Personnalisation de l'environnement de l'utilisateur pour en assurer la sécurité (liste des tâches)

La liste des tâches ci-dessous décrit les tâches courantes que vous pouvez effectuer lorsque vous personnalisez un système pour tous les utilisateurs ou lorsque vous personnalisez un compte utilisateur.

Procédure de modification des attributs d'étiquette par défaut des utilisateurs

Vous pouvez modifier les attributs d'étiquette par défaut des utilisateurs lors de la configuration du premier système. Les modifications doivent être copiées sur chaque hôte de Trusted Extensions.

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .

1. Vérifiez les paramètres des attributs par défaut des utilisateurs dans le fichier /etc/security/tsol/label_encodings.

   Pour les valeurs par défaut, reportez-vous à Valeurs par défaut du fichier label_encodings.

2. Modifiez les paramètres des attributs des utilisateurs dans le fichier label_encodings.

   Utilisez l'éditeur de confiance. Pour plus d'informations, reportez-vous à la sectionModification des fichiers d'administration dans Trusted Extensions. Dans Trusted CDE, vous pouvez également utiliser l'action Edit Label Encodings (Modifier le codage des étiquettes). Pour plus d'informations, reportez-vous à la section Démarrage d'actions d'administration CDE dans Trusted Extensions .

   Le fichier label_encodings doit être identique sur tous les hôtes.

3. Transmettez une copie du fichier à chaque hôte Trusted Extensions.

Procédure de modification des valeurs par défaut de policy.conf

La modification des valeurs par défaut du fichier policy.conf dans Trusted Extensions est similaire à la modification de tout fichier système lié à la sécurité dans le SE Oracle Solaris. Dans Trusted Extensions, vous utilisez un éditeur de confiance pour modifier les fichiers système.

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .

1. Contrôlez les paramètres par défaut dans le fichier /etc/security/policy.conf.

   Pour les mots-clés de Trusted Extensions, reportez-vous au Tableau 6-1.

2. Modifiez les paramètres.

   Servez-vous de l'éditeur de confiance pour modifier le fichier système. Pour plus d'informations, reportez-vous à la section Modification des fichiers d'administration dans Trusted Extensions.

Exemple 7-1 Modification des paramètres d'inactivité du système

Dans cet exemple, l'administrateur de sécurité souhaite que les systèmes inactifs reviennent à l'écran de connexion. Par défaut, un système inactif est verrouillé. Le rôle de l'administrateur de sécurité ajoute donc le couple mot-clé IDLECMD=valeur au fichier /etc/security/policy.conf comme suit :

IDLECMD=LOGOUT

L'administrateur veut également réduire la durée d'inactivité des systèmes avant la déconnexion. Le rôle d'administrateur de sécurité ajoute donc le couple mot-clé IDLETIME=valeur au fichier policy.conf comme suit :

IDLETIME=10

Le système déconnecte désormais l'utilisateur après 10 minutes d'inactivité du système.

Exemple 7-2 Modification du jeu de privilèges de base de chaque utilisateur

Dans cet exemple, l'administrateur de sécurité d'une installation Sun Ray ne souhaite pas que les utilisateurs standard puissent voir les processus d'autres utilisateurs Sun Ray. Par conséquent, sur chaque système configuré avec Trusted Extensions, l'administrateur supprime proc_info du jeu de privilèges de base. Le paramètre PRIV_DEFAULT dans le fichier /etc/policy.conf est modifié comme suit :

PRIV_DEFAULT=basic,!proc_info

Exemple 7-3 Affectation d'autorisations liées à l'impression à tous les utilisateurs d'un système

Dans cet exemple, l'administrateur de sécurité permet à un kiosque public d'imprimer sans étiquettes en saisissant la ligne suivante dans le fichier /etc/security/policy.conf de l'ordinateur. Au prochain démarrage, les travaux d'impression de tous les utilisateurs de ce kiosque seront imprimés sans étiquettes de pages.

AUTHS_GRANTED= solaris.print.unlabeled

Ensuite, l'administrateur décide d'économiser du papier en supprimant les pages de garde et de fin. Il s'assure tout d'abord que la case Always Print Banners (Toujours imprimer les bannières) n'est pas cochée dans le gestionnaire d'impression. Il modifie ensuite l'entrée policy.conf pour lire les informations suivantes et redémarre. Désormais, tous les travaux d'impression sont sans étiquette et n'ont ni page de garde, ni page de fin.

