Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide de configuration d’Oracle Solaris Trusted Extensions |
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout du logiciel Trusted Extensions au SE Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
Configuration de la zone globale dans Trusted Extensions
Vérification et installation du fichier de votre fichier label_encodings
Activation du réseau IPv6 dans Trusted Extensions
Configuration du domaine d'interprétation
Création d'un pool ZFS pour le clonage des zones
Redémarrage et connexion à Trusted Extensions
Initialisation du serveur Console de gestion Solaris dans Trusted Extensions
Établissement de la zone globale en tant que client LDAP dans Trusted Extensions
Configuration des interfaces réseau dans Trusted Extensions
Attribution de nom et étiquetage de la zone
Installation de la zone étiquetée
Démarrage de la zone étiquetée
Vérification de l'état de la zone
Ajout d'interfaces réseau et acheminement vers les zones étiquetées
Ajout d'une interface réseau pour acheminer une zone étiquetée existante
Configuration d'un cache de service de noms dans chaque zone étiquetée
Création de rôles et d'utilisateurs dans Trusted Extensions
Création de profils de droits permettant d'appliquer la séparation des tâches
Création du rôle d'administrateur de sécurité dans Trusted Extensions
Création d'un rôle d'administrateur système limité
Création d'utilisateurs pouvant assumer des rôles dans Trusted Extensions
Vérification du fonctionnement des rôles Trusted Extensions
Autorisation des utilisateurs à se connecter à une zone étiquetée
Création de répertoires personnels dans Trusted Extensions
Création du serveur d'annuaires personnel dans Trusted Extensions
Activation de l'accès des utilisateurs à leurs répertoires personnels dans Trusted Extensions
Ajout d'utilisateurs et d'hôtes à un réseau Trusted Network existant
Ajout d'un utilisateur NIS au serveur LDAP
Dépannage de votre configuration Trusted Extensions
La commande netservices limited a été exécutée après l'activation de Trusted Extensions
Impossible d'ouvrir la fenêtre de console dans une zone étiquetée
La zone étiquetée ne peut accéder au serveur X
Tâches de configuration supplémentaires de Trusted Extensions
Copie de fichiers sur un support amovible dans Trusted Extensions
Copie de fichiers dans Trusted Extensions à partir d'un support amovible
Suppression de Trusted Extensions du système
5. Configuration de LDAP pour Trusted Extensions (tâches)
6. Configuration d'un écouteur avec Trusted Extensions (tâches)
A. Stratégie de sécurité du site
B. Utilisation d'actions CDE pour installer des zones dans Trusted Extensions
C. Liste de contrôle de configuration pour Trusted Extensions
Le script txzonemgr vous guide à travers les tâches suivantes, qui permettent de configurer les zones étiquetées.
Attention - Vous devez exécuter la version Solaris 10 8/07 de Trusted Extensions ou une version ultérieure pour utiliser les procédures txzonemgr, ou vous devez installer tous les patchs pour la version Solaris 10 11/06. |
Si vous exécutez la version Solaris 10 11/06 sans les patchs actuels, suivez les procédures décrites à l'Annexe BUtilisation d'actions CDE pour installer des zones dans Trusted Extensions pour configurer les zones étiquetées.
Les instructions de cette section permettent de configurer les zones étiquetées sur un système auquel au moins deux adresses IP ont été affectées. Pour d'autres configurations, reportez-vous aux options de configuration décrites à la section Liste des tâches : préparation et activation de Trusted Extensions.
|
Ce script vous guide à travers les tâches afin de correctement configurer, installer, initialiser et démarrer les zones étiquetées. Dans le script, vous pouvez attribuer un nom à chaque zone, associer ce nom avec une étiquette, installer les packages pour créer un système d'exploitation virtuel, puis initialiser la zone pour démarrer des services dans cette zone. Ce script comprend les tâches de copie et de clonage de zones. Vous pouvez également arrêter une zone, modifier son état et ajouter des interfaces réseau spécifiques aux zones.
