JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Guide de configuration d’Oracle Solaris Trusted Extensions
search filter icon
search icon

Informations document

Préface

1.  Planification de la sécurité pour Trusted Extensions

2.  Déroulement de la configuration de Trusted Extensions

3.  Ajout du logiciel Trusted Extensions au SE Solaris (tâches)

4.  Configuration de Trusted Extensions (tâches)

Configuration de la zone globale dans Trusted Extensions

Vérification et installation du fichier de votre fichier label_encodings

Activation du réseau IPv6 dans Trusted Extensions

Configuration du domaine d'interprétation

Création d'un pool ZFS pour le clonage des zones

Redémarrage et connexion à Trusted Extensions

Initialisation du serveur Console de gestion Solaris dans Trusted Extensions

Établissement de la zone globale en tant que client LDAP dans Trusted Extensions

Création de zones étiquetées

Exécution du script txzonemgr

Configuration des interfaces réseau dans Trusted Extensions

Attribution de nom et étiquetage de la zone

Installation de la zone étiquetée

Démarrage de la zone étiquetée

Vérification de l'état de la zone

Personnalisation de la zone étiquetée

Copie ou clonage d'une zone dans Trusted Extensions

Ajout d'interfaces réseau et acheminement vers les zones étiquetées

Ajout d'une interface réseau pour acheminer une zone étiquetée existante

Ajout d'une interface réseau qui n'utilise pas la zone globale pour acheminer une zone étiquetée existante

Configuration d'un cache de service de noms dans chaque zone étiquetée

Création de rôles et d'utilisateurs dans Trusted Extensions

Création de profils de droits permettant d'appliquer la séparation des tâches

Création du rôle d'administrateur de sécurité dans Trusted Extensions

Création d'un rôle d'administrateur système limité

Création d'utilisateurs pouvant assumer des rôles dans Trusted Extensions

Vérification du fonctionnement des rôles Trusted Extensions

Autorisation des utilisateurs à se connecter à une zone étiquetée

Création de répertoires personnels dans Trusted Extensions

Création du serveur d'annuaires personnel dans Trusted Extensions

Activation de l'accès des utilisateurs à leurs répertoires personnels dans Trusted Extensions

Ajout d'utilisateurs et d'hôtes à un réseau Trusted Network existant

Ajout d'un utilisateur NIS au serveur LDAP

Dépannage de votre configuration Trusted Extensions

La commande netservices limited a été exécutée après l'activation de Trusted Extensions

Impossible d'ouvrir la fenêtre de console dans une zone étiquetée

La zone étiquetée ne peut accéder au serveur X

Tâches de configuration supplémentaires de Trusted Extensions

Copie de fichiers sur un support amovible dans Trusted Extensions

Copie de fichiers dans Trusted Extensions à partir d'un support amovible

Suppression de Trusted Extensions du système

5.  Configuration de LDAP pour Trusted Extensions (tâches)

6.  Configuration d'un écouteur avec Trusted Extensions (tâches)

A.  Stratégie de sécurité du site

B.  Utilisation d'actions CDE pour installer des zones dans Trusted Extensions

C.  Liste de contrôle de configuration pour Trusted Extensions

Glossaire

Index

Création de rôles et d'utilisateurs dans Trusted Extensions

Si vous utilisez déjà des rôles d'administration, vous pouvez être amené à ajouter un rôle d'administrateur de sécurité. Pour les sites qui n'ont pas encore mis en œuvre les rôles, leur procédure de création est semblable à la procédure dans le SE Solaris. Trusted Extensions ajoute le rôle d'administrateur de sécurité et requiert l'utilisation de la Console de gestion Solaris pour administrer un domaine Trusted Extensions.

Si la sécurité du site nécessite deux personnes pour créer les comptes d'utilisateur et de rôle, créez des profils de droits personnalisés et affectez-les à des rôles afin d'appliquer la séparation des tâches.

