte de passerelle.

Il ajoute tout d'abord le routeur et son adresse IP à l'outil Computers and Networks (Ordinateurs et réseaux).

router-1
192.168.131.82

Il crée ensuite le modèle dans l'outil Security Templates (Modèles de sécurité). Le modèle contient les valeurs suivantes :

Template Name: UNL_PUBLIC
Host Type: UNLABELED
DOI: 1
Default Label: PUBLIC
Minimum Label: ADMIN_LOW
Maximum Label: ADMIN_HIGH

L'outil fournit la valeur hexadécimale des étiquettes.

Enfin, il assigne le routeur routeur-1 au modèle par le biais de son nom et de son adresse IP.

router-1
192.168.131.82

Exemple 13-4 Création d'un modèle de sécurité prenant en charge une plage d'étiquettes limitée

Dans cet exemple, l'administrateur de sécurité souhaite créer une passerelle limitant les paquets à une plage d'étiquettes restreinte. Dans la Console de gestion Solaris, l'administrateur crée un modèle auquel il assigne l'hôte de passerelle.

Il ajoute tout d'abord l'hôte et son adresse IP à l'outil Computers and Networks (Ordinateurs et réseaux).

gateway-ir
192.168.131.78

Il crée ensuite le modèle dans l'outil Security Templates. Le modèle contient les valeurs suivantes :

Template Name: CIPSO_IUO_RSTRCT
Host Type: CIPSO
DOI: 1
Minimum Label: CONFIDENTIAL : INTERNAL USE ONLY
Maximum Label: CONFIDENTIAL : RESTRICTED

L'outil fournit la valeur hexadécimale des étiquettes.

Enfin, il assigne la passerelle gateway-ir au modèle par le biais de son nom et de son adresse IP.

gateway-ir
192.168.131.78

Exemple 13-5 Création d'un modèle de sécurité prenant en charge un ensemble d'étiquettes de sécurité

Dans cet exemple, l'administrateur de sécurité souhaite créer un modèle de sécurité capable de reconnaître deux étiquettes seulement. Dans la Console de gestion Solaris, l'administrateur crée un modèle auquel il assigne l'hôte de passerelle.

Il ajoute tout d'abord tous les hôtes et toutes les adresses IP qui utiliseront ce modèle à l'outil Computers and Networks (Ordinateurs et réseaux).

host-slset1
192.168.132.21

host-slset2
192.168.132.22

host-slset3
192.168.132.23

host-slset4
192.168.132.24

Il crée ensuite le modèle dans l'outil Security Templates. Le modèle contient les valeurs suivantes :

Template Name: CIPSO_PUB_RSTRCT
Host Type: CIPSO
DOI: 1
Minimum Label: PUBLIC
Maximum Label: CONFIDENTIAL : RESTRICTED
SL Set: PUBLIC, CONFIDENTIAL : RESTRICTED

L'outil fournit la valeur hexadécimale des étiquettes.

Il assigne ensuite la plage d'adresses IP au modèle à l'aide du bouton générique et d'un préfixe.

192.168.132.0/17

Exemple 13-6 Création d'un modèle non étiqueté sous l'étiquette PUBLIC

Dans cet exemple, l'administrateur de sécurité permet à un sous-réseau de systèmes Oracle Solaris d'adopter l'étiquette PUBLIC dans le réseau de confiance. Le modèle contient les valeurs suivantes :

Template Name: public
Host Type: Unlabeled
Default Label: Public
Minimum Label: Public
Maximum Label: Public
DOI: 1

Wildcard Entry: 10.10.0.0
Prefix: 16

Tous les systèmes du sous-réseau 10.10.0.0 sont traités sous l'étiquette PUBLIC.

Exemple 13-7 Création d'un modèle étiqueté pour les développeurs

Dans cet exemple, l'administrateur de sécurité crée un modèle SANDBOX. Ce modèle est assigné aux systèmes utilisés par les développeurs de logiciels de confiance. Les deux systèmes auxquels ce modèle est assigné créent et testent des programmes étiquetés. Cependant, leurs tests n'affectent pas les autres systèmes étiquetés, car l'étiquette SANDBOX est disjointe des autres étiquettes du réseau.

Template Name: cipso_sandbox
Host Type: CIPSO
Minimum Label: SANDBOX
Maximum Label: SANDBOX
DOI: 1

Hostname: DevMachine1
IP Address: 196.168.129.129

Hostname: DevMachine2
IP Address: 196.168.129.102

Les développeurs qui utilisent ces systèmes peuvent communiquer les uns avec les autres à l'aide de l'étiquette SANDBOX.

