Liste des tâches : configuration de Trusted Extensions
Pour une configuration sécurisée, créez des rôles tôt dans le processus. L'ordre
des tâches lorsque les rôles configurent le système est affiché dans la
liste des tâches ci-dessous.
|
|---|
|
|
|
|---|
|
Établissez une protection matérielle
des machines en exigeant un mot de passe pour modifier les paramètres
matériels. |
|
Configurez les étiquettes. Les étiquettes doivent être configurées pour votre site. Si
vous envisagez d'utiliser le fichier label_encodings par défaut, vous pouvez ignorer cette
tâche. |
|
Si vous exécutez un réseau IPv6, vous pouvez modifier le fichier /etc/system
afin que l'IP reconnaisse les paquets étiquetés. |
|
Si le domaine d'interprétation CIPSO de
vos nœuds réseau est différent de 1, spécifiez-le dans le fichier /etc/system. |
|
Si
vous prévoyez d'utiliser un instantané ZFS Solaris pour cloner des zones, créez
le pool ZFS. |
|
Initialisez pour activer un environnement étiqueté. Une fois connecté, vous
êtes dans la zone globale. Le fichier label_encodings du système applique le
contrôle d'accès obligatoire. |
|
Initialisez la Console de gestion Solaris. Cette interface graphique permet
d'étiqueter les zones, entre autres tâches. |
|
Créez le rôle d'administrateur de sécurité et
d'autres rôles que vous prévoyez d'utiliser localement. Ces rôles sont créés de
la même manière que dans le SE Solaris. Vous pouvez reporter cette tâche
jusqu'à la fin. Pour en connaître les conséquences, reportez-vous à la section
Élaboration d'une stratégie de configuration pour Trusted Extensions. |
|
|
Ignorez les tâches suivantes si vous utilisez des fichiers locaux pour administrer
le système.
|
|---|
|
|
|
|---|
|
Si vous envisagez d'utiliser les fichiers
pour administrer Trusted Extensions, vous pouvez ignorer les tâches suivantes. |
Aucune configuration n'est
nécessaire pour le service de nommage de fichiers. |
Si vous disposez déjà d'un
Sun Java System Directory Server (serveur LDAP), ajoutez des bases de données
au serveur Trusted Extensions. Faites ensuite de votre premier système Trusted Extensions
un proxy du serveur LDAP. Si vous ne disposez pas de serveur LDAP,
configurez votre premier système en tant que serveur. |
|
Configurez manuellement une boîte à
outils LDAP pour la Console de gestion Solaris. La boîte à outils
peut être utilisée pour modifier les attributs Trusted Extensions des objets du
réseau. |
|
Pour les systèmes qui ne sont pas le serveur LDAP ou un
serveur proxy, faites-en un client LDAP. |
|
|
|
|
|
|---|
|
|
|
|---|
|
Exécutez la commande txzonemgr. Suivez les
menus pour configurer les interfaces réseau, puis créez et personnalisez la première
zone étiquetée. Ensuite, copiez ou clonez le reste des zones. |
|
Vous pouvez également
utiliser des actions Trusted CDE. |
|
(Facultatif) Une fois toutes les zones correctement personnalisées,
ajoutez des adresses réseau spécifiques aux zones et un routage par défaut
vers les zones étiquetées. |
|
|
Les tâches suivantes peuvent être nécessaires dans votre environnement.
|
|---|
|
|
|
|---|
|
Identifiez les autres hôtes distants qui nécessitent une étiquette, un ou plusieurs
ports multiniveau ou une autre stratégie de message de contrôle. |
|
Créez un serveur
d'annuaires personnel multiniveau, puis exécutez un montage automatique des zones installées. |
|
Configurez le
contrôle, montez les systèmes de fichiers et effectuez d'autres tâches avant de
permettre aux utilisateurs de se connecter au système. |
|
Ajoutez des utilisateurs à votre
serveur LDAP à partir d'un environnement NIS. |
|
Ajoutez un hôte et ses zones
étiquetées au serveur LDAP. |
|
|
