Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide de configuration d’Oracle Solaris Trusted Extensions |
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout du logiciel Trusted Extensions au SE Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
Configuration de la zone globale dans Trusted Extensions
Vérification et installation du fichier de votre fichier label_encodings
Activation du réseau IPv6 dans Trusted Extensions
Configuration du domaine d'interprétation
Création d'un pool ZFS pour le clonage des zones
Redémarrage et connexion à Trusted Extensions
Initialisation du serveur Console de gestion Solaris dans Trusted Extensions
Établissement de la zone globale en tant que client LDAP dans Trusted Extensions
Configuration des interfaces réseau dans Trusted Extensions
Attribution de nom et étiquetage de la zone
Installation de la zone étiquetée
Démarrage de la zone étiquetée
Vérification de l'état de la zone
Personnalisation de la zone étiquetée
Copie ou clonage d'une zone dans Trusted Extensions
Ajout d'interfaces réseau et acheminement vers les zones étiquetées
Ajout d'une interface réseau pour acheminer une zone étiquetée existante
Configuration d'un cache de service de noms dans chaque zone étiquetée
Création de rôles et d'utilisateurs dans Trusted Extensions
Création de profils de droits permettant d'appliquer la séparation des tâches
Création du rôle d'administrateur de sécurité dans Trusted Extensions
Création d'un rôle d'administrateur système limité
Création d'utilisateurs pouvant assumer des rôles dans Trusted Extensions
Vérification du fonctionnement des rôles Trusted Extensions
Autorisation des utilisateurs à se connecter à une zone étiquetée
Création de répertoires personnels dans Trusted Extensions
Création du serveur d'annuaires personnel dans Trusted Extensions
Activation de l'accès des utilisateurs à leurs répertoires personnels dans Trusted Extensions
Ajout d'utilisateurs et d'hôtes à un réseau Trusted Network existant
Ajout d'un utilisateur NIS au serveur LDAP
Dépannage de votre configuration Trusted Extensions
La commande netservices limited a été exécutée après l'activation de Trusted Extensions
Impossible d'ouvrir la fenêtre de console dans une zone étiquetée
La zone étiquetée ne peut accéder au serveur X
Tâches de configuration supplémentaires de Trusted Extensions
Copie de fichiers sur un support amovible dans Trusted Extensions
Copie de fichiers dans Trusted Extensions à partir d'un support amovible
Suppression de Trusted Extensions du système
5. Configuration de LDAP pour Trusted Extensions (tâches)
6. Configuration d'un écouteur avec Trusted Extensions (tâches)
A. Stratégie de sécurité du site
B. Utilisation d'actions CDE pour installer des zones dans Trusted Extensions
C. Liste de contrôle de configuration pour Trusted Extensions
Si vous utilisez déjà des rôles d'administration, vous pouvez être amené à ajouter un rôle d'administrateur de sécurité. Pour les sites qui n'ont pas encore mis en œuvre les rôles, leur procédure de création est semblable à la procédure dans le SE Solaris. Trusted Extensions ajoute le rôle d'administrateur de sécurité et requiert l'utilisation de la Console de gestion Solaris pour administrer un domaine Trusted Extensions.
Si la sécurité du site nécessite deux personnes pour créer les comptes d'utilisateur et de rôle, créez des profils de droits personnalisés et affectez-les à des rôles afin d'appliquer la séparation des tâches.
|
Ignorez cette procédure si la séparation des tâches n'est pas une exigence de sécurité du site. Si votre site requiert la séparation des tâches, vous devez créer ces profils de droits et rôles avant de remplir le serveur LDAP.
Cette procédure permet de créer des profils de droits disposant de capacités séparées pour la gestion des utilisateurs. Lorsque vous affectez ces profils à des rôles distincts, deux rôles sont nécessaires pour créer et configurer les utilisateurs. Un rôle peut créer des utilisateurs, mais ne peut pas leur affecter d'attributs de sécurité. L'autre rôle peut affecter les attributs de sécurité, mais ne peut pas créer d'utilisateurs. Lorsque vous vous connectez à la Console de gestion Solaris dans un rôle qui est affecté à l'un de ces profils, seuls les onglets et les champs pertinents sont disponibles pour le rôle.
Avant de commencer
Vous devez être connecté en tant que superutilisateur, dans le rôle root ou dans le rôle d'administrateur principal. Lorsque vous lancez cette procédure, la Console de gestion Solaris doit être fermée.
# /usr/dt/bin/trusted_edit /etc/security/prof_attr
System Administrator:::Can perform most non-security... Custom System Administrator:::Can perform most non-security... User Security:::Manage passwords... Custom User Security:::Manage passwords... User Management:::Manage users, groups, home... Custom User Management:::Manage users, groups, home...
