Ignorer les liens de navigation | |
Quitter l'aperu | |
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
1. Concepts d'administration de Trusted Extensions
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
Personnalisation de l'environnement de l'utilisateur pour en assurer la sécurité (liste des tâches)
Procédure de modification des attributs d'étiquette par défaut des utilisateurs
Procédure de modification des valeurs par défaut de policy.conf
Procédure de configuration des fichiers de démarrage pour les utilisateurs dans Trusted Extensions
Procédure d'allongement du délai d'attente lors de la modification de l'étiquette d'informations
Procédure de connexion à une session de secours dans Trusted Extensions
Gestion des utilisateurs et des droits à l'aide de la Console de gestion Solaris (liste des tâches)
Procédure de création d'un profil de droits pour des autorisations commodes
Procédure de limitation du jeu de privilèges d'un utilisateur
Procédure de désactivation du verrouillage du compte pour certains utilisateurs
Procédure d'octroi de l'autorisation de modifier le niveau de sécurité de données à un utilisateur
Procédure de suppression d'un compte utilisateur d'un système Trusted Extensions
Gestion d'autres tâches dans la Console de gestion Solaris (liste des tâches)
8. Administration à distance dans Trusted Extensions (tâches)
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
12. Gestion de réseaux de confiance (présentation)
13. Gestion des réseaux dans Trusted Extensions (tâches)
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
16. Périphériques dans Trusted Extensions (présentation)
17. Gestion des périphériques pour Trusted Extensions (tâches)
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
La liste des tâches ci-dessous décrit les tâches courantes que vous pouvez effectuer lorsque vous personnalisez un système pour tous les utilisateurs ou lorsque vous personnalisez un compte utilisateur.
|
Vous pouvez modifier les attributs d'étiquette par défaut des utilisateurs lors de la configuration du premier système. Les modifications doivent être copiées sur chaque hôte de Trusted Extensions.
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .
Pour les valeurs par défaut, reportez-vous à Valeurs par défaut du fichier label_encodings.
Utilisez l'éditeur de confiance. Pour plus d'informations, reportez-vous à la sectionModification des fichiers d'administration dans Trusted Extensions. Dans Trusted CDE, vous pouvez également utiliser l'action Edit Label Encodings (Modifier le codage des étiquettes). Pour plus d'informations, reportez-vous à la section Démarrage d'actions d'administration CDE dans Trusted Extensions .
Le fichier label_encodings doit être identique sur tous les hôtes.
La modification des valeurs par défaut du fichier policy.conf dans Trusted Extensions est similaire à la modification de tout fichier système lié à la sécurité dans le SE Oracle Solaris. Dans Trusted Extensions, vous utilisez un éditeur de confiance pour modifier les fichiers système.
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .
Pour les mots-clés de Trusted Extensions, reportez-vous au Tableau 6-1.
Servez-vous de l'éditeur de confiance pour modifier le fichier système. Pour plus d'informations, reportez-vous à la section Modification des fichiers d'administration dans Trusted Extensions.
Exemple 7-1 Modification des paramètres d'inactivité du système
Dans cet exemple, l'administrateur de sécurité souhaite que les systèmes inactifs reviennent à l'écran de connexion. Par défaut, un système inactif est verrouillé. Le rôle de l'administrateur de sécurité ajoute donc le couple mot-clé IDLECMD=valeur au fichier /etc/security/policy.conf comme suit :
IDLECMD=LOGOUT
L'administrateur veut également réduire la durée d'inactivité des systèmes avant la déconnexion. Le rôle d'administrateur de sécurité ajoute donc le couple mot-clé IDLETIME=valeur au fichier policy.conf comme suit :
IDLETIME=10
Le système déconnecte désormais l'utilisateur après 10 minutes d'inactivité du système.