Ce script présente un menu dynamique qui affiche uniquement les options valides dans le contexte actuel. Par exemple, lors de la configuration de l'état d'une zone, l'option de menu Install zone (Installer la zone) n'est pas affichée. Les tâches qui sont terminées ne s'affichent pas dans la liste.
Avant de commencer
Vous êtes superutilisateur.
Si vous avez l'intention de cloner des zones, vous avez terminé la préparation du clonage des zones. Si vous avez l'intention d'utiliser vos propres modèles de sécurité, vous avez créé les modèles.
# /usr/sbin/txzonemgr
Le script ouvre la boîte de dialogue Labeled Zone Manager (Gestionnaire de zones étiquetées). La boîte de dialogue zenity vous invite à effectuer les tâches appropriées, selon l'état actuel de votre installation.
Pour exécuter une tâche, sélectionnez l'option de menu, puis appuyez sur la touche Entrée ou cliquez sur OK. Lorsque vous êtes invité à saisir du texte, saisissez-le, puis appuyez sur la touche Entrée ou cliquez sur OK.
Astuce - Pour afficher l'état actuel d'achèvement de la zone, cliquez sur Return to Main Menu (Retourner au menu principal) dans le gestionnaire de zones étiquetées (Labeled Zone Manager).
Remarque - Si vous configurez votre système pour utiliser le protocole DHCP, reportez-vous aux instructions relatives aux ordinateurs portables à la section Trusted Extensions de la page Web relative à la sécurité de la communauté OpenSolaris.
À partir de la version Solaris 10 10/08, si vous configurez un système sur lequel chaque zone étiquetée se trouve sur son propre sous-réseau, vous pouvez ignorer cette étape et passer à l'étape Attribution de nom et étiquetage de la zone. L'étape Ajout d'une interface réseau pour acheminer une zone étiquetée existante décrit l'ajout d'interfaces réseau pour chaque zone étiquetée après avoir terminé l'installation et la personnalisation des zones.
Cette tâche permet de configurer le réseau dans la zone globale. Vous devez créer une seule interface all-zones. Une interface all-zones est partagée par les zones étiquetées et la zone globale. L'interface partagée est utilisée pour acheminer le trafic entre les zones étiquetées et la zone globale. Pour configurer cette interface, procédez de l'une des manières suivantes :
Créez une interface logique à partir d'une interface physique, puis partagez l'interface physique.
Cette configuration est la plus simple à administrer. Choisissez cette configuration lorsque deux adresses IP ont été affectées à votre système. Dans cette procédure, l'interface logique devient l'adresse spécifique de la zone globale et l'interface physique est partagée entre la zone globale et les zones étiquetées.
Partagez une interface physique
Choisissez cette configuration lorsqu'une seule adresse IP a été affectée à votre système. Dans cette configuration, l'interface physique est partagée entre la zone globale et les zones étiquetées.
Partagez une interface réseau virtuelle, vni0
Choisissez cette configuration lorsque vous configurez le protocole DHCP ou lorsque chaque sous-réseau se trouve sur une étiquette différente. Pour un exemple de procédure, reportez-vous aux instructions relatives aux ordinateurs portables dans la section Trusted Extensions de la page Web relative à la sécurité de la communauté OpenSolaris.
À partir de la version Solaris 10 10/08, l'interface de loopback dans Trusted Extensions est créée en tant qu'interface all-zones. Par conséquent, vous n'avez pas besoin de créer d'interface vni0 partagée.
Pour ajouter des interfaces réseau spécifiques aux zones, terminez et contrôlez la création de la zone avant d'ajouter les interfaces. Pour plus d'informations sur cette procédure, reportez-vous à la section Ajout d'une interface réseau pour acheminer une zone étiquetée existante.
Avant de commencer
Vous êtes superutilisateur dans la zone globale.