# grep ^Custom /etc/security/prof_attr Custom System Administrator:::Can perform most non-security... Custom User Management:::Manage users, groups, home... Custom User Security:::Manage passwords...
En copiant un profil de droits plutôt qu'en le modifiant, vous pouvez mettre à niveau le système vers une version ultérieure de Solaris, tout en conservant vos modifications. Dans la mesure où ces profils de droits sont complexes, la modification d'une copie du profil par défaut est moins sujette à erreur que la création d'un profil plus restrictif à partir de zéro.
# /usr/sbin/smc &
Vous êtes invité à saisir votre mot de passe.
Vous pouvez également empêcher ce profil de créer des utilisateurs.
Les droits de comptes utilisateur (User Accounts) suivants sont conservés :
Audit Controls Label and Clearance Range Change Password View Users and Roles Modify Extended Security Attributes
Vous pouvez empêcher ce profil de définir un mot de passe.
Les droits de comptes utilisateur (User Accounts) suivants sont conservés :
Manage Users and Roles View Users and Roles
Le profil User Management (Gérer les utilisateurs) est un profil supplémentaire inclus dans ce profil. Vous pouvez empêcher l'administrateur système de définir des mots de passe.
Étapes suivantes
Pour éviter que les profils par défaut ne soient utilisés, reportez-vous à l'Étape 7 in Vérification du fonctionnement des rôles Trusted Extensions après avoir vérifié que les profils personnalisés appliquent la séparation des tâches.
La création de rôles dans Trusted Extensions est identique à création de rôles dans le SE Solaris. Toutefois, dans Trusted Extensions, un rôle d'administrateur de sécurité est obligatoire. Pour créer un rôle d'administrateur de sécurité local, vous pouvez également utiliser l'interface de ligne de commande, comme illustré dans l'Exemple 4-6.
Avant de commencer
Vous devez être connecté en tant que superutilisateur, dans le rôle root ou dans le rôle d'administrateur principal.
Pour créer le rôle sur le réseau, vous devez avoir exécuté les tâches de la section Configuration de la Console de gestion Solaris pour LDAP (liste des tâches).
# /usr/sbin/smc &
Vous êtes invité à saisir votre mot de passe.
Inspirez-vous des informations suivantes, données à titre d'exemple :
Nom du rôle : secadmin
Nom complet : Security Administrator
Description : directeur de la sécurité du site Aucune information propriétaire ici.
Numéro d'ID du rôle : ≥100
Shell du rôle : Bourne de l'administrateur (shell de profil)
Créer une liste de diffusion du rôle : laissez la case à cocher sélectionnée.
Mot de passe et validation : attribuez un mot de passe d'au moins 6 caractères alphanumériques.
Le mot de passe pour le rôle d'administrateur de sécurité, de même que tous les autres mots de passe, doit être difficile à deviner, afin de réduire les risques d'accès non autorisé par un tiers qui tenterait de deviner les mots de passe.
Remarque - Pour tous les rôles d'administration, appliquez l'état Always Available (Toujours disponible) au compte et ne définissez pas de dates d'expiration des mots de passe.
Droits disponibles et accordés : Information Security (Sécurité des informations), User Security (Sécurité de l'utilisateur)
Si la sécurité du site ne requiert pas de séparation des tâches, sélectionnez les profils de droits Information Security (Sécurité des informations) et User Security (Sécurité de l'utilisateur) par défaut.
Si la sécurité du site nécessite la séparation des tâches, sélectionnez les profils de droits Information Security (Sécurité des informations) et Custom User Security (Sécurité de l'utilisateur personnalisée).
Serveur d'annuaires personnel : home-directory-server
Chemin du répertoire personnel : /mount-path
Affecter des utilisateurs : ce champ est automatiquement rempli lorsque vous affectez un rôle à un utilisateur.
Sélectionnez le rôle, puis double-cliquez dessus.
Passez en revue les valeurs des champs suivants :
Groupes disponibles : ajoutez des groupes si nécessaire.
Attributs Trusted Extensions : les valeurs par défaut sont correctes.
Pour un système à une seule étiquette dans lequel les étiquettes ne doivent pas être visibles, choisissez l'option Hide (Masquer) sous Label: Show or Hide (Étiquette : afficher ou masquer).
Contrôles exclus et inclus : définissez des indicateurs de contrôle uniquement si les indicateurs de contrôle du rôle sont des exceptions par rapport aux paramètres système dans le fichier audit_control.
