Gestion des utilisateurs et des droits à l'aide de la Console de gestion Solaris (liste des tâches)

Dans Trusted Extensions, vous devez utiliser la Console de gestion Solaris pour administrer les utilisateurs, les autorisations, les droits et les rôles. Pour gérer les utilisateurs et leurs attributs de sécurité, prenez le rôle d'administrateur de sécurité. La liste des tâches ci-dessous décrit des tâches courantes que vous effectuez pour des utilisateurs travaillant dans un environnement étiqueté.

Tâche	Description	Voir
Modification de la plage d'étiquettes d'un utilisateur.	Modifie les étiquettes sous lesquelles un utilisateur peut travailler. Les modifications peuvent limiter ou étendre la plage autorisée par le fichier `label_encodings`.	Procédure de modification de la plage d'étiquettes d'un utilisateur dans la Console de gestion Solaris
Création d'un profil de droits pour des autorisations commodes.	Il existe plusieurs autorisations qui peuvent s'avérer utiles pour des utilisateurs standard. Crée un profil pour des utilisateurs considérés aptes à recevoir ces autorisations.	Procédure de création d'un profil de droits pour des autorisations commodes
Modification du jeu de privilèges par défaut d'un utilisateur.	Supprime un privilège du jeu de privilèges par défaut de l'utilisateur.	Procédure de limitation du jeu de privilèges d'un utilisateur
Désactivation du verrouillage du compte pour des utilisateurs particuliers.	Le verrouillage du compte des utilisateurs pouvant assumer un rôle doit être désactivé.	Procédure de désactivation du verrouillage du compte pour certains utilisateurs
Octroi de l'autorisation de modifier l'étiquette de données à un utilisateur.	Autorise un utilisateur à mettre à niveau ou rétrograder des informations.	Procédure d'octroi de l'autorisation de modifier le niveau de sécurité de données à un utilisateur
Suppression d'un utilisateur du système.	Supprime complètement un utilisateur et ses processus.	Procédure de suppression d'un compte utilisateur d'un système Trusted Extensions
Gestion d'autres tâches.	Utilise la Console de gestion Solaris pour gérer des tâches qui ne sont pas spécifiques à Trusted Extensions.	Gestion d'autres tâches dans la Console de gestion Solaris (liste des tâches)

Procédure de modification de la plage d'étiquettes d'un utilisateur dans la Console de gestion Solaris

Vous pouvez souhaiter étendre la plage d'étiquettes d'un utilisateur pour lui donner les autorisations en lecture à une application d'administration. Par exemple, un utilisateur qui peut se connecter à la zone globale pourrait ensuite exécuter la Console de gestion Solaris. L'utilisateur pourrait visualiser le contenu mais pas le modifier.

Vous pouvez aussi souhaiter réduire la plage d'étiquettes de l'utilisateur. Par exemple, un utilisateur invité peut être limité à une étiquette.

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

Ouvrez une boîte à outils Trusted Extensions dans la Console de gestion Solaris.
Utilisez une boîte à outils de portée adéquate. Pour plus d'informations, reportez-vous à la section Initialisation du serveur Console de gestion Solaris dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions.
Sous System Configuration (Configuration système), allez à User Accounts (Comptes utilisateur).
Une invite de mot de passe est susceptible de s'afficher.
Saisissez le mot de passe du rôle.
Sélectionnez l'utilisateur individuel dans User Accounts
Cliquez sur l'onglet Attributes (Attributs) de Trusted Extensions.
- Pour étendre la plage d'étiquettes de l'utilisateur, choisissez une autorisation supérieure.
  Vous pouvez également réduire l'étiquette minimale.
- Pour limiter la plage d'étiquettes à une seule étiquette, l'autorisation doit être égale à l'étiquette minimale.
Pour enregistrer les modifications, cliquez sur OK.

Procédure de création d'un profil de droits pour des autorisations commodes

Lorsque la stratégie de sécurité du site le permet, vous pouvez souhaiter créer un profil de droits contenant des autorisations destinées à des utilisateurs habilités à effectuer des tâches nécessitant une autorisation. Pour permettre à tous les utilisateurs d'un système particulier d'être autorisés, reportez-vous à la section Procédure de modification des valeurs par défaut de policy.conf.

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

Ouvrez une boîte à outils Trusted Extensions dans la Console de gestion Solaris.
Utilisez une boîte à outils de portée adéquate. Pour plus d'informations, reportez-vous à la section Initialisation du serveur Console de gestion Solaris dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions.
Dans System Configuration (Configuration système), allez à Rights (Droits).
Une invite de mot de passe est susceptible de s'afficher.
Saisissez le mot de passe du rôle.
Pour ajouter un profil de droits, cliquez sur Action -> Add Right (Ajouter un droit).
Créez un profil de droits contenant une ou plusieurs des autorisations suivantes.
Pour la procédure étape par étape, reportez-vous à la section How to Create or Change a Rights Profile du System Administration Guide: Security Services.
Dans l'image ci-dessous, la fenêtre Authorizations Included (Autorisations incluses) affiche les autorisations pouvant être utiles pour les utilisateurs.
- Allocate Device (Allouer un périphérique) : autorise un utilisateur à allouer un périphérique, tel qu'un microphone.
  
