| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
1. Concepts d'administration de Trusted Extensions
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
Fonctions de sécurité des utilisateurs dans Trusted Extensions
Responsabilités des administrateurs concernant les utilisateurs
Responsabilités de l'administrateur système concernant les utilisateurs
Responsabilités de l'administrateur de sécurité concernant les utilisateurs
Décisions à prendre avant de créer des utilisateurs dans Trusted Extensions
Attributs de sécurité utilisateur par défaut dans Trusted Extensions
Valeurs par défaut du fichier label_encodings
Valeurs par défaut du fichier policy.conf dans Trusted Extensions
Attributs de l'utilisateur configurables dans Trusted Extensions
Attributs de sécurité devant être affectés aux utilisateurs
Affectation d'attributs de sécurité aux utilisateurs dans Trusted Extensions
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
8. Administration à distance dans Trusted Extensions (tâches)
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
12. Gestion de réseaux de confiance (présentation)
13. Gestion des réseaux dans Trusted Extensions (tâches)
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
16. Périphériques dans Trusted Extensions (présentation)
17. Gestion des périphériques pour Trusted Extensions (tâches)
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
Le rôle de l'administrateur de sécurité doit indiquer certains attributs de sécurité pour les nouveaux utilisateurs, comme indiqué dans le tableau suivant. Pour plus d'informations sur les fichiers qui contiennent des valeurs par défaut, reportez-vous à la section Attributs de sécurité utilisateur par défaut dans Trusted Extensions. Le tableau suivant présente les attributs de sécurité pouvant être affectés aux utilisateurs et les effets de chaque affectation.
Tableau 6-2 Attributs de sécurité affectés après la création d'un utilisateur
|
Une fois que les comptes utilisateur ont été créés, le rôle d'administrateur de sécurité affecte des attributs de sécurité aux utilisateurs dans la Console de gestion Solaris. Si vous avez défini des valeurs par défaut correctes, l'étape suivante consiste à affecter des attributs de sécurité aux utilisateurs qui ont besoin d'exceptions aux valeurs par défaut.
Lorsqu'il affecte des attributs de sécurité aux utilisateurs, l'administrateur de sécurité prend en compte les informations suivantes :
Le rôle d'administrateur de sécurité affecte des mots de passe aux comptes utilisateur une fois que les comptes ont été créés. Après cette première affectation, les utilisateurs peuvent modifier leurs mots de passe.
Comme dans le SE Oracle Solaris, les utilisateurs peuvent être obligés de modifier leurs mots de passe à intervalles réguliers. Les options de vieillissement du mot de passe limitent la durée pendant laquelle un intrus qui aurait deviné ou usurpé un mot de passe peut accéder au système. En outre, l'instauration d'un délai minimal avant que la modification d'un mot de passe ne soit autorisée permet d'empêcher qu'un utilisateur disposant d'un nouveau mot de passe ne rétablisse immédiatement son ancien mot de passe. Pour plus d'informations, reportez-vous à la page de manuel passwd(1).
Remarque - Les mots de passe des utilisateurs qui peuvent assumer des rôles ne doivent être soumis à aucune contrainte de vieillissement du mot de passe.
L'adoption d'un rôle n'est pas obligatoire pour les utilisateurs. Plusieurs rôles peuvent être affectés à un seul utilisateur si cela est cohérent avec la stratégie de sécurité de votre site.
Comme dans le SE Oracle Solaris, l'affectation d'autorisations directement à un utilisateur ajoute ces autorisations aux autorisations existantes. Dans Trusted Extensions, vous ajoutez les autorisations à un profil de droits, puis vous affectez le profil à l'utilisateur.
Comme dans le SE Oracle Solaris, l'ordre des profils est important. Le mécanisme des profils utilise la première instance de la commande ou de l'action dans l'ensemble de profils d'un compte.
Vous pouvez utiliser l'ordre de tri de profils à votre avantage. Si vous souhaitez qu'une commande s'exécute en utilisant d'autres attributs de sécurité que ceux qui sont définis pour elle dans un profil existant, créez un nouveau profil avec les affectations souhaitées pour la commande. Ensuite, insérez ce nouveau profil avant le profil existant.
Remarque - N'affectez pas de profils de droits incluant des actions ou des commandes d'administration à un utilisateur standard. En effet, le profil ne fonctionnera pas car un utilisateur standard ne peut pas accéder à la zone globale.
L'ensemble de privilèges par défaut peut être trop souple pour un grand nombre de sites. Pour limiter l'ensemble de privilèges de tous les utilisateurs standard sur un système, modifiez le paramètre du fichier policy.conf. Pour modifier l'ensemble de privilèges d'utilisateurs particuliers, utilisez la Console de gestion Solaris. Pour obtenir un exemple, reportez-vous à la section Procédure de limitation du jeu de privilèges d'un utilisateur.
La modification des valeurs d'étiquette par défaut d'un utilisateur crée une exception pour les valeurs par défaut de l'utilisateur dans le fichier label_encodings.
Comme dans le SE Oracle Solaris, l'assignation de classes d'audit à un utilisateur crée des exceptions pour les classes d'audit qui sont affectées dans le fichier /etc/security/audit_control sur le système. Pour plus d'informations sur l'audit, reportez-vous au Chapitre 18Audit de Trusted Extensions (présentation) .
Dans Trusted Extensions, les fichiers sont automatiquement copiés du répertoire squelette dans la zone qui contient l'étiquette minimale du compte, et uniquement à cet endroit. Pour permettre l'utilisation des fichiers de démarrage par les zones d'étiquette supérieure, l'utilisateur ou l'administrateur doit créer les fichiers .copy_files et .link_files.
Les fichiers .copy_files et .link_files de Trusted Extensions facilitent l'automatisation de la copie ou de la liaison de fichiers de démarrage dans chaque étiquette du répertoire personnel d'un compte. Chaque fois qu'un utilisateur crée un espace de travail sous une nouvelle étiquette, la commande updatehome lit le contenu des fichiers .copy_files et .link_files placés sous l'étiquette minimale du compte. La commande copie ou lie alors chaque fichier répertorié dans ou à l'espace de travail d'étiquette supérieure.
Le fichier .copy_files est utile lorsqu'un utilisateur souhaite utiliser un fichier de démarrage légèrement différent pour chaque étiquette. La copie est préférable, par exemple, lorsque les utilisateurs utilisent différents alias de messagerie pour les différentes étiquettes. Le fichier .link-files est utile lorsqu'un fichier de démarrage doit être identique pour toutes les étiquettes appelées. La liaison est préférable, par exemple, lorsqu'une même imprimante est utilisée pour tous les travaux d'impression étiquetés. Pour obtenir des exemples de fichiers, reportez-vous à la section Procédure de configuration des fichiers de démarrage pour les utilisateurs dans Trusted Extensions .
Vous trouverez ci-dessous une liste de fichiers de démarrage qu'il peut être souhaitable que les utilisateurs puissent lier à des étiquettes supérieures ou copier vers des étiquettes supérieures :
|
|