Pour obtenir des exemples, reportez-vous à la section How to Create and Assign a Role by Using the GUI du System Administration Guide: Security Services. Donnez à chaque rôle un ID unique, et affectez au rôle le profil de droits approprié. Les rôles suivants sont possibles :
Rôle admin : droits de System Administrator (Administrateur système) accordés
Rôle primaryadmin : droits de Primary Administrator (Administrateur principal) accordés
Rôle oper : droits d'Operator (opérateur) accordés
Exemple 4-6 Utilisation de la commande roleadd pour créer un rôle d'administrateur de sécurité local
Dans cet exemple, l'utilisateur root ajoute le rôle d'administrateur de sécurité sur le système local à l'aide de la commande roleadd. Pour plus d'informations, reportez-vous à la page de manuel roleadd(1M). L'utilisateur root peut consulter le Tableau 1-2 avant de créer le rôle. Sur ce site, la séparation des tâches n'est pas nécessaire pour créer un utilisateur.
# roleadd -c "Local Security Administrator" -d /export/home1 \ -u 110 -P "Information Security,User Security" -K lock_after_retries=no \ -K idletime=5 -K idlecmd=lock -K labelview=showsl \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin
L'utilisateur root fournit un mot de passe initial pour le rôle.
# passwd -r files secadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for secadmin #
Pour connaître la procédure d'affectation du rôle à un utilisateur local, reportez-vous à l'Exemple 4-7.
Ignorez cette procédure si la séparation des tâches n'est pas une exigence de sécurité du site.
Dans cette procédure, vous attribuez un profil de droits plus limité au rôle d'administrateur système.
Avant de commencer
Vous devez être connecté en tant que superutilisateur, dans le rôle root ou dans le rôle d'administrateur principal.
Vous avez terminé les tâches de la section Création de profils de droits permettant d'appliquer la séparation des tâches. Vous utilisez la même boîte à outils que pour la création du profil de droits.
Pour obtenir de l'aide, reportez-vous à la section Création du rôle d'administrateur de sécurité dans Trusted Extensions.
Pour créer un utilisateur local, vous pouvez utiliser l'interface de ligne de commande, comme décrit dans l'Exemple 4-7, au lieu de la procédure suivante. Si la stratégie de sécurité du site le permet, vous pouvez choisir de créer un utilisateur pouvant assumer plusieurs rôles d'administration.
Pour sécuriser la création des utilisateurs, le rôle d'administrateur système crée les utilisateurs et le rôle d'administrateur de sécurité affecte les attributs relatifs à la sécurité tels que les mots de passe.
Avant de commencer
Vous devez être connecté en tant que superutilisateur, dans le rôle root, dans le rôle d'administrateur de sécurité ou dans le rôle d'administrateur principal. Le rôle d'administrateur de sécurité dispose du minimum de privilèges requis pour la création d'utilisateurs.
La Console de gestion Solaris s'affiche. Pour en savoir plus, reportez-vous à la section Création du rôle d'administrateur de sécurité dans Trusted Extensions.
Attention - Les noms et les ID des utilisateurs et des rôles proviennent du même pool. N'utilisez pas de noms ou d'ID existants pour les utilisateurs que vous ajoutez. |
Vous pouvez également suivre les procédures décrites à la section How to Add a User With the Solaris Management Console’s Users Tool du System Administration Guide: Basic Administration.
Remarque - Pour les utilisateurs qui peuvent assumer plusieurs rôles, définissez l'état du compte utilisateur sur Always Available (Toujours disponible) et ne définissez pas de dates d'expiration des mots de passe.
Assurez-vous que les champs suivants sont correctement définis :
Description : aucune information propriétaire ici.
Mot de passe et validation : attribuez un mot de passe d'au moins 6 caractères alphanumériques.
Remarque - Lorsque l'équipe de configuration initiale choisit un mot de passe, elle doit faire en sorte qu'il soit difficile à deviner, afin de réduire les risques d'accès non autorisé par un tiers qui tenterait de deviner les mots de passe.
Disponibilité du compte : Always Available (Toujours disponible).
Attributs Trusted Extensions : les valeurs par défaut sont correctes.
Pour un système à une seule étiquette dans lequel les étiquettes ne doivent pas être visibles, choisissez l'option Hide (Masquer) sous Label: Show or Hide (Étiquette : afficher ou masquer).
Utilisation du compte : définissez le temps d'inactivité et l'action d'inactivité (Idle).
Verrouillage du compte : sélectionnez No (Non) pour tout utilisateur qui peut assumer un rôle.
