Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide de configuration d’Oracle Solaris Trusted Extensions |
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout du logiciel Trusted Extensions au SE Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
Configuration de la zone globale dans Trusted Extensions
Vérification et installation du fichier de votre fichier label_encodings
Activation du réseau IPv6 dans Trusted Extensions
Configuration du domaine d'interprétation
Création d'un pool ZFS pour le clonage des zones
Redémarrage et connexion à Trusted Extensions
Initialisation du serveur Console de gestion Solaris dans Trusted Extensions
Établissement de la zone globale en tant que client LDAP dans Trusted Extensions
Configuration des interfaces réseau dans Trusted Extensions
Attribution de nom et étiquetage de la zone
Installation de la zone étiquetée
Démarrage de la zone étiquetée
Vérification de l'état de la zone
Personnalisation de la zone étiquetée
Copie ou clonage d'une zone dans Trusted Extensions
Ajout d'interfaces réseau et acheminement vers les zones étiquetées
Ajout d'une interface réseau pour acheminer une zone étiquetée existante
Configuration d'un cache de service de noms dans chaque zone étiquetée
Création de rôles et d'utilisateurs dans Trusted Extensions
Création de profils de droits permettant d'appliquer la séparation des tâches
Création du rôle d'administrateur de sécurité dans Trusted Extensions
Création d'un rôle d'administrateur système limité
Création d'utilisateurs pouvant assumer des rôles dans Trusted Extensions
Vérification du fonctionnement des rôles Trusted Extensions
Autorisation des utilisateurs à se connecter à une zone étiquetée
Création de répertoires personnels dans Trusted Extensions
Création du serveur d'annuaires personnel dans Trusted Extensions
Activation de l'accès des utilisateurs à leurs répertoires personnels dans Trusted Extensions
Ajout d'utilisateurs et d'hôtes à un réseau Trusted Network existant
Ajout d'un utilisateur NIS au serveur LDAP
Dépannage de votre configuration Trusted Extensions
La commande netservices limited a été exécutée après l'activation de Trusted Extensions
Impossible d'ouvrir la fenêtre de console dans une zone étiquetée
La zone étiquetée ne peut accéder au serveur X
Tâches de configuration supplémentaires de Trusted Extensions
Copie de fichiers sur un support amovible dans Trusted Extensions
Copie de fichiers dans Trusted Extensions à partir d'un support amovible
5. Configuration de LDAP pour Trusted Extensions (tâches)
6. Configuration d'un écouteur avec Trusted Extensions (tâches)
A. Stratégie de sécurité du site
B. Utilisation d'actions CDE pour installer des zones dans Trusted Extensions
C. Liste de contrôle de configuration pour Trusted Extensions
Les deux tâches suivantes permettent de transférer une copie exacte des fichiers de configuration sur chaque système Trusted Extensions de votre site. La dernière tâche permet de supprimer les personnalisations de Trusted Extensions d'un système Solaris.
Lors de la copie sur un support amovible, étiquetez le support avec l'étiquette de sensibilité des informations.
Remarque - Au cours de la configuration de Trusted Extensions, le superutilisateur ou un rôle équivalent copie les fichiers d'administration depuis et vers un support amovible. Étiquetez le support avec Trusted Path.
Avant de commencer
Pour copier les fichiers d'administration, vous devez être connecté en tant que superutilisateur ou assumer un rôle dans la zone globale.
Utilisez le gestionnaire d'allocation de périphériques (Device Allocation Manager) et insérez un support vierge. Pour plus d'informations, reportez-vous à la section Procédure d’allocation d’un périphérique dans Trusted Extensions du Guide de l’utilisateur Oracle Solaris Trusted Extensions.
Dans Solaris Trusted Extensions (CDE), un gestionnaire de fichiers (File Manager) affiche le contenu du support amovible.
Dans Solaris Trusted Extensions (JDS), un navigateur de fichiers (File Browser) affiche le contenu.
Dans le cadre de cette procédure, le terme navigateur de fichiers est utilisé pour faire référence à cette interface graphique.
Par exemple, vous avez peut-être copié les fichiers dans un dossier /export/clientfiles.
Pour plus d'informations, reportez-vous à la section Procédure de libération d’un périphérique dans Trusted Extensions du Guide de l’utilisateur Oracle Solaris Trusted Extensions.
Remarque - N'oubliez pas de placer physiquement sur le support une étiquette indiquant le niveau de sensibilité des fichiers copiés.