Le gestionnaire de zones étiquetées est affiché. Pour ouvrir cette interface graphique, reportez-vous à la section Exécution du script txzonemgr.
Une liste d'interfaces s'affiche.
Remarque - Dans cet exemple, un nom d'hôte et une adresse IP ont été affectés à l'interface physique au cours de l'installation.
Un système avec une seule interface affiche un menu similaire à celui-ci. L'annotation est ajoutée à des fins d'aide :
vni0 DownVirtual Network Interface eri0 global 10.10.9.9 cipso Up Physical Interface
Trois options vous sont proposées :
View Template Assign a label to the interface Share Enable the global zone and labeled zones to use this interface Create Logical Interface Create an interface to use for sharing
Dans cette configuration, l'adresse IP de l'hôte s'applique à toutes les zones. Par conséquent, l'adresse de l'hôte est l'adresse all-zones. Cet hôte ne peut pas être utilisé comme un serveur multiniveau. Par exemple, les utilisateurs ne peuvent pas partager de fichiers à partir de ce système. Le système ne peut pas être un serveur proxy LDAP, un serveur d'annuaires personnel NFS ou un serveur d'impression.
eri0 all-zones 10.10.9.8 cipso Up
Cette opération fonctionne lorsque l'interface physique est une interface all-zones. Passez à la section Attribution de nom et étiquetage de la zone.
Ensuite, partagez l'interface physique.
Il s'agit de la configuration réseau Trusted Extensions la plus simple. Dans cette configuration, l'adresse IP principale peut être utilisée par d'autres systèmes pour atteindre n'importe quelle zone sur ce système, et l'interface logique est spécifique à la zone globale. La zone globale peut être utilisée en tant que serveur multiniveau.
Fermez la boîte de dialogue confirmant la création d'une nouvelle interface logique.
Par exemple, spécifiez machine1-services comme nom d'hôte pour l'interface logique. Le nom indique que cet hôte offre des services multiniveau.
Par exemple, spécifiez 10.10.9.2 comme adresse IP de l'interface logique.
L'interface s'affiche comme Up.
eri0 global 10.10.9.1 cipso Up eri0:1 global 10.10.9.2 cipso Up
eri0 all-zones 10.10.9.1 cipso Up eri0:1 global 10.10.9.2 cipso Up
Cette opération fonctionne lorsqu'au moins une interface est une interface all-zones.
Exemple 4-3 Affichage du fichier /etc/hosts sur un système avec une interface logique partagée
Sur un système où la zone globale a une interface unique et où les zones étiquetées partagent une deuxième interface avec la zone globale, le fichier /etc/hosts est similaire à la sortie suivante :
# cat /etc/hosts ... 127.0.0.1 localhost 192.168.0.11 machine1 loghost 192.168.0.12 machine1-services
Dans la configuration par défaut, le fichier tnrhdb s'affiche comme suit :
# cat /etc/security/tsol/tnrhdb ... 127.0.0.1:cipso 192.168.0.11:cipso 192.168.0.12:cipso 0.0.0.0:admin_low
Si l'interface all-zones ne se trouve pas dans le fichier tnrhdb, l'interface passe par défaut à cipso.
Exemple 4-4 Affichage de l'interface partagée sur un système Trusted Extensions avec une seule adresse IP
Dans cet exemple, l'administrateur n'envisage pas d'utiliser le système en tant que serveur multiniveau. Pour conserver les adresses IP, la zone globale est configurée de façon à partager son adresse IP avec toutes les zones étiquetées.
L'administrateur sélectionne l'option Share (Partage) pour l'interface hme0 sur le système. Le logiciel configure toutes les zones afin qu'elles aient une NIC logique. Ces NIC logiques partagent une seule NIC physique dans la zone globale.