Après avoir revu la stratégie de sécurité de votre site, vous pouvez décider d'accorder à vos premiers utilisateurs le profil Convenient Authorization (Autorisations appropriées). Avec ce profil, vous pouvez autoriser les utilisateurs à allouer des périphériques, imprimer des fichiers PostScript, imprimer sans étiquette, se connecter à distance et arrêter le système. Pour créer le profil, reportez-vous à la section Procédure de création d’un profil de droits pour des autorisations commodes du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
Reportez-vous au Chapitre 7, Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches) du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
Reportez-vous également à la section Gestion des utilisateurs et des droits à l’aide de la Console de gestion Solaris (liste des tâches) du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
Sur un système multiétiquettes, les utilisateurs et les rôles peuvent être configurés avec des fichiers qui répertorient les fichiers d'initialisation utilisateur à copier ou lier à d'autres étiquettes. Pour plus d'informations, reportez-vous à la section Fichiers .copy_files et .link_files du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
Exemple 4-7 Utilisation de la commande useradd pour créer un utilisateur local
Dans cet exemple, l'utilisateur root crée un utilisateur local pouvant assumer le rôle d'administrateur de sécurité. Pour en savoir plus, reportez-vous aux pages de manuel useradd(1M) et atohexlabel(1M).
D'abord, l'utilisateur root détermine le format hexadécimal de l'étiquette minimale et de l'étiquette d'autorisation de l'utilisateur.
# atohexlabel public 0x0002-08-08 # atohexlabel -c "confidential restricted" 0x0004-08-78
Ensuite, l'utilisateur root doit consulter le Tableau 1-2, puis créer l'utilisateur.
# useradd -c "Local user for Security Admin" -d /export/home1 \ -K idletime=10 -K idlecmd=logout -K lock_after_retries=no -K min_label=0x0002-08-08 -K clearance=0x0004-08-78 -K labelview=showsl jandoe
L'utilisateur root fournit alors un mot de passe initial.
# passwd -r files jandoe New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for jandoe #
Enfin, l'utilisateur root ajoute le rôle d'administrateur de sécurité à la définition de l'utilisateur. Le rôle a été créé à la section Création du rôle d'administrateur de sécurité dans Trusted Extensions.
# usermod -R secadmin jandoe
Pour vérifier chaque rôle, assumez le rôle correspondant. Effectuez ensuite des tâches que seul ce rôle peut exécuter.
Avant de commencer
Si vous avez configuré DNS ou le routage, vous devez redémarrer l'ordinateur après avoir créé les rôles et avant de pouvoir vérifier leur fonctionnement.
Assumez le rôle à partir du menu.
Dans la bande de confiance ci-après, le nom d'utilisateur est tester.
À partir de la liste des rôles qui vous sont affectés, sélectionnez un rôle.
$ /usr/sbin/smc &
Vous êtes invité à saisir un mot de passe.
Le rôle d'administrateur système doit être en mesure de modifier les champs situés sous les onglets General (Général), Home Directory (Répertoire personnel) et Group (Groupe).
Si vous avez configuré les rôles afin d'appliquer la séparation des tâches, le rôle d'administrateur système ne peut pas définir le mot de passe initial de l'utilisateur.
Le rôle d'administrateur de sécurité doit pouvoir modifier les champs sous tous les onglets.
Si vous avez configuré les rôles afin d'appliquer la séparation des tâches, le rôle d'administrateur de sécurité ne peut pas créer d'utilisateur.
Le rôle d'administrateur principal doit pouvoir modifier des champs sous tous les onglets.
Remarque - Lorsque le système est mis à niveau vers une version plus récente du SE Solaris, les profils System Administrator (Administrateur système), User Management (Gestion des utilisateurs) et User Security (Sécurité utilisateur) par défaut sont remplacés.
Dans l'éditeur de confiance, effectuez l'une des étapes suivantes :
La suppression permet d'empêcher un administrateur d'afficher ou d'attribuer ces profils. Supprimez également le fichier prof_attr.orig.
Le fait de commenter les profils de droits empêche ces profils d'être affichés dans la Console de gestion Solaris ou d'être utilisés dans les commandes de gestion des utilisateurs. Les profils et leur contenu peuvent tout de même être consultés dans le fichier prof_attr.
Modifiez le fichier prof_attr pour modifier le champ de description de ces profils de droits. Vous pouvez par exemple remplacer les descriptions par Do not use this profile. Cette modification indique à l'administrateur de ne pas utiliser le profil, mais n'empêche pas le profil d'être utilisé.
Lorsque l'hôte est redémarré, l'association entre les périphériques et le stockage sous-jacent doit être rétablie.
Avant de commencer
Vous avez créé au moins une zone étiquetée. Cette zone n'est pas utilisée pour le clonage.
# svcs zones STATE STIME FMRI offline - svc:/system/zones:default
# svcadm restart svc:/system/zones:default
Les utilisateurs standard peuvent désormais se connecter. Leur session se trouve dans une zone étiquetée.