Tâche
Description
Voir
Création de trois profils de droits plus restrictifs que les profils par défaut.
Permet de créer des profils de droits pour gérer les utilisateurs. Ces profils sont plus restrictifs que les profils de gestion des utilisateurs par défaut.
Création d'un rôle d'administrateur de sécurité.
Permet de créer un rôle d'administrateur de sécurité qui gère les tâches relatives à la sécurité.
Création d'un administrateur système qui ne peut pas définir de mot de passe utilisateur.
Permet de créer un rôle d'administrateur système et de lui assigner un profil de droits d'administrateur système limité.
Création d'utilisateurs qui assumeront les rôles d'administration.
Permet de créer un ou plusieurs utilisateurs qui peuvent assumer des rôles.
Vérification de la capacité des rôles à exécuter leurs tâches.
Permet de tester les rôles dans divers scénarios.
Autorisation des utilisateurs à se connecter à une zone étiquetée.
Permet de démarrer le service zones afin que les utilisateurs standard puissent se connecter.

Création de profils de droits permettant d'appliquer la séparation des tâches

Ignorez cette procédure si la séparation des tâches n'est pas une exigence de sécurité du site. Si votre site requiert la séparation des tâches, vous devez créer ces profils de droits et rôles avant de remplir le serveur LDAP.

Cette procédure permet de créer des profils de droits disposant de capacités séparées pour la gestion des utilisateurs. Lorsque vous affectez ces profils à des rôles distincts, deux rôles sont nécessaires pour créer et configurer les utilisateurs. Un rôle peut créer des utilisateurs, mais ne peut pas leur affecter d'attributs de sécurité. L'autre rôle peut affecter les attributs de sécurité, mais ne peut pas créer d'utilisateurs. Lorsque vous vous connectez à la Console de gestion Solaris dans un rôle qui est affecté à l'un de ces profils, seuls les onglets et les champs pertinents sont disponibles pour le rôle.

Avant de commencer

Vous devez être connecté en tant que superutilisateur, dans le rôle root ou dans le rôle d'administrateur principal. Lorsque vous lancez cette procédure, la Console de gestion Solaris doit être fermée.

  1. Créez des copies des profils de droits par défaut qui ont une incidence sur la configuration des utilisateurs.
    1. Copiez le fichier prof_attr dans le fichier prof_attr.orig .
    2. Ouvrez le fichier prof_attr dans un éditeur de confiance.
      # /usr/dt/bin/trusted_edit /etc/security/prof_attr
    3. Copiez les trois profils de droits et renommez les copies.
      System Administrator:::Can perform most non-security...
      Custom System Administrator:::Can perform most non-security...
      
      User Security:::Manage passwords...
      Custom User Security:::Manage passwords...
      
      User Management:::Manage users, groups, home...
      Custom User Management:::Manage users, groups, home...
    4. Enregistrez les modifications.
    5. Vérifiez vos modifications.
      # grep ^Custom /etc/security/prof_attr
      Custom System Administrator:::Can perform most non-security...
      Custom User Management:::Manage users, groups, home...
      Custom User Security:::Manage passwords...

    En copiant un profil de droits plutôt qu'en le modifiant, vous pouvez mettre à niveau le système vers une version ultérieure de Solaris, tout en conservant vos modifications. Dans la mesure où ces profils de droits sont complexes, la modification d'une copie du profil par défaut est moins sujette à erreur que la création d'un profil plus restrictif à partir de zéro.

  2. Démarrez la Console de gestion Solaris.
    # /usr/sbin/smc &
  3. Sélectionnez la boîte à outils Cet ordinateur (this-host : Scope=Files, Policy=TSOL).
  4. Cliquez sur System Configuration (Configuration système), puis sur Users (Utilisateurs).

    Vous êtes invité à saisir votre mot de passe.

  5. Saisissez le mot de passe approprié.
  6. Double-cliquez sur Rights (Droits).
  7. Modifiez le profil de droits Custom User Security (Sécurité utilisateur personnalisée).