L'administrateur exécute la commande ifconfig -a pour vérifier que l'interface physique hme0 sur l'interface réseau 192.168.0.11 est partagée. La valeur all-zones s'affiche :
lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 all-zones inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255
À partir de la version Solaris 10 10/08, l'interface de loopback dans Trusted Extensions est créée en tant qu'interface all-zones.
lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 all-zones inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 all-zones inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255
L'administrateur examine également le contenu du fichier /etc/hostname.hme0 :
192.168.0.11 all-zones
Vous n'êtes pas obligé de créer une zone pour chaque étiquette de votre fichier label_encodings, mais vous pouvez le faire. Les interfaces graphiques d'administration énumèrent les étiquettes pour lesquelles des zones peuvent être créées sur ce système.
Avant de commencer
Vous êtes superutilisateur dans la zone globale. La boîte de dialogue Labeled Zone Manager (Gestionnaire de zones étiquetées) s'affiche. Pour ouvrir cette interface graphique, reportez-vous à la section Exécution du script txzonemgr. Vous avez configuré les interfaces réseau dans la zone globale.
Vous avez créé les modèles de sécurité dont vous avez besoin. Un modèle de sécurité définit, entre autres attributs, la plage d'étiquettes qui peut être affectée à une interface réseau. Les modèles de sécurité par défaut peuvent répondre à vos besoins.
Pour obtenir un aperçu des modèles de sécurité, reportez-vous à la section Attributs de sécurité réseau dans Trusted Extensions du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
Pour utiliser la Console de gestion Solaris pour créer des modèles de sécurité, reportez-vous à la section Configuration des bases de données réseau de confiance (liste des tâches) du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
Vous êtes invité à saisir un nom.
Astuce - Attribuez à la zone un nom similaire à l'étiquette de la zone. Par exemple, le nom d'une zone dont l'étiquette est CONFIDENTIAL: RESTRICTED serait restricted.
Par exemple, le fichier label_encodings par défaut contient les étiquettes suivantes :
PUBLIC CONFIDENTIAL: INTERNAL USE ONLY CONFIDENTIAL: NEED TO KNOW CONFIDENTIAL: RESTRICTED SANDBOX: PLAYGROUND MAX LABEL
Bien que vous puissiez créer une zone par étiquette, vous pouvez envisager de créer les zones suivantes :
Sur un système destiné à tous les utilisateurs, créez une zone pour l'étiquette PUBLIC et trois zones pour les étiquettes CONFIDENTIAL.
Sur un système destiné aux développeurs, créez une zone pour l'étiquette SANDBOX: PLAYGROUND. L'étiquette SANDBOX: PLAYGROUND est définie en tant qu'étiquette disjointe pour les développeurs, de sorte que seuls les systèmes utilisés par les développeurs ont besoin d'une zone pour cette étiquette.
Ne créez pas de zone pour l'étiquette MAX LABEL, qui est définie pour être une autorisation.
La boîte de dialogue affiche zone-name :configured au-dessus d'une liste de tâches.
# /usr/sbin/smc &
À l'invite, saisissez un mot de passe.
La boîte de dialogue affiche le nom d'une zone à laquelle aucune étiquette n'a été assignée.
Si vous sélectionnez la mauvaise étiquette, cliquez de nouveau sur l'étiquette pour la désélectionner, puis cliquez sur l'étiquette appropriée.
Cliquez sur OK dans le générateur d'étiquettes, puis cliquez sur OK dans la boîte de dialogue Trusted Network Zones Properties (Propriétés des zones Trusted Network).
Vous avez terminé lorsque toutes les zones de votre choix sont répertoriées dans le panneau ou lorsque l'option de menu Add Zone Configuration (Ajouter la configuration de zone) ouvre une boîte de dialogue ne contenant aucune valeur pour le nom de zone (Zone Name).
Cliquez sur l'option de menu Select Label (Sélectionner une étiquette) et sur OK pour afficher la liste des étiquettes disponibles.
Pour une zone nommée public, vous devez sélectionner l'étiquette PUBLIC dans la liste.