  Par défaut, les utilisateurs d'Oracle Solaris peuvent lire et écrire sur un CD-ROM. Toutefois, dans Trusted Extensions, seuls les utilisateurs qui peuvent allouer un périphérique peuvent accéder à l'unité de CD-ROM. L'allocation du disque nécessite une autorisation. Par conséquent, pour lire et écrire sur un CD-ROM dans Trusted Extensions, un utilisateur a besoin de l'autorisation Allocate Device.
- Downgrade DragNDrop or CutPaste Info (Rétrograder des informations par glisser-déposer ou copier-coller) : autorise un utilisateur à sélectionner les informations d'un fichier de niveau supérieur et à les placer dans un fichier de niveau inférieur.
- Downgrade File Label (Rétrograder l'étiquette d'un fichier) : autorise un utilisateur à réduire le niveau de sécurité d'un fichier
- DragNDrop or CutPaste without viewing contents (Glisser-déposer ou couper-coller sans visualiser le contenu) : autorise un utilisateur à déplacer des informations sans visualiser les informations déplacées.
- Print PostScript (Imprimer Postscript) : autorise un utilisateur à imprimer des fichiers PostScript.
- Print without Banner (Imprimer sans page de garde) : autorise un utilisateur à imprimer sur papier sans page de garde.
- Print without Label (Imprimer sans étiquette) : autorise un utilisateur à imprimer sur papier sans étiquette.
- Remote Login (Connexion à distance) : autorise un utilisateur à se connecter à distance.
- Shutdown the System (Arrêter le système) : autorise un utilisateur à arrêter le système et à arrêter une zone.
- Upgrade DragNDrop or CutPaste Info (Mettre à niveau des informations par glisser-déposer ou couper-coller) : autorise un utilisateur à sélectionner les informations d'un fichier de niveau inférieur et à les placer dans un fichier de niveau supérieur.
- Upgrade File Label (Mettre à niveau l'étiquette d'un fichier) : autorise un utilisateur à renforcer le niveau de sécurité d'un fichier.
Attribuez le profil de droits à un utilisateur ou à un rôle.
Pour obtenir de l'aide, reportez-vous à l'aide en ligne. Pour la procédure étape par étape, reportez-vous à la section How to Change the RBAC Properties of a User du System Administration Guide: Security Services.

Exemple 7-5 Attribution d'une autorisation liée à l'impression à un rôle

Dans l'exemple suivant, l'administrateur de sécurité permet à un rôle d'imprimer des travaux sans étiquettes sur les pages de corps de texte.

Dans la Console de gestion Solaris, l'administrateur de sécurité accède à Administrative Roles (Rôles d'administration). Il consulte les profils de droits qui sont inclus dans un rôle particulier, puis s'assure que les autorisations liées à l'impression sont contenues dans l'un des profils de droits du rôle.

Procédure de limitation du jeu de privilèges d'un utilisateur

La sécurité du site peut exiger que les utilisateurs aient moins de privilèges que ceux qui leur sont assignés par défaut. Par exemple, sur un site qui utilise Trusted Extensions sur des systèmes Sun Ray, vous voudrez peut-être empêcher les utilisateurs de visualiser les processus des autres utilisateurs sur le serveur Sun Ray.

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

Ouvrez une boîte à outils Trusted Extensions dans la Console de gestion Solaris.
Utilisez une boîte à outils de portée adéquate. Pour plus d'informations, reportez-vous à la section Initialisation du serveur Console de gestion Solaris dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions.
Sous System Configuration (Configuration système), allez à User Accounts (Comptes utilisateur).
Une invite de mot de passe est susceptible de s'afficher.
Saisissez le mot de passe du rôle.
Double-cliquez sur l'icône correspondant à l'utilisateur.
Supprimez un ou plusieurs privilèges dans le jeu basic.
1. Double-cliquez sur l'icône correspondant à l'utilisateur.
2. Cliquez sur l'onglet Rights (Droits).
3. Cliquez sur le bouton Edit (Modifier) placé à droite du jeu basic dans le champ right_extended_attr.
4. Supprimez proc_session ou file_link_any.
  En supprimant le privilège proc_session, vous empêchez l'utilisateur d'examiner les processus externes à la session en cours de l'utilisateur. En supprimant le privilège file_link_any, vous empêchez l'utilisateur de créer des liens physiques vers des fichiers dont il n'est pas le propriétaire.
  
  Attention - Ne supprimez pas le privilège proc_fork ou le privilège proc_exec. Sans ces privilèges, l'utilisateur ne peut pas utiliser le système.
Pour enregistrer les modifications, cliquez sur OK.

Procédure de désactivation du verrouillage du compte pour certains utilisateurs

Trusted Extensions étend les fonctionnalités de sécurité de l'utilisateur dans la Console de gestion Solaris et y ajoute le verrouillage du compte. Désactivez le verrouillage du compte pour les utilisateurs qui peuvent assumer un rôle.