Exemple 7-2 Modification du jeu de privilèges de base de chaque utilisateur
Dans cet exemple, l'administrateur de sécurité d'une installation Sun Ray ne souhaite pas que les utilisateurs standard puissent voir les processus d'autres utilisateurs Sun Ray. Par conséquent, sur chaque système configuré avec Trusted Extensions, l'administrateur supprime proc_info du jeu de privilèges de base. Le paramètre PRIV_DEFAULT dans le fichier /etc/policy.conf est modifié comme suit :
PRIV_DEFAULT=basic,!proc_info
Exemple 7-3 Affectation d'autorisations liées à l'impression à tous les utilisateurs d'un système
Dans cet exemple, l'administrateur de sécurité permet à un kiosque public d'imprimer sans étiquettes en saisissant la ligne suivante dans le fichier /etc/security/policy.conf de l'ordinateur. Au prochain démarrage, les travaux d'impression de tous les utilisateurs de ce kiosque seront imprimés sans étiquettes de pages.
AUTHS_GRANTED= solaris.print.unlabeled
Ensuite, l'administrateur décide d'économiser du papier en supprimant les pages de garde et de fin. Il s'assure tout d'abord que la case Always Print Banners (Toujours imprimer les bannières) n'est pas cochée dans le gestionnaire d'impression. Il modifie ensuite l'entrée policy.conf pour lire les informations suivantes et redémarre. Désormais, tous les travaux d'impression sont sans étiquette et n'ont ni page de garde, ni page de fin.
AUTHS_GRANTED= solaris.print.unlabeled,solaris.print.nobanner
Les utilisateurs peuvent placer un fichier .copy_files et un fichier .link_files dans leur répertoire personnel sous l'étiquette correspondant à leur étiquette de sensibilité minimale. Les utilisateurs peuvent également modifier les fichiers .copy_files et .link_files existants sous l'étiquette minimale des utilisateurs. Cette procédure permet au rôle d'administrateur d'automatiser la configuration pour un site.
Avant de commencer
Vous devez être dans le rôle d'administrateur système dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .
Vous allez ajouter .copy_files et .link_files à votre liste de fichiers de démarrage.
# cd /etc/skel # touch .copy_files .link_files
Pour plus d'informations, reportez-vous à la section Modification des fichiers d'administration dans Trusted Extensions.
/etc/skel/.copy_files
Reportez-vous à la section Fichiers .copy_files et .link_files si vous avez besoin de suggestions. Pour des exemples de fichiers, reportez-vous à l'Exemple 7-4.
Pour une description des éléments à inclure dans les fichiers de démarrage, reportez-vous à la section Customizing a User’s Work Environment du System Administration Guide: Basic Administration.
Pour plus d'informations, reportez-vous à la section How to Customize User Initialization Files du System Administration Guide: Basic Administration.
Pour un exemple, reportez-vous à l'Exemple 7-4.
Le caractère P représente le shell de profil.
Le caractère X représente la première lettre du nom du shell, tel que B pour Bourne, K pour Korn, C pour un shell C et P pour un shell de profil.
Exemple 7-4 Personnalisation des fichiers de démarrage pour les utilisateurs
Dans cet exemple, l'administrateur de sécurité configure des fichiers pour le répertoire personnel de chaque utilisateur. Les fichiers sont en place avant la connexion du premier utilisateur. Les fichiers sont sous l'étiquette minimale de l'utilisateur. Sur ce site, le shell par défaut des utilisateurs est le shell C.
L'administrateur de sécurité crée un fichier .copy_files et un fichier .link_files dans l'éditeur de confiance avec le contenu suivant :
## .copy_files for regular users ## Copy these files to my home directory in every zone .mailrc .mozilla .soffice :wq
## .link_files for regular users with C shells ## Link these files to my home directory in every zone .cshrc .login .Xdefaults .Xdefaults-hostname :wq
## .link_files for regular users with Korn shells # Link these files to my home directory in every zone .ksh .profile .Xdefaults .Xdefaults-hostname :wq
Dans les fichiers d'initialisation du shell, l'administrateur s'assure que les travaux d'impression des utilisateurs sont envoyés vers une imprimante étiquetée.