Exemple 4-9 Conservation de fichiers de configuration identiques sur tous les systèmes
L'administrateur système souhaite s'assurer que toutes les machines sont configurées avec les mêmes paramètres. Par conséquent, il crée sur le premier ordinateur configuré un répertoire qui ne peut pas être supprimé entre les redémarrages. Dans ce répertoire, l'administrateur place les fichiers qui doivent être identiques ou très similaires sur tous les systèmes.
Par exemple, il copie la boîte à outils Trusted Extensions utilisée par la Console de gestion Solaris pour l'étendue LDAP, /var/sadm/smc/toolboxes/tsol_ldap/tsol_ldap.tbx. Il personnalise les modèles d'hôte distant dans le fichier tnrhtp, crée une liste des serveurs DNS et de fichiers de configuration du contrôle. Il modifie également le fichier policy.conf pour son site. Tous ces fichiers sont alors copiés dans le répertoire permanent.
# mkdir /export/commonfiles # cp /etc/security/policy.conf \ /etc/security/audit_control \ /etc/security/audit_startup \ /etc/security/tsol/tnrhtp \ /etc/resolv.conf \ /etc/nsswitch.conf \ /export/commonfiles
Le gestionnaire d'allocation de périphériques (Device Allocation Manager) est utilisé pour allouer une disquette dans la zone globale, et l'administrateur transfère les fichiers sur la disquette. Sur une disquette séparée, étiquetée ADMIN_HIGH, il place le fichier label_encodings pour le site.
Lors de la copie de fichiers sur un système, il modifie les entrées dir: du fichier /etc/security/audit_control pour ce système.
Il est recommandé de renommer le fichier Trusted Extensions original avant de le remplacer. Lors de la configuration d'un système, le rôle root renomme et copie les fichiers d'administration.
Avant de commencer
Pour copier les fichiers d'administration, vous devez être connecté en tant que superutilisateur ou assumer un rôle dans la zone globale.
Pour plus d'informations, reportez-vous à la section Procédure d’allocation d’un périphérique dans Trusted Extensions du Guide de l’utilisateur Oracle Solaris Trusted Extensions.
Dans Solaris Trusted Extensions (CDE), un gestionnaire de fichiers (File Manager) affiche le contenu du support amovible.
Dans Solaris Trusted Extensions (JDS), un navigateur de fichiers (File Browser) affiche le contenu.
Dans le cadre de cette procédure, le terme navigateur de fichiers est utilisé pour faire référence à cette interface graphique.
Par exemple, ajoutez .orig à la fin du fichier d'origine :
# cp /etc/security/tsol/tnrhtp /etc/security/tsol/tnrhtp.orig
Pour plus d'informations, reportez-vous à la section Procédure de libération d’un périphérique dans Trusted Extensions du Guide de l’utilisateur Oracle Solaris Trusted Extensions.
Exemple 4-10 Chargement des fichiers de configuration du contrôle dans Trusted Extensions
Dans cet exemple, les rôles ne sont pas encore configurés sur le système. L'utilisateur root a besoin de copier les fichiers de configuration sur un support amovible. Le contenu du support peut ensuite être copié sur d'autres systèmes. Ces fichiers doivent être copiés sur chaque système configuré avec le logiciel Trusted Extensions.
L'utilisateur root alloue le périphérique floppy_0 dans le gestionnaire d'allocation de périphériques (Device Allocation Manager) et répond yes (oui) à la requête de montage. Ensuite, l'utilisateur root insère la disquette contenant les fichiers de configuration et les copie sur le disque. La disquette porte l'étiquette Trusted Path.
Pour lire les données à partir du support, l'utilisateur root alloue le périphérique sur l'hôte récepteur, puis télécharge le contenu.
Si les fichiers de configuration se trouvent sur une bande, l'utilisateur root alloue le périphérique mag_0. Si les fichiers de configuration se trouvent sur un CD-ROM, l'utilisateur root alloue le périphérique cdrom_0.
Pour supprimer Trusted Extensions de votre système Solaris, vous devez effectuer des étapes spécifiques afin de supprimer les personnalisations Trusted Extensions du système Solaris.
Pour plus d'informations, reportez-vous à la section How to Remove a Non-Global Zone du System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones.
# svcadm disable labeld
Pour connaître l'effet de cette commande, reportez-vous à la page de manuel bsmunconv(1M).
La configuration de différents services peuvent être nécessaire pour votre système Solaris. Peuvent être concernés par exemple le contrôle, la configuration réseau de base, les services de nommage et le montage de systèmes de fichiers.