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

Démarrez la Console de gestion Solaris.
Utilisez une boîte à outils de portée adéquate. Pour plus d'informations, reportez-vous à la section Initialisation du serveur Console de gestion Solaris dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions.
Sous System Configuration (Configuration système), allez à User Accounts (Comptes utilisateur).
Une invite de mot de passe est susceptible de s'afficher.
Saisissez le mot de passe du rôle.
Double-cliquez sur l'icône correspondant à l'utilisateur.
Cliquez sur l'onglet Attributes (Attributs) de Trusted Extensions.
Dans la section Account Usage (Utilisation du compte), choisissez No (Non) dans le menu déroulant en regard de Lock account after maximum failed logins (Verrouiller le compte après le nombre maximal d'échecs de connexion).
Pour enregistrer les modifications, cliquez sur OK.

Procédure d'octroi de l'autorisation de modifier le niveau de sécurité de données à un utilisateur

Un utilisateur standard ou un rôle peut être autorisé à modifier le niveau de sécurité ou les étiquettes de fichiers et de répertoires. L'utilisateur ou le rôle, en plus d'avoir l'autorisation, doit être configuré pour pouvoir travailler à plus d'une étiquette. Aussi, les zones étiquetées doivent être configurées de façon à autoriser la modification de leur étiquette. Pour plus d'informations sur cette procédure, reportez-vous à la section Procédure d'octroi de l'autorisation de modifier l'étiquette de fichiers à un utilisateur.

Attention - La modification du niveau de sécurité des données est une opération qui nécessite des privilèges. Cette tâche ne peut être effectuée que par des utilisateurs dignes de confiance.

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

Suivez la procédure décrite dans la sectionProcédure de création d'un profil de droits pour des autorisations commodes pour créer un profil de droits.
Les autorisations suivantes permettent à un utilisateur de modifier l'étiquette d'un fichier :
- Downgrade File Label (Rétrograder l'étiquette d'un fichier)
- Upgrade File Label (Mettre à niveau l'étiquette d'un fichier)
Les autorisations suivantes permettent à un utilisateur de modifier l'étiquette d'informations contenues dans un fichier :
- Downgrade DragNDrop or CutPaste Info (Rétrograder des informations par glisser-déposer ou couper-coller)
- DragNDrop or CutPaste Info Without Viewing (Glisser-déposer ou couper-coller sans visualiser le contenu)
- Upgrade DragNDrop or CutPaste Info (Mettre à niveau des informations par glisser-déposer ou couper-coller)
Utilisez la Console de gestion Solaris pour attribuer le profil aux utilisateurs et aux rôles appropriés.
Pour obtenir de l'aide, utilisez l'aide en ligne. Pour une procédure pas à pas, reportez-vous à la section How to Change the RBAC Properties of a User du System Administration Guide: Security Services.

Procédure de suppression d'un compte utilisateur d'un système Trusted Extensions

Lorsqu'un utilisateur est supprimé du système, vous devez vous assurer que le répertoire personnel de l'utilisateur et tous les objets qui lui appartiennent sont également supprimés. Comme alternative à la suppression d'objets appartenant à l'utilisateur, vous pouvez transférer la propriété de ces objets à un utilisateur valide.

Vous devez aussi vous assurer que tous les traitements par lots associés à l'utilisateur sont également supprimés. Aucun objet ou processus appartenant à un utilisateur supprimé ne peut rester sur le système.

Avant de commencer

Vous devez être dans le rôle d'administrateur système.

Archivez le répertoire personnel de l'utilisateur sur chaque étiquette.
Archivez les fichiers courrier de l'utilisateur sur chaque étiquette.
Dans la Console de gestion Solaris, supprimez le compte utilisateur.
1. Ouvrez une boîte à outils Trusted Extensions dans la Console de gestion Solaris.
  Utilisez une boîte à outils de portée adéquate. Pour plus d'informations, reportez-vous à la section Initialisation du serveur Console de gestion Solaris dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions.
2. Sous System Configuration (Configuration système), allez à User Accounts (Comptes utilisateur).
  Une invite de mot de passe est susceptible de s'afficher.
3. Saisissez le mot de passe du rôle.
4. Sélectionnez le compte utilisateur à supprimer, puis cliquez sur le bouton Supprimer.
  Vous êtes invité à supprimer le répertoire personnel de l'utilisateur ainsi que ses fichiers courrier. Lorsque vous acceptez l'invite, le répertoire personnel de l'utilisateur et ses fichiers courrier sont uniquement supprimés dans la zone globale.
Dans chaque zone étiquetée, supprimez manuellement les répertoires et fichiers courrier de l'utilisateur.
Remarque - Vous êtes chargé de rechercher et supprimer les fichiers temporaires de l'utilisateur à toutes les étiquettes, tels que les fichiers dans les répertoires /tmp.

Ignorer les liens de navigation
Quitter l'aperu
	Procédures de l'administrateur Oracle Solaris Trusted Extensions