Procédure d'ajout d'hôtes au réseau connu du système

L'outil Computers (Ordinateurs) de la Console de gestion Solaris est identique à l'outil Computers d'SE Oracle Solaris. La procédure est décrite ici pour votre commodité. Une fois que vous connaissez les hôtes, vous les assignez à un modèle de sécurité.

Avant de commencer

Vous devez assumer un rôle d'administrateur autorisé à gérer les réseaux. Par exemple, les rôles incluant les profils de droits Network Management (Gestion du réseau) ou System Administrator (Administrateur système) peuvent gérer des réseaux.

Dans la Console de gestion Solaris, accédez à l'outil Computers.
Pour plus d'informations, reportez-vous à la section Procédure d'ouverture des outils de gestion de réseaux de confiance.
Dans l'outil Computers, confirmez que vous souhaitez afficher tous les ordinateurs du réseau.
Ajoutez un hôte que ce système peut contacter.
Vous devez ajouter tous les hôtes que ce système est susceptible de contacter, y compris les routeurs statiques et les serveurs d'audit.
1. Dans le menu Action, sélectionnez Add Computer (Ajouter un ordinateur).
2. Identifiez l'hôte par son nom et son adresse IP.
3. (Facultatif) Fournissez des informations supplémentaires sur l'hôte.
4. Pour ajouter l'hôte, cliquez sur Appliquer.
5. Lorsque les entrées sont terminées, cliquez sur OK.
Ajoutez un groupe d'hôtes que ce système peut contacter.
Utilisez l'aide en ligne pour ajouter des groupes d'hôtes à l'aide d'une adresse IP de réseau.

Procédure d'assignation d'un modèle de sécurité à un hôte ou à un groupe d'hôtes

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

Tous les hôtes que vous souhaitez assigner à un modèle doivent exister dans l'outil Computers and Networks (Ordinateurs et réseaux). Pour plus d'informations, reportez-vous à la section Procédure d'ajout d'hôtes au réseau connu du système .

Dans la Console de gestion Solaris, accédez à l'outil Security Templates (Modèles de sécurité).
Pour plus d'informations, reportez-vous à la section Procédure d'ouverture des outils de gestion de réseaux de confiance.
Double-cliquez sur le nom du modèle approprié.
Cliquez sur l'onglet Hosts Assigned to Template (Hôtes assignés au modèle).
Pour assigner le modèle à un hôte unique, effectuez l'une des opérations suivantes :
1. Dans le champ Nom d'hôte, saisissez le nom de l'hôte.
2. Dans le champ Adresse IP, saisissez l'adresse de hôte.
3. Cliquez sur le bouton Add (Ajouter).
4. Cliquez sur OK pour enregistrer vos modifications.
Pour assigner un modèle à un groupe d'hôtes possédant des adresses contiguës, procédez comme suit :
1. Cliquez sur Wildcard (Générique).
2. Dans le champ IP Address (Adresse IP), saisissez l'adresse IP.
3. Dans le champ Prefix (Préfixe), entrez le préfixe qui décrit le groupe d'adresses contiguës.
4. Cliquez sur le bouton Add (Ajouter).
5. Cliquez sur OK pour enregistrer vos modifications.

Exemple 13-8 Ajout d'un réseau IPv4 en tant qu'entrée générique

Dans l'exemple suivant, un administrateur de sécurité assigne plusieurs sous-réseaux IPv4 à un même modèle de sécurité. Dans l'onglet Hosts Assigned to Template (Hôtes assignés au modèle), l'administrateur ajoute les entrées génériques suivantes :

IP Address: 192.168.113.0
IP address: 192.168.75.0

Exemple 13-9 Ajout d'une liste d'hôtes IPv4 en tant qu'entrée générique

Dans l'exemple ci-dessous, un administrateur de sécurité assigne au même modèle de sécurité à des adresses IPv4 contiguës non alignées sur des limites d'octets. Dans l'onglet Hosts Assigned to Template (Hôtes assignés au modèle), l'administrateur ajoute les entrées génériques suivantes :

IP Address: 192.168.113.100
Prefix Length: 25

Cette entrée générique couvre la plage d'adresses comprise entre 192.168.113.0 et 192.168.113.127. L'adresse inclut 192.168.113.100.

