Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide de configuration d’Oracle Solaris Trusted Extensions |
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout du logiciel Trusted Extensions au SE Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
6. Configuration d'un écouteur avec Trusted Extensions (tâches)
Configuration de l'écouteur dans Trusted Extensions (liste des tâches)
Activation de la connexion à distance par l'utilisateur root dans Trusted Extensions
Activation de la connexion à distance par un rôle dans Trusted Extensions
Activation de la connexion à distance à partir d'un système sans étiquette
Utilisation d'une Console de gestion Solaris à distance pour administrer dans l'étendue fichiers
Activation de l'affichage à distance des interfaces graphiques d'administration
A. Stratégie de sécurité du site
B. Utilisation d'actions CDE pour installer des zones dans Trusted Extensions
C. Liste de contrôle de configuration pour Trusted Extensions
Sur les écouteurs, une console est connectée au moyen d'une ligne série à une fenêtre d'émulateur de terminal. La ligne est généralement sécurisée par la commande tip. En fonction du type du deuxième système disponible, vous pouvez utiliser l'une des méthodes suivantes pour configurer un écouteur. Les méthodes sont répertoriées de la plus sûre à la moins sûre dans le tableau ci-dessous. Ces instructions s'appliquent également aux systèmes distants.
|
Remarque - Consultez votre stratégie de sécurité pour déterminer les méthodes d'administration à distance possibles sur votre site.
Comme dans le SE Solaris, l'utilisateur root peut se connecter à distance à partir d'un système étiqueté lorsque l'entrée CONSOLE est désactivée.
Si vous prévoyez d'administrer un système distant en modifiant les fichiers locaux, utilisez cette procédure.
# /usr/dt/bin/trusted_edit /etc/default/login
La ligne modifiée se présente de la manière suivante :
#CONSOLE=/dev/console
Modifiez le fichier /etc/ssh/sshd_config. Par défaut, ssh est activé sur les systèmes Solaris.
# /usr/dt/bin/trusted_edit /etc/ssh/sshd_config
La ligne modifiée se présente de la manière suivante :
PermitRootLogin yes
Étapes suivantes
Pour vous connecter en tant qu'utilisateur root à partir d'un système sans étiquette, vous devez également exécuter la tâche Activation de la connexion à distance à partir d'un système sans étiquette.
Pour activer la connexion à distance via un rôle, continuez en exécutant la tâche Activation de la connexion à distance par un rôle dans Trusted Extensions.
Suivez cette procédure uniquement si vous devez administrer un écouteur en utilisant la commande rlogin ou ssh.
Des erreurs de configuration peuvent être déboguées à distance.
Avant de commencer
Si vous utilisez des fichiers locaux pour administrer le système distant, vous avez terminé la tâche Activation de la connexion à distance par l'utilisateur root dans Trusted Extensions. Exécutez ensuite cette tâche sur les deux systèmes en tant qu'utilisateur root.
L'ordinateur de bureau et l'écouteur doivent s'identifier l'un l'autre comme utilisant le même modèle de sécurité. Pour connaître la procédure, reportez-vous à la section Procédure d’assignation d’un modèle de sécurité à un hôte ou à un groupe d’hôtes du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
Pour affecter une étiquette temporaire, reportez-vous à l'Exemple 6-1.
Les noms et les ID doivent être identiques, et le rôle doit être affecté à l'utilisateur sur les deux systèmes. Pour créer des utilisateurs et des rôles, reportez-vous à la tâche Création de rôles et d'utilisateurs dans Trusted Extensions.
# /usr/dt/bin/trusted_edit /etc/hosts
127.0.0.1 localhost 192.168.66.66 local-system-name loghost 192.168.66.12 remote-system-name
# cp /etc/pam.conf /etc/pam.conf.orig
# /usr/dt/bin/trusted_edit /etc/pam.conf
Utilisez la touche de tabulation pour naviguer entre les champs. Cette section est maintenant semblable à la suivante :
# Solaris Management Console definition for Account management # smcconsole account requisite pam_roles.so.1 allow_remote smcconsole account required pam_unix_account.so.1 smcconsole account required pam_tsol_account.so.1 # Default definition for Account management # Used when service name is not explicitly mentioned for account management # other account requisite pam_roles.so.1 other account required pam_unix_account.so.1 other account required pam_tsol_account.so.1
# cp /etc/pam.conf /etc/pam.conf.site
Si vous effectuez une mise à niveau du système vers une version plus récente, vous devez alors évaluer s'il est nécessaire de copier les modifications de /etc/pam.conf.site dans le fichier pam.conf.
Exemple 6-1 Création d'une définition temporaire de type d'hôte Trusted Extensions
Dans cet exemple, l'administrateur souhaite commencer à configurer un système Trusted Extensions distant avant que les définitions de type d'hôte ne soient configurées. Pour ce faire, l'administrateur utilise la commande tnctl sur le système distant pour temporairement définir le type d'hôte de l'ordinateur de bureau :
remote-TX# tnctl -h desktop-TX:cipso
Par la suite, l'administrateur souhaite accéder au système Trusted Extensions distant à partir d'un ordinateur de bureau qui n'est pas configuré avec Trusted Extensions. Dans ce cas, l'administrateur utilise la commande tnctl sur le système distant pour temporairement définir le type d'hôte de l'ordinateur de bureau en tant que système sans étiquette qui s'exécute à l'étiquette ADMIN_LOW :
remote-TX# tnctl -h desktop-TX:admin_low
Avant de commencer
Cette procédure n'est pas sécurisée.
Vous avez assoupli votre stratégie PAM afin d'autoriser un utilisateur à assumer un rôle distant, comme décrit à la section Activation de la connexion à distance par un rôle dans Trusted Extensions.
