Installation ou mise à niveau du SE Solaris pour Trusted Extensions

Le choix des options d'installation de Solaris peut avoir une incidence sur l'utilisation et la sécurité de Trusted Extensions :

• Pour une bonne prise en charge de Trusted Extensions, vous devez correctement installer le SE Solaris sous-jacent. Pour connaître les choix d'installation de Solaris qui affectent Trusted Extensions, reportez-vous à la section Installation d'un système Solaris pour prendre en charge Trusted Extensions.

• Si vous utilisiez le SE Solaris, vérifiez votre configuration actuelle par rapport à la configuration requise de Trusted Extensions. Pour connaître les choix de configuration qui affectent Trusted Extensions, reportez-vous à la section Préparation d'un système Solaris installé pour Trusted Extensions.

Installation d'un système Solaris pour prendre en charge Trusted Extensions

Cette tâche s'applique aux nouvelles installations du SE Solaris. Si vous procédez à une mise à niveau, reportez-vous à la section Préparation d'un système Solaris installé pour Trusted Extensions.

• Lors de l'installation du SE Solaris, appliquez l'action recommandée parmi les choix d'installation suivants.

  Les choix suivent l'ordre des questions relatives à l'installation de Solaris. Les questions relatives à l'installation qui ne sont pas mentionnées dans ce tableau n'affectent pas Trusted Extensions.

  
  

  Options Solaris Comportement de Trusted Extensions Action recommandée Service de nommage NIS Service de nommage NIS+ Trusted Extensions prend en charge les fichiers et LDAP comme service de nommage. Pour la résolution de noms d'hôte, DNS peut être utilisé. Ne choisissez pas NIS ou NIS+. Vous pouvez sélectionner l'option None (Aucun), ce qui est équivalent aux fichiers. Vous pouvez configurer LDAP ultérieurement avec Trusted Extensions. Mise à niveau Trusted Extensions installe des zones étiquetées avec des caractéristiques de sécurité particulières. Si vous procédez à une mise à niveau, reportez-vous à la section Préparation d'un système Solaris installé pour Trusted Extensions. Mot de passe root Les outils d'administration dans Trusted Extensions requièrent des mots de passe. Si l'utilisateur root ne dispose pas de mot de passe, root ne peut pas configurer le système. Fournissez un mot de passe root. Ne modifiez pas la méthode de chiffrement par mot de passe crypt_unix par défaut. Pour plus d'informations, reportez-vous à la section Managing Password Information du System Administration Guide: Security Services. Groupe Développeur Trusted Extensions utilise la Console de gestion Solaris pour administrer le réseau. Le groupe Utilisateur final et des groupes plus petits n'installent pas les packages pour la Console de gestion Solaris. Sur n'importe quel système que vous envisagez d'utiliser pour administrer d'autres systèmes, n'installez pas de groupe Utilisateur final, Core ou Réseau réduit. Installation personnalisée Trusted Extensions installe des zones, de sorte qu'il vous faudra peut-être plus d'espace disque dans les partitions que l'installation par défaut ne fournit. Choisissez Custom Install (Installation personnalisée) et configurez les partitions. Envisagez d'ajouter l'espace de swap supplémentaire pour les rôles. Si vous prévoyez de cloner des zones, créez une partition de 2 000 Mo pour le pool ZFS. Pour le contrôle des fichiers, il est préférable de créer une partition dédiée.

Préparation d'un système Solaris installé pour Trusted Extensions

Cette tâche s'applique aux systèmes Solaris existants et sur lesquels vous prévoyez d'exécuter Trusted Extensions. Effectuez également cette procédure pour exécuter Trusted Extensions sur un système Solaris mis à niveau. D'autres tâches susceptibles de modifier un système Solaris installé peuvent être effectuées lors de la configuration de Trusted Extensions.

Avant de commencer

Trusted Extensions ne peut pas être activé dans certains environnements Solaris :

• Si votre système fait partie d'un cluster, Trusted Extensions ne peut pas être activé sur le système.

• L'activation de Trusted Extensions dans un environnement d'initialisation alternatif n'est pas prise en charge. Trusted Extensions ne peut être activé que dans l'environnement d'initialisation actif.

1. Si des zones non globales sont installées sur votre système, supprimez-les.

   Vous pouvez également réinstaller le SE Solaris. Si vous réinstallez le SE Solaris, suivez les instructions de la section Installation d'un système Solaris pour prendre en charge Trusted Extensions.