Exemple 13-10 Ajout d'une liste d'hôtes IPv6 en tant qu'entrée générique

Dans l'exemple suivant, un administrateur de sécurité assigne des adresses IPv6 contiguës au même modèle de sécurité. Dans l'onglet Hosts Assigned to Template (Hôtes assignés au modèle), l'administrateur ajoute les entrées génériques suivantes :

IP Address: 2001:a08:3903:200::0
Prefix Length: 56

Cette entrée générique couvre la plage d'adresses comprise entre 2001:a08:3903:200::0 et 2001:a08:3903:2ff:ffff:ffff:ffff:ffff. L'adresse inclut 2001:a08:3903:201:20e:cff:fe08:58c.

Procédure de limitation des hôtes pouvant être contactés sur le réseau de confiance

Cette procédure empêche que les hôtes étiquetés ne soient contactés par des hôtes non étiquetés arbitraires. Lorsque Trusted Extensions est installé, ce modèle par défaut définit chaque hôte sur le réseau. Utilisez cette procédure pour énumérer des hôtes non étiquetés spécifiques.

Le fichier local tnrhdb présent sur chaque système est utilisé pour établir le contact avec le réseau lors de l'initialisation. Par défaut, tous les hôtes qui ne sont pas pourvus d'un modèle CIPSO sont définis par le modèle admin_low. Ce modèle définit tous les systèmes non définis par ailleurs (0.0.0.0) comme étant des systèmes sans étiquette et leur assigne l'étiquette par défaut admin_low.

Attention - Le modèle admin_low par défaut peut présenter un risque de sécurité sur le réseau Trusted Extensions. Si la sécurité du site nécessite une protection renforcée, l'administrateur de sécurité peut supprimer l'entrée générique 0.0.0.0 une fois le système installé. L'entrée doit être remplacée par une série d'entrées correspondant à chacun des hôtes que le système contacte lors de l'initialisation.

Doivent par exemple figurer dans le fichier local tnrhdb après la suppression de l'entrée générique 0.0.0.0 les serveurs DNS, les serveurs d'annuaire personnel, les serveurs d'audit, les adresses de diffusion et de multidiffusion et les routeurs.

Si une application reconnaît initialement les clients sur l'adresse d'hôte 0.0.0.0, vous devez ajouter l'entrée d'hôte 0.0.0.0/32:admin_low dans la base de données tnrhdb. Par exemple, pour recevoir les demandes de connexion initiale de clients Sun Ray potentiels, les serveurs Sun Ray doivent inclure cette entrée. Une fois que le serveur a reconnu les clients, une adresse IP est attribuée aux clients et ces derniers sont connectés en tant que clients CIPSO.

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

Tous les hôtes qui doivent être contactés lors de l'initialisation doivent exister dans l'outil Computers and Networks (Ordinateurs et réseaux).

Dans la Console de gestion Solaris, accédez à l'outil Security Templates (Modèles de sécurité) dans l'étendue Fichiers.
L'étendue fichiers protège le système lors de l'initialisation. Pour accéder à l'outil Security Templates, reportez-vous à la section Procédure d'ouverture des outils de gestion de réseaux de confiance.
Modifiez les hôtes assignés au modèle admin_low.
1. Double-cliquez sur le modèle admin_low.
  Tous les hôtes ajoutés peuvent être contactés pendant l'initialisation sous l'étiquette ADMIN_LOW.
2. Cliquez sur l'onglet Hosts Assigned to Template (Hôtes assignés au modèle).
  Tous les hôtes ajoutés peuvent être contactés pendant l'initialisation sous l'étiquette ADMIN_LOW.
3. Ajoutez tous les hôtes non étiquetés qui doivent être contactés lors de l'initialisation.
  Pour plus d'informations, reportez-vous à la section Procédure d'assignation d'un modèle de sécurité à un hôte ou à un groupe d'hôtes.
  Incluez tous les routeurs infra-réseau n'exécutant pas Trusted Extensions via lesquels cet hôte doit communiquer
4. Ajoutez les plages d'hôtes qui doivent être contactés lors de l'initialisation.
5. Supprimez l'entrée 0.0.0.0.
Modifiez les hôtes assignés au modèle cipso.
1. Double-cliquez sur le modèle cipso.
  Tous les hôtes ajoutés peuvent être contactés durant l'initialisation.
2. Cliquez sur l'onglet Hosts Assigned to Template (Hôtes assignés au modèle).
  Tous les hôtes ajoutés peuvent être contactés pendant l'initialisation sous l'étiquette ADMIN_LOW.
3. Ajoutez chaque hôte étiqueté qui doit être contacté lors de l'initialisation.
  Pour plus d'informations, reportez-vous à la section Procédure d'assignation d'un modèle de sécurité à un hôte ou à un groupe d'hôtes.
  - Incluez le serveur LDAP.
  - Incluez tous les routeurs infra-réseau exécutant Trusted Extensions via lesquels cet hôte doit communiquer
  - Assurez-vous que toutes les interfaces réseau sont assignées au modèle.
  - Incluez les adresses de diffusion.
4. Ajoutez les plages d'hôtes qui doivent être contactés lors de l'initialisation.
Assurez-vous que les assignations d'hôtes n'empêchent pas le système de s'initialiser.