    Vous pouvez également empêcher ce profil de créer des utilisateurs.

    1. Double-cliquez sur Custom User Security (Sécurité utilisateur personnalisée).
    2. Cliquez sur l'onglet Authorizations (Autorisations), puis effectuez les opérations suivantes :
      1. Dans la liste Included (Inclus), supprimez l'autorisation Manage Users and Roles (Gérer les utilisateurs et les rôles).

        Les droits de comptes utilisateur (User Accounts) suivants sont conservés :

        Audit Controls
        Label and Clearance Range
        Change Password
        View Users and Roles
        Modify Extended Security Attributes
      2. Ajoutez le droit Manage Privileges (Gérer les privilèges) à la liste Included (Inclus).
    3. Cliquez sur OK pour enregistrer vos modifications.
  8. Modifiez le profil Custom User Management (Gestion des utilisateurs personnalisée).

    Vous pouvez empêcher ce profil de définir un mot de passe.

    1. Double-cliquez sur Custom User Management (Gestion des utilisateurs personnalisée).
    2. Cliquez sur l'onglet Authorizations (Autorisations), puis effectuez les opérations suivantes :
      1. Faites défiler la barre de la liste Included (Inclus) jusqu'à User Accounts (Comptes utilisateur).
      2. Dans la liste Included (Inclus), supprimez l'autorisation Modify Extended Security Attributes (Modifier les attributs de sécurité étendue).

        Les droits de comptes utilisateur (User Accounts) suivants sont conservés :

        Manage Users and Roles
        View Users and Roles
    3. Enregistrez vos modifications.
  9. Modifiez le profil de droits Custom System Administrator (Administrateur système personnalisé).

    Le profil User Management (Gérer les utilisateurs) est un profil supplémentaire inclus dans ce profil. Vous pouvez empêcher l'administrateur système de définir des mots de passe.

    1. Double-cliquez sur Custom System Administrator (Administrateur système personnalisé).
    2. Cliquez sur l'onglet Supplementary Rights (Droits supplémentaires), puis effectuez les opérations suivantes :
      1. Supprimez le profil de droits User Management (Gérer les utilisateurs).
      2. Ajoutez le profil de droits Custom User Management (Gestion utilisateur personnalisée).
      3. Déplacez le profil de droits Custom User Management (Gestion utilisateur personnalisée) au-dessus du profil de droits All (Tous).
    3. Enregistrez vos modifications.

Étapes suivantes

Pour éviter que les profils par défaut ne soient utilisés, reportez-vous à l'Étape 7 in Vérification du fonctionnement des rôles Trusted Extensions après avoir vérifié que les profils personnalisés appliquent la séparation des tâches.

Création du rôle d'administrateur de sécurité dans Trusted Extensions

La création de rôles dans Trusted Extensions est identique à création de rôles dans le SE Solaris. Toutefois, dans Trusted Extensions, un rôle d'administrateur de sécurité est obligatoire. Pour créer un rôle d'administrateur de sécurité local, vous pouvez également utiliser l'interface de ligne de commande, comme illustré dans l'Exemple 4-6.

Avant de commencer

Vous devez être connecté en tant que superutilisateur, dans le rôle root ou dans le rôle d'administrateur principal.

Pour créer le rôle sur le réseau, vous devez avoir exécuté les tâches de la section Configuration de la Console de gestion Solaris pour LDAP (liste des tâches).

  1. Démarrez la Console de gestion Solaris.
    # /usr/sbin/smc &
  2. Sélectionnez la boîte à outils appropriée.
    • Pour créer le rôle en local, utilisez Cet ordinateur (this-host : Scope=Files, Policy=TSOL).
    • Pour créer le rôle dans le service LDAP, utilisez Cet ordinateur (ldap-server : Scope=LDAP, Policy=TSOL).
  3. Cliquez sur System Configuration (Configuration système), puis sur Users (Utilisateurs).