## .cshrc file setenv PRINTER conf-printer1 setenv LPDEST conf-printer1
## .ksh file export PRINTER conf-printer1 export LPDEST conf-printer1
L'administrateur modifie le fichier .Xdefaults-home-directory-server pour forcer la commande dtterm à utiliser le fichier .profile en tant que source pour un nouveau terminal.
## Xdefaults-HDserver Dtterm*LoginShell: true
Les fichiers personnalisés sont copiés dans le répertoire squelette approprié.
$ cp .copy_files .link_files .cshrc .login .profile \ .mailrc .Xdefaults .Xdefaults-home-directory-server \ /etc/skelC $ cp .copy_files .link_files .ksh .profile \ .mailrc .Xdefaults .Xdefaults-home-directory-server \ /etc/skelK
Erreurs fréquentes
Si vous créez un fichier .copy_files à votre étiquette la plus basse, que vous vous connectez ensuite à une zone supérieure afin d'exécuter la commande updatehome et que l'exécution de cette commande échoue avec une erreur d'accès, vérifiez les points suivants :
Vérifiez que vous pouvez visualiser le répertoire de niveau inférieur à partir de la zone supérieure.
higher-level zone# ls /zone/lower-level-zone/home/username ACCESS ERROR: there are no files under that directory
Si vous ne pouvez pas visualiser le répertoire, redémarrez le service de montage automatique dans la zone de niveau supérieur :
higher-level zone# svcadm restart autofs
À moins que vous n'utilisiez des montages NFS pour les répertoires personnels, le montage automatique dans la zone supérieure doit être en loopback de /zone/lower-level-zone/export/home/username à /zone/lower-level-zone/home/username.
Dans Trusted Extensions, le gestionnaire de sélection sert d'intermédiaire pour le transfert d'informations entre des étiquettes. Le gestionnaire de sélection s'affiche pour les opérations de glisser-déposer et pour les opérations de couper-coller. Certaines applications nécessitent que vous définissiez un délai d'attente adéquat pour que le gestionnaire de sélection ait le temps d'intervenir. Une valeur de deux minutes est suffisante.
Attention - Ne modifiez pas la valeur de temps d'attente par défaut sur un système sans étiquette. Avec une valeur de délai d'attente plus longue, les opérations échouent. |
Avant de commencer
Vous devez être dans le rôle d'administrateur système dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .
où office-install-directory est le répertoire d'installation de StarOffice, par exemple :
office-top-dir/share/registry/data/org/staroffice
Utilisez l'éditeur de confiance. Pour plus d'informations, reportez-vous à la section Modification des fichiers d'administration dans Trusted Extensions.
La valeur par défaut est de trois secondes. Une valeur de 120 définit le délai d'attente sur deux minutes.
Remarque - Vous pouvez aussi faire en sorte que chaque utilisateur change lui-même la valeur de la propriété.
La plupart des applications Sun Java Desktop System utilisent la bibliothèque GTK. Les navigateurs Web tels que Mozilla, Firefox et Thunderbird utilisent la bibliothèque GTK.
Par défaut, la valeur du délai d'attente est de 300, ou 5 secondes. Une valeur de 7 200 définit le délai d'attente sur deux minutes.
Nommez le fichier .gtkrc-mine. Le fichier .gtkrc-mine se trouve dans le répertoire personnel de l'utilisateur sous l'étiquette minimale.
## $HOME/.gtkrc-mine file *gtk-selection-timeout: 7200
Comme dans le SE Oracle Solaris, la commande gnome-settings-daemon lit ce fichier au démarrage.
Pour plus d'information, reportez-vous à la sectionProcédure de configuration des fichiers de démarrage pour les utilisateurs dans Trusted Extensions .
Dans Trusted Extensions, la connexion de secours est protégée. Si un utilisateur standard a des fichiers d'initialisation du shell personnalisés et ne peut pas se connecter, vous pouvez utiliser la connexion de secours pour corriger les fichiers de l'utilisateur.
Avant de commencer
Vous devez connaître le mot de passe root.
Vous pouvez ensuite déboguer les fichiers d'initialisation de l'utilisateur.