Exemple 13-11 Modification de l'étiquette de l'entrée tnrhdb 0.0.0.0

Dans cet exemple, l'administrateur de sécurité crée un système de passerelles publiques. L'administrateur supprime l'entrée 0.0.0.0 du modèle admin_low et assigne l'entrée à un modèle sans étiquette nommé public. Le système reconnaît ensuite tout système non répertorié dans son fichier tnrhdb comme un système non étiqueté possédant les attributs de sécurité du modèle de sécurité public.

Le tableau suivant décrit un modèle sans étiquette conçu spécifiquement pour les passerelles publiques.

Template Name: public
Host Type: Unlabeled
Default Label: Public
Minimum Label: Public
Maximum Label: Public
DOI: 1

Exemple 13-12 Énumération des ordinateurs à contacter durant l'initialisation dans la base de données tnrhdb

L'exemple suivant présente la base de données tnrhdb locale comportant des entrées pour un client LDAP avec deux interfaces réseau. Le client communique avec un autre réseau et des routeurs.

127.0.0.1:cipso       Loopback address
192.168.112.111:cipso Interface 1 of this host
192.168.113.111:cipso Interface 2 of this host
10.6.6.2:cipso        LDAP server
192.168.113.6:cipso   Audit server
192.168.112.255:cipso Subnet broadcast address
192.168.113.255:cipso Subnet broadcast address
192.168.113.1:cipso   Router
192.168.117.0:cipso   Another Trusted Extensions network
192.168.112.12:public Specific network router
192.168.113.12:public Specific network router
224.0.0.2:public      Multicast address
255.255.255.255:admin_low Broadcast address

Exemple 13-13 Transformation de l'adresse hôte 0.0.0.0 en une entrée tnrhdb valide

Dans cet exemple, l'administrateur de sécurité configure un serveur Sun Ray de manière à ce qu'il accepte les requêtes de connexion initiales de clients potentiels. Le serveur utilise une topologie privée et les valeurs par défaut :

# utadm -a bge0

L'administrateur détermine tout d'abord le nom de domaine de la Console de gestion Solaris :

SMCserver # /usr/sadm/bin/dtsetup scopes
Getting list of managable scopes...
Scope 1 file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM

L'administrateur ajoute ensuite l'entrée pour la connexion initiale du client à la base de données tnrhdb du serveur Sun Ray. Étant donné que l'administrateur est en train d'effectuer un test, l'adresse générique par défaut est toujours utilisée pour toutes les adresses inconnues :

SunRayServer # /usr/sadm/bin/smtnrhdb \
add -D file:/machine1.ExampleCo.COM/machine1.ExampleCo.COM \
-- -w 0.0.0.0 -p 32 -n admin_low
Authenticating as user: root

Please enter a string value for: password :: 
... from machine1.ExampleCo.COM was successful.

Après cette commande, la base de données tnhrdb se présente de la manière suivante. Le résultat de la commande smtnrhdb est mis en évidence :

## tnrhdb database
## Sun Ray server address
       192.168.128.1:cipso
## Sun Ray client addresses on 192.168.128 network
       192.168.128.0/24:admin_low
## Initial address for new clients
       0.0.0.0/32:admin_low
## Default wildcard address
0.0.0.0:admin_low
Other addresses to be contacted at boot

# tnchkdb -h /etc/security/tsol/tnrhdb

Après la réussite de cette phase de test, l'administrateur renforce la sécurité de la configuration en supprimant l'adresse générique par défaut, il vérifie la syntaxe de la base de données tnrhdb puis il recommence le test. La base de données tnhrdb finale se présente de la manière suivante :

## tnrhdb database
## Sun Ray server address
       192.168.128.1:cipso
## Sun Ray client addresses on 192.168.128 network
       192.168.128.0/24:admin_low
## Initial address for new clients
       0.0.0.0/32:admin_low
## 0.0.0.0:admin_low - no other systems can enter network at admin_low
Other addresses to be contacted at boot

Ignorer les liens de navigation
Quitter l'aperu
	Procédures de l'administrateur Oracle Solaris Trusted Extensions