    Vous êtes invité à saisir votre mot de passe.

  4. Saisissez le mot de passe approprié.
  5. Double-cliquez sur Administrative Roles (Rôles d'administration).
  6. Sélectionnez Add Administrative Role (Ajouter un rôle d'administration) dans le menu Action.
  7. Créez le rôle d'administrateur de sécurité.

    Inspirez-vous des informations suivantes, données à titre d'exemple :

    • Nom du rôle : secadmin

    • Nom complet : Security Administrator

    • Description : directeur de la sécurité du site Aucune information propriétaire ici.

    • Numéro d'ID du rôle : ≥100

    • Shell du rôle : Bourne de l'administrateur (shell de profil)

    • Créer une liste de diffusion du rôle : laissez la case à cocher sélectionnée.

    • Mot de passe et validation : attribuez un mot de passe d'au moins 6 caractères alphanumériques.

      Le mot de passe pour le rôle d'administrateur de sécurité, de même que tous les autres mots de passe, doit être difficile à deviner, afin de réduire les risques d'accès non autorisé par un tiers qui tenterait de deviner les mots de passe.


      Remarque - Pour tous les rôles d'administration, appliquez l'état Always Available (Toujours disponible) au compte et ne définissez pas de dates d'expiration des mots de passe.


    • Droits disponibles et accordés : Information Security (Sécurité des informations), User Security (Sécurité de l'utilisateur)

      • Si la sécurité du site ne requiert pas de séparation des tâches, sélectionnez les profils de droits Information Security (Sécurité des informations) et User Security (Sécurité de l'utilisateur) par défaut.

      • Si la sécurité du site nécessite la séparation des tâches, sélectionnez les profils de droits Information Security (Sécurité des informations) et Custom User Security (Sécurité de l'utilisateur personnalisée).

    • Serveur d'annuaires personnel : home-directory-server

    • Chemin du répertoire personnel : /mount-path

    • Affecter des utilisateurs : ce champ est automatiquement rempli lorsque vous affectez un rôle à un utilisateur.

  8. Après avoir créé le rôle, vérifiez que les paramètres sont corrects.

    Sélectionnez le rôle, puis double-cliquez dessus.

    Passez en revue les valeurs des champs suivants :

    • Groupes disponibles : ajoutez des groupes si nécessaire.

    • Attributs Trusted Extensions : les valeurs par défaut sont correctes.

      Pour un système à une seule étiquette dans lequel les étiquettes ne doivent pas être visibles, choisissez l'option Hide (Masquer) sous Label: Show or Hide (Étiquette : afficher ou masquer).

    • Contrôles exclus et inclus : définissez des indicateurs de contrôle uniquement si les indicateurs de contrôle du rôle sont des exceptions par rapport aux paramètres système dans le fichier audit_control.

  9. Pour créer d'autres rôles, procédez de la même manière que pour la création du rôle d'administrateur de sécurité.

    Pour obtenir des exemples, reportez-vous à la section How to Create and Assign a Role by Using the GUI du System Administration Guide: Security Services. Donnez à chaque rôle un ID unique, et affectez au rôle le profil de droits approprié. Les rôles suivants sont possibles :

    • Rôle admin : droits de System Administrator (Administrateur système) accordés

    • Rôle primaryadmin : droits de Primary Administrator (Administrateur principal) accordés

    • Rôle oper : droits d'Operator (opérateur) accordés

Exemple 4-6 Utilisation de la commande roleadd pour créer un rôle d'administrateur de sécurité local

Dans cet exemple, l'utilisateur root ajoute le rôle d'administrateur de sécurité sur le système local à l'aide de la commande roleadd. Pour plus d'informations, reportez-vous à la page de manuel roleadd(1M). L'utilisateur root peut consulter le Tableau 1-2 avant de créer le rôle. Sur ce site, la séparation des tâches n'est pas nécessaire pour créer un utilisateur.