AUTHS_GRANTED= solaris.print.unlabeled,solaris.print.nobanner

Procédure de configuration des fichiers de démarrage pour les utilisateurs dans Trusted Extensions

Les utilisateurs peuvent placer un fichier .copy_files et un fichier .link_files dans leur répertoire personnel sous l'étiquette correspondant à leur étiquette de sensibilité minimale. Les utilisateurs peuvent également modifier les fichiers .copy_files et .link_files existants sous l'étiquette minimale des utilisateurs. Cette procédure permet au rôle d'administrateur d'automatiser la configuration pour un site.

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .

1. Créez deux fichiers de démarrage Trusted Extensions.

   Vous allez ajouter .copy_files et .link_files à votre liste de fichiers de démarrage.

   # cd /etc/skel
   # touch .copy_files .link_files

2. Personnalisez le fichier .copy_files.
   1. Démarrez l'éditeur de confiance.

      Pour plus d'informations, reportez-vous à la section Modification des fichiers d'administration dans Trusted Extensions.

   2. Saisissez le chemin d'accès complet du fichier .copy_files.

      /etc/skel/.copy_files

   3. Saisissez dans .copy_files, à raison d'un fichier par ligne, les fichiers à copier dans le répertoire personnel de l'utilisateur à toutes les étiquettes.

      Reportez-vous à la section Fichiers .copy_files et .link_files si vous avez besoin de suggestions. Pour des exemples de fichiers, reportez-vous à l'Exemple 7-4.

3. Personnalisez le fichier .link_files.
   1. Saisissez le chemin d'accès complet du fichier .link_files dans l'éditeur de confiance.

      /etc/skel/.link_files

   2. Saisissez dans .link_files, à raison d'un fichier par ligne, les fichiers à lier au répertoire personnel de l'utilisateur à toutes les étiquettes.
4. Personnalisez les autres fichiers de démarrage pour vos utilisateurs.

   • Pour une description des éléments à inclure dans les fichiers de démarrage, reportez-vous à la section Customizing a User’s Work Environment du System Administration Guide: Basic Administration.

   • Pour plus d'informations, reportez-vous à la section How to Customize User Initialization Files du System Administration Guide: Basic Administration.

   • Pour un exemple, reportez-vous à l'Exemple 7-4.

5. (Facultatif) Créez un sous-répertoire skeIP pour les utilisateurs dont le shell par défaut est un shell de profil.

   Le caractère P représente le shell de profil.

6. Copiez les fichiers de démarrage personnalisés dans le répertoire squelette approprié.
7. Utilisez le chemin d'accès skelX approprié lorsque vous créez l'utilisateur.

   Le caractère X représente la première lettre du nom du shell, tel que B pour Bourne, K pour Korn, C pour un shell C et P pour un shell de profil.

Exemple 7-4 Personnalisation des fichiers de démarrage pour les utilisateurs

Dans cet exemple, l'administrateur de sécurité configure des fichiers pour le répertoire personnel de chaque utilisateur. Les fichiers sont en place avant la connexion du premier utilisateur. Les fichiers sont sous l'étiquette minimale de l'utilisateur. Sur ce site, le shell par défaut des utilisateurs est le shell C.

L'administrateur de sécurité crée un fichier .copy_files et un fichier .link_files dans l'éditeur de confiance avec le contenu suivant :

## .copy_files for regular users
## Copy these files to my home directory in every zone
.mailrc
.mozilla
.soffice
:wq

## .link_files for regular users with C shells
## Link these files to my home directory in every zone
.cshrc
.login
.Xdefaults
.Xdefaults-hostname
:wq

## .link_files for regular users with Korn shells
# Link these files to my home directory in every zone
.ksh
.profile
.Xdefaults
.Xdefaults-hostname
:wq

Dans les fichiers d'initialisation du shell, l'administrateur s'assure que les travaux d'impression des utilisateurs sont envoyés vers une imprimante étiquetée.

## .cshrc file
setenv PRINTER conf-printer1
setenv LPDEST  conf-printer1

## .ksh file
export PRINTER conf-printer1
export LPDEST  conf-printer1

L'administrateur modifie le fichier .Xdefaults-home-directory-server pour forcer la commande dtterm à utiliser le fichier .profile en tant que source pour un nouveau terminal.

## Xdefaults-HDserver
Dtterm*LoginShell: true

Les fichiers personnalisés sont copiés dans le répertoire squelette approprié.