   Trusted Extensions utilise des zones marquées.

2. Si votre système n'a pas de mot de passe root, créez-en un.

   Les outils d'administration dans Trusted Extensions requièrent des mots de passe. Si l'utilisateur root ne dispose pas de mot de passe, root ne peut pas configurer le système.

   Utilisez la méthode de chiffrement par mot de passe crypt_unix par défaut pour l'utilisateur root. Pour plus d'informations, reportez-vous à la section Managing Password Information du System Administration Guide: Security Services.

   ---

   Remarque - Les utilisateurs ne doivent en aucun cas divulguer leurs mots de passe à des tiers, car ceux-ci pourraient alors avoir accès aux données de l'utilisateur et ne seront alors pas identifiés de manière unique ou fiable. Cette divulgation peut être directe, si l'utilisateur donne délibérément son mot de passe à une autre personne, ou indirecte, par exemple si l'utilisateur l'écrit ou choisit un mot de passe non sécurisé. Le SE Solaris fournit une protection contre les mots de passe non sécurisés, mais ne peut pas empêcher un utilisateur de divulguer son mot de passe ou de l'écrire.

   ---

3. Si vous envisagez d'administrer le site à partir de ce système, ajoutez-y les packages Solaris pour la Console de gestion Solaris.

   Trusted Extensions utilise la Console de gestion Solaris pour administrer le réseau. Si le système a été installé avec le groupe End User ou un groupe plus petit, le système ne dispose pas des packages pour la Console de gestion Solaris.

4. Si vous avez créé un fichier xorg.conf, vous devez le modifier.

   Ajoutez la ligne suivante à la fin de la section Module du fichier /etc/X11/xorg.conf.

   load "xtsol"

   ---

   Remarque - Par défaut, le fichier xorg.conf n'existe pas. Si c'est le cas, ne faites rien.

   ---

5. Dans les versions Solaris 10 9/09 et Solaris 10 9/10, si votre système fait partie d'une configuration Oracle Solaris Cluster, vous pouvez activer Trusted Extensions dans le cluster.

   ---

   Remarque - Les applications doivent s'exécuter uniquement dans les clusters de zone Oracle Solaris Cluster.

   ---

   Pour en savoir plus sur la prise en charge d'Oracle Solaris Cluster par Trusted Extensions, reportez-vous à la section Préparation de l'utilisation de Trusted Extensions avec des clusters de zone du Chapitre 7, Création de zones non globales et de clusters de zone du Oracle Solaris Cluster Software Installation Guide .

6. Si vous mettez à niveau un système Trusted Extensions, lisez les informations suivantes avant de procéder :

   • Chapitre 1, Nouveautés de la version Solaris 10 10/08, du guide Nouveautés de Solaris10

   • Notes de version de Solaris 10 10/08

   ---

   Astuce - Pour trouver les informations pertinentes, recherchez la chaîne Trusted Extensions.

   ---

7. Si vous prévoyez de cloner des zones, créez une partition pour le pool ZFS.

   Pour décider de votre méthode de création de zone, reportez-vous à la section Planification de zones dans Trusted Extensions.

8. Si vous prévoyez d'installer des zones étiquetées sur ce système, vérifiez que vos partitions disposent d'un espace disque suffisant pour les zones.

   La plupart des systèmes configurés avec Trusted Extensions installent des zones étiquetées. Les zones étiquetées peuvent nécessiter plus d'espace disque que ce que le système installé a prévu.

   Cependant, certains systèmes Trusted Extensions ne nécessitent pas l'installation de zones étiquetées. Par exemple, un serveur d'impression multiniveau, un serveur LDAP multiniveau ou un serveur proxy LDAP multiniveau ne nécessitent pas de zones étiquetées pour être installés. Ces systèmes n'ont pas forcément besoin d'espace disque supplémentaire.

9. (Facultatif) Ajoutez de l'espace de swap supplémentaire pour les rôles.

   Les rôles administrent Trusted Extensions. Envisagez l'ajout de swap supplémentaire pour les processus de rôle.

10. (Facultatif) Dédiez une partition aux fichiers de contrôle.

    Trusted Extensions active le contrôle par défaut. Pour les fichiers de contrôle, il est préférable de créer une partition dédiée.

11. (Facultatif) Pour exécuter une configuration sécurisée, exécutez la commande netservices limited avant d'activer Trusted Extensions.

    # netservices limited