# roleadd -c "Local Security Administrator" -d /export/home1 \
-u 110 -P "Information Security,User Security" -K lock_after_retries=no \
-K idletime=5 -K idlecmd=lock -K labelview=showsl \
-K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin

L'utilisateur root fournit un mot de passe initial pour le rôle.

# passwd -r files secadmin
New Password:        <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for secadmin
#

Pour connaître la procédure d'affectation du rôle à un utilisateur local, reportez-vous à l'Exemple 4-7.

Création d'un rôle d'administrateur système limité

Ignorez cette procédure si la séparation des tâches n'est pas une exigence de sécurité du site.

Dans cette procédure, vous attribuez un profil de droits plus limité au rôle d'administrateur système.

Avant de commencer

Vous devez être connecté en tant que superutilisateur, dans le rôle root ou dans le rôle d'administrateur principal.

Vous avez terminé les tâches de la section Création de profils de droits permettant d'appliquer la séparation des tâches. Vous utilisez la même boîte à outils que pour la création du profil de droits.

  1. Dans la Console de gestion Solaris, créez le rôle d'administrateur système.

    Pour obtenir de l'aide, reportez-vous à la section Création du rôle d'administrateur de sécurité dans Trusted Extensions.

  2. Affectez le profil de droits Custom System Administrator (Administrateur système personnalisé) au rôle.
  3. Enregistrez les modifications.
  4. Fermez la Console de gestion Solaris.

Création d'utilisateurs pouvant assumer des rôles dans Trusted Extensions

Pour créer un utilisateur local, vous pouvez utiliser l'interface de ligne de commande, comme décrit dans l'Exemple 4-7, au lieu de la procédure suivante. Si la stratégie de sécurité du site le permet, vous pouvez choisir de créer un utilisateur pouvant assumer plusieurs rôles d'administration.

Pour sécuriser la création des utilisateurs, le rôle d'administrateur système crée les utilisateurs et le rôle d'administrateur de sécurité affecte les attributs relatifs à la sécurité tels que les mots de passe.

Avant de commencer

Vous devez être connecté en tant que superutilisateur, dans le rôle root, dans le rôle d'administrateur de sécurité ou dans le rôle d'administrateur principal. Le rôle d'administrateur de sécurité dispose du minimum de privilèges requis pour la création d'utilisateurs.

La Console de gestion Solaris s'affiche. Pour en savoir plus, reportez-vous à la section Création du rôle d'administrateur de sécurité dans Trusted Extensions.

  1. Dans la Console de gestion Solaris, double-cliquez sur User Accounts (Comptes utilisateurs).
  2. Dans le menu Action, choisissez Add User -> User Wizard (Ajouter un utilisateur -> Assistant utilisateur).

    Attention

    Attention - Les noms et les ID des utilisateurs et des rôles proviennent du même pool. N'utilisez pas de noms ou d'ID existants pour les utilisateurs que vous ajoutez.


  3. Suivez l'aide en ligne.

    Vous pouvez également suivre les procédures décrites à la section How to Add a User With the Solaris Management Console’s Users Tool du System Administration Guide: Basic Administration.

  4. Après avoir créé l'utilisateur, double-cliquez sur l'utilisateur créé pour modifier les paramètres.

    Remarque - Pour les utilisateurs qui peuvent assumer plusieurs rôles, définissez l'état du compte utilisateur sur Always Available (Toujours disponible) et ne définissez pas de dates d'expiration des mots de passe.


    Assurez-vous que les champs suivants sont correctement définis :

    • Description : aucune information propriétaire ici.

    • Mot de passe et validation : attribuez un mot de passe d'au moins 6 caractères alphanumériques.


      Remarque - Lorsque l'équipe de configuration initiale choisit un mot de passe, elle doit faire en sorte qu'il soit difficile à deviner, afin de réduire les risques d'accès non autorisé par un tiers qui tenterait de deviner les mots de passe.