Attention - Avec les paramètres par défaut, un autre système sans étiquette peut se connecter et administrer le système distant. Par conséquent, vous devez modifier la valeur par défaut du réseau 0.0.0.0 de ADMIN_LOW en une étiquette différente. Pour connaître la procédure, reportez-vous à la section Procédure de limitation des hôtes pouvant être contactés sur le réseau de confiance du Procédures de l’administrateur Oracle Solaris Trusted Extensions. |
# /usr/dt/bin/trusted_edit /etc/pam.conf
Utilisez la touche de tabulation pour naviguer entre les champs.
smcconsole account required pam_tsol_account.so.1 allow_unlabeled
Une fois les modifications apportées, cette section s'affiche comme suit :
# Solaris Management Console definition for Account management # smcconsole account requisite pam_roles.so.1 allow_remote smcconsole account required pam_unix_account.so.1 smcconsole account required pam_tsol_account.so.1 allow_unlabeled
Si vous n'utilisez pas LDAP et si vous souhaitez utiliser la Console de gestion Solaris sur un système distant, activez la connexion à distance à la console. Cette procédure n'est cependant pas suffisante pour permettre l'accès pour l'étendue LDAP.
Pour activer l'accès pour l'étendue LDAP, vous devez d'abord terminer toutes les procédures de la section Configuration de la Console de gestion Solaris pour LDAP (liste des tâches).
Avant de commencer
Les deux systèmes sont étiquetés.
Vous avez effectué les procédures suivantes :
Initialisation du serveur Console de gestion Solaris dans Trusted Extensions
Activation de la connexion à distance par un rôle dans Trusted Extensions
# /usr/sbin/smc &
Sélectionnez ensuite la boîte à outils Scope=Files.
Cet ordinateur (remote-system : Scope=Files, Policy=TSOL)
La procédure d'affichage à distance sur un ordinateur de bureau est identique à la procédure pour un système Solaris qui n'est pas configuré avec Trusted Extensions. Cette procédure est décrite ici pour plus de commodité.
desktop $ xhost + headless-host
desktop $ echo $DISPLAY :n.n
headless $ DISPLAY=desktop:n.n headless $ export DISPLAY=n:n
Cette procédure vous permet d'utiliser la ligne de commande et l'interface graphique txzonemgr pour administrer un écouteur en tant que superutilisateur ou en tant que rôle.
Remarque - La connexion à distance à l'aide de la commande rlogin est moins sûre que la connexion à distance à l'aide de la commande ssh.
L'utilisation de la Console de gestion Solaris pour administrer un système distant ne requiert pas d'utiliser une commande de connexion à distance. Pour plus d'informations sur cette procédure, reportez-vous à la section Procédure d’administration à distance des systèmes à l’aide de la Console de gestion Solaris dans un système Trusted Extensions du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
Avant de commencer
Vous avez terminé les tâches de la section Activation de la connexion à distance par un rôle dans Trusted Extensions.
Vous êtes un utilisateur autorisé à se connecter à l'écouteur avec le même nom d'utilisateur et le même ID, et vous pouvez assumer le même rôle sur l'écouteur que celui que vous assumez sur l'ordinateur de bureau.
desktop $ xhost + headless-host desktop $ echo $DISPLAY :n.n
desktop $ ssh -l identical-username headless Password: Type the user's password headless $
desktop # rlogin headless Password: Type the user's password headless $
Utilisez la même fenêtre de terminal. Par exemple, assumez le rôle root.
headless $ su - root Password: Type the root password
Vous êtes à présent dans la zone globale. Vous pouvez maintenant utiliser ce terminal pour administrer l'écouteur à partir de la ligne de commande.
Remarque - Vous pouvez aussi afficher les interfaces graphiques à distance en vous connectant avec la commande ssh -X. Pour plus d'informations, reportez-vous à la page de manuel ssh(1). Reportez-vous à l'Exemple 6-2.
headless $ DISPLAY desktop:n.n headless $ export DISPLAY=n:n
Vous pouvez désormais administrer l'écouteur en utilisant les interfaces graphiques Trusted Extensions. Par exemple, lancez l'interface graphique txzonemgr :
headless $ /usr/sbin/txzonemgr
Le gestionnaire de zones étiquetées (Labeled Zone Manager) s'exécute sur le système distant et s'affiche sur l'ordinateur de bureau.
Pour ouvrir et fermer le gestionnaire d'applications en toute sécurité, reportez-vous à la section Procédure d’administration à distance de Trusted Extensions avec dtappsession du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
Exemple 6-2 Configuration des zones étiquetées sur un écouteur
Dans cet exemple, l'administrateur utilise l'interface graphique txzonemgr pour configurer des zones étiquetées sur un écouteur étiqueté à partir d'un ordinateur de bureau étiqueté. Comme dans le SE Solaris, l'administrateur autorise le serveur X à accéder à l'ordinateur de bureau à l'aide de l'option -X de la commande ssh. L'utilisateur install1 est défini à l'identique sur les deux systèmes et peut prendre le rôle remoterole.
TXdesk1 $ xhost + TXnohead4 TXdesk1 $ whoami install1
TXdesk1 $ ssh -X -l install1 TXnohead4 Password: Ins1PwD1 TXnohead4 $
Pour atteindre la zone globale, l'administrateur prend le rôle remoterole. Ce rôle est défini à l'identique sur les deux systèmes.
TXnohead4 # su - remoterole Password: abcd1EFG
L'administrateur démarre ensuite l'interface graphique txzonemgr.
TXnohead4 $ /usr/sbin/txzonemgr &
Le gestionnaire de zones étiquetées (Labeled Zone Manager) s'exécute sur l'écouteur et s'affiche sur l'ordinateur de bureau.