$ cp .copy_files .link_files .cshrc .login .profile \
.mailrc .Xdefaults .Xdefaults-home-directory-server \
/etc/skelC
$ cp .copy_files .link_files .ksh .profile \
.mailrc .Xdefaults .Xdefaults-home-directory-server \
/etc/skelK

Erreurs fréquentes

Si vous créez un fichier .copy_files à votre étiquette la plus basse, que vous vous connectez ensuite à une zone supérieure afin d'exécuter la commande updatehome et que l'exécution de cette commande échoue avec une erreur d'accès, vérifiez les points suivants :

• Vérifiez que vous pouvez visualiser le répertoire de niveau inférieur à partir de la zone supérieure.

  higher-level zone# ls /zone/lower-level-zone/home/username
  ACCESS ERROR: there are no files under that directory

• Si vous ne pouvez pas visualiser le répertoire, redémarrez le service de montage automatique dans la zone de niveau supérieur :

  higher-level zone# svcadm restart autofs

À moins que vous n'utilisiez des montages NFS pour les répertoires personnels, le montage automatique dans la zone supérieure doit être en loopback de /zone/lower-level-zone/export/home/username à /zone/lower-level-zone/home/username.

Procédure d'allongement du délai d'attente lors de la modification de l'étiquette d'informations

Dans Trusted Extensions, le gestionnaire de sélection sert d'intermédiaire pour le transfert d'informations entre des étiquettes. Le gestionnaire de sélection s'affiche pour les opérations de glisser-déposer et pour les opérations de couper-coller. Certaines applications nécessitent que vous définissiez un délai d'attente adéquat pour que le gestionnaire de sélection ait le temps d'intervenir. Une valeur de deux minutes est suffisante.

---

Attention - Ne modifiez pas la valeur de temps d'attente par défaut sur un système sans étiquette. Avec une valeur de délai d'attente plus longue, les opérations échouent.

---

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .

1. Pour l'application StarOffice, effectuez les opérations suivantes :
   1. Accédez au fichier office-install-directory/VCL.xcu.

      où office-install-directory est le répertoire d'installation de StarOffice, par exemple :

      office-top-dir/share/registry/data/org/staroffice

   2. Modifiez la valeur de la propriété SelectionTimeout sur 120.

      Utilisez l'éditeur de confiance. Pour plus d'informations, reportez-vous à la section Modification des fichiers d'administration dans Trusted Extensions.

      La valeur par défaut est de trois secondes. Une valeur de 120 définit le délai d'attente sur deux minutes.

2. Pour les utilisateurs d'applications qui s'appuient sur la bibliothèque GNOME ToolKit (GTK), modifiez la valeur de la propriété à deux minutes.

   ---

   Remarque - Vous pouvez aussi faire en sorte que chaque utilisateur change lui-même la valeur de la propriété.

   ---

   La plupart des applications Sun Java Desktop System utilisent la bibliothèque GTK. Les navigateurs Web tels que Mozilla, Firefox et Thunderbird utilisent la bibliothèque GTK.

   Par défaut, la valeur du délai d'attente est de 300, ou 5 secondes. Une valeur de 7 200 définit le délai d'attente sur deux minutes.

   1. Créez un fichier de démarrage GTK.

      Nommez le fichier .gtkrc-mine. Le fichier .gtkrc-mine se trouve dans le répertoire personnel de l'utilisateur sous l'étiquette minimale.

   2. Ajoutez la valeur de délai d'attente au fichier.

      ## $HOME/.gtkrc-mine file
      *gtk-selection-timeout: 7200

      Comme dans le SE Oracle Solaris, la commande gnome-settings-daemon lit ce fichier au démarrage.

3. (Facultatif) Ajoutez le fichier .gtkrc-mine à la liste du fichier .link_files de chaque utilisateur.

   Pour plus d'information, reportez-vous à la sectionProcédure de configuration des fichiers de démarrage pour les utilisateurs dans Trusted Extensions .

Procédure de connexion à une session de secours dans Trusted Extensions

Dans Trusted Extensions, la connexion de secours est protégée. Si un utilisateur standard a des fichiers d'initialisation du shell personnalisés et ne peut pas se connecter, vous pouvez utiliser la connexion de secours pour corriger les fichiers de l'utilisateur.

Avant de commencer

Vous devez connaître le mot de passe root.

1. Comme dans le SE Oracle Solaris, choisissez Options -> Failsafe Session (Session de secours) dans l'écran de connexion.
2. À l'invite, demandez à l'utilisateur de fournir le nom d'utilisateur et le mot de passe.
3. À l'invite pour le mot de passe root, fournissez le mot de passe pour root.

   Vous pouvez ensuite déboguer les fichiers d'initialisation de l'utilisateur.