    • Disponibilité du compte : Always Available (Toujours disponible).

    • Attributs Trusted Extensions : les valeurs par défaut sont correctes.

      Pour un système à une seule étiquette dans lequel les étiquettes ne doivent pas être visibles, choisissez l'option Hide (Masquer) sous Label: Show or Hide (Étiquette : afficher ou masquer).

    • Utilisation du compte : définissez le temps d'inactivité et l'action d'inactivité (Idle).

      Verrouillage du compte : sélectionnez No (Non) pour tout utilisateur qui peut assumer un rôle.

  5. Fermez la Console de gestion Solaris.
  6. Personnalisez l'environnement de l'utilisateur.
    1. Attribuez les autorisations appropriées.

      Après avoir revu la stratégie de sécurité de votre site, vous pouvez décider d'accorder à vos premiers utilisateurs le profil Convenient Authorization (Autorisations appropriées). Avec ce profil, vous pouvez autoriser les utilisateurs à allouer des périphériques, imprimer des fichiers PostScript, imprimer sans étiquette, se connecter à distance et arrêter le système. Pour créer le profil, reportez-vous à la section Procédure de création d’un profil de droits pour des autorisations commodes du Procédures de l’administrateur Oracle Solaris Trusted Extensions.

    2. Personnalisez les fichiers d'initialisation utilisateur.

      Reportez-vous au Chapitre 7, Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches) du Procédures de l’administrateur Oracle Solaris Trusted Extensions.

      Reportez-vous également à la section Gestion des utilisateurs et des droits à l’aide de la Console de gestion Solaris (liste des tâches) du Procédures de l’administrateur Oracle Solaris Trusted Extensions.

    3. Créez des fichiers de copie et de lien multiétiquettes.

      Sur un système multiétiquettes, les utilisateurs et les rôles peuvent être configurés avec des fichiers qui répertorient les fichiers d'initialisation utilisateur à copier ou lier à d'autres étiquettes. Pour plus d'informations, reportez-vous à la section Fichiers .copy_files et .link_files du Procédures de l’administrateur Oracle Solaris Trusted Extensions.

Exemple 4-7 Utilisation de la commande useradd pour créer un utilisateur local

Dans cet exemple, l'utilisateur root crée un utilisateur local pouvant assumer le rôle d'administrateur de sécurité. Pour en savoir plus, reportez-vous aux pages de manuel useradd(1M) et atohexlabel(1M).

D'abord, l'utilisateur root détermine le format hexadécimal de l'étiquette minimale et de l'étiquette d'autorisation de l'utilisateur.

# atohexlabel public
0x0002-08-08
# atohexlabel -c "confidential restricted"
0x0004-08-78

Ensuite, l'utilisateur root doit consulter le Tableau 1-2, puis créer l'utilisateur.

# useradd -c "Local user for Security Admin" -d /export/home1 \
-K idletime=10 -K idlecmd=logout -K lock_after_retries=no
-K min_label=0x0002-08-08 -K clearance=0x0004-08-78 -K labelview=showsl jandoe

L'utilisateur root fournit alors un mot de passe initial.

# passwd -r files jandoe
New Password:    <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for jandoe
#

Enfin, l'utilisateur root ajoute le rôle d'administrateur de sécurité à la définition de l'utilisateur. Le rôle a été créé à la section Création du rôle d'administrateur de sécurité dans Trusted Extensions.

# usermod -R secadmin jandoe

Vérification du fonctionnement des rôles Trusted Extensions

Pour vérifier chaque rôle, assumez le rôle correspondant. Effectuez ensuite des tâches que seul ce rôle peut exécuter.

Avant de commencer

Si vous avez configuré DNS ou le routage, vous devez redémarrer l'ordinateur après avoir créé les rôles et avant de pouvoir vérifier leur fonctionnement.

  1. Pour chaque rôle, connectez-vous en tant qu'utilisateur qui peut assumer le rôle.
  2. Ouvrez le menu Trusted Path (Chemin de confiance).
    • Dans Trusted CDE, cliquez sur la zone de sélection d'espace de travail.
      image:L'illustration montre le menu Trusted Path (Chemin de confiance) dans CDE.

      Assumez le rôle à partir du menu.

    • Dans Trusted JDS, cliquez sur votre nom d'utilisateur dans la bande de confiance.

      Dans la bande de confiance ci-après, le nom d'utilisateur est tester.


      image:L'illustration montre la bande de confiance avec le nom d'utilisateur, tester.

      À partir de la liste des rôles qui vous sont affectés, sélectionnez un rôle.

  3. Dans l'espace de travail du rôle, lancez la Console de gestion Solaris.
    $ /usr/sbin/smc &
  4. Sélectionnez l'étendue appropriée pour le rôle que vous testez.
  5. Cliquez sur System Services (Services système) et accédez aux utilisateurs (Users).

    Vous êtes invité à saisir un mot de passe.

    1. Saisissez le mot de passe du rôle.
    2. Double-cliquez sur User Accounts (Comptes utilisateur).
  6. Cliquez sur un utilisateur.
    • Le rôle d'administrateur système doit être en mesure de modifier les champs situés sous les onglets General (Général), Home Directory (Répertoire personnel) et Group (Groupe).

      Si vous avez configuré les rôles afin d'appliquer la séparation des tâches, le rôle d'administrateur système ne peut pas définir le mot de passe initial de l'utilisateur.

    • Le rôle d'administrateur de sécurité doit pouvoir modifier les champs sous tous les onglets.

      Si vous avez configuré les rôles afin d'appliquer la séparation des tâches, le rôle d'administrateur de sécurité ne peut pas créer d'utilisateur.

    • Le rôle d'administrateur principal doit pouvoir modifier des champs sous tous les onglets.

  7. (Facultatif) Si vous appliquez la séparation des tâches, empêchez l'utilisation des profils de droits par défaut.

    Remarque - Lorsque le système est mis à niveau vers une version plus récente du SE Solaris, les profils System Administrator (Administrateur système), User Management (Gestion des utilisateurs) et User Security (Sécurité utilisateur) par défaut sont remplacés.


    Dans l'éditeur de confiance, effectuez l'une des étapes suivantes :

    • Supprimez les trois profils de droits du fichier prof_attr.

      La suppression permet d'empêcher un administrateur d'afficher ou d'attribuer ces profils. Supprimez également le fichier prof_attr.orig.

    • Commentez les trois profils de droits dans le fichier prof_attr.

      Le fait de commenter les profils de droits empêche ces profils d'être affichés dans la Console de gestion Solaris ou d'être utilisés dans les commandes de gestion des utilisateurs. Les profils et leur contenu peuvent tout de même être consultés dans le fichier prof_attr.

    • Saisissez une description différente pour les trois profils de droits dans le fichier prof_attr.

      Modifiez le fichier prof_attr pour modifier le champ de description de ces profils de droits. Vous pouvez par exemple remplacer les descriptions par Do not use this profile. Cette modification indique à l'administrateur de ne pas utiliser le profil, mais n'empêche pas le profil d'être utilisé.

Autorisation des utilisateurs à se connecter à une zone étiquetée

Lorsque l'hôte est redémarré, l'association entre les périphériques et le stockage sous-jacent doit être rétablie.

Avant de commencer

Vous avez créé au moins une zone étiquetée. Cette zone n'est pas utilisée pour le clonage.

  1. Redémarrez le système.
  2. Connectez-vous en tant qu'utilisateur root.
  3. Redémarrez le service de zone.
    # svcs zones
    STATE          STIME    FMRI
    offline        -        svc:/system/zones:default
    # svcadm restart svc:/system/zones:default
  4. Déconnectez-vous.

    Les utilisateurs standard peuvent désormais se connecter. Leur session se trouve dans une zone étiquetée.