Une liste de tâches s'affiche.
Avant de commencer
Vous êtes superutilisateur dans la zone globale. La zone est configurée et une interface réseau lui a été affectée.
La boîte de dialogue Labeled Zone Manager (Gestionnaire de zones étiquetées) est affichée avec le sous-titre zone-name:configured. Pour ouvrir cette interface graphique, reportez-vous à la section Exécution du script txzonemgr.
Attention - Ce processus prend un certain temps. N'exécutez aucune autre tâche tant que celle-ci n'est pas terminée. |
Le système copie les packages de la zone globale vers la zone non globale. Cette tâche permet d'installer un système d'exploitation virtuel étiqueté dans la zone. Pour poursuivre l'exemple, cette tâche installe la zone public. L'interface graphique affiche une sortie similaire à la suivante.
# Labeled Zone Manager: Installing zone-name zone Preparing to install zone <zonename> Creating list of files to copy from the global zone Copying <total> files to the zone Initializing zone product registry Determining zone package initialization order. Preparing to initialize <subtotal> packages on the zone. Initializing package <number> of <subtotal>: percent complete: percent Initialized <subtotal> packages on zone. Zone <zonename> is initialized. The file /zone/internal/root/var/sadm/system/logs/install_log contains a log of the zone installation.
Remarque - Les messages tels que cannot create ZFS dataset zone/ zonename: dataset already exists sont fournis à titre d'information. La zone utilise les jeux de données existant.
Lorsque l'installation est terminée, vous êtes invité à indiquer le nom de l'hôte. Un nom est proposé.
La boîte de dialogue affiche zone-name:installed au-dessus d'une liste de tâches.
Erreurs fréquentes
Si des avertissements semblables à celui-ci s'affichent : Installation of these packages generated errors: SUNW pkgname, lisez le journal d'installation et terminez l'installation des packages.
Avant de commencer
Vous êtes superutilisateur dans la zone globale. La zone est installée et une interface réseau lui a été affectée.
La boîte de dialogue Labeled Zone Manager (Gestionnaire de zones étiquetées) s'affiche avec le sous-titre zone-name:installed. Pour ouvrir cette interface graphique, reportez-vous à la section Exécution du script txzonemgr.
Une fenêtre de console séparée s'affiche pour la zone étiquetée actuelle.
La console de terminal de zone suit le progrès de l'initialisation de la zone. Si la zone est créée à partir de zéro, des messages semblables à celui-ci s'affichent sur la console :
[Connected to zone 'public' console] [NOTICE: Zone booting up] ... Hostname: zone-name Loading smf(5) service descriptions: number/total Creating new rsa public/private host key pair Creating new dsa public/private host key pair rebooting system due to change(s) in /etc/default/init [NOTICE: Zone rebooting]
Attention - N'exécutez aucune autre tâche tant que celle-ci n'est pas terminée. |
Lorsque les quatre zones par défaut sont configurées et initialisées, le gestionnaire de zones étiquetées affiche les zones de la manière suivante :
Erreurs fréquentes
Parfois, des messages d'erreur s'affichent et la zone n'est pas réinitialisée. Dans la console de terminal de zone, appuyez sur la touche Entrée. Si vous êtes invité à saisir y pour procéder à la réinitialisation, saisissez y et appuyez sur la touche Entrée. La zone redémarre.
Étapes suivantes
Si cette zone a été copiée ou clonée à partir d'une autre zone, passez à la section Vérification de l'état de la zone.
S'il s'agit de la première zone, passez à la section Personnalisation de la zone étiquetée.
Remarque - Le serveur X est exécuté dans la zone globale. Chaque zone étiquetée doit être en mesure de se connecter à la zone globale pour utiliser le serveur X. Par conséquent, la mise en réseau des zones doit fonctionner avant qu'une zone puisse être utilisée. Pour plus d'informations générales, reportez-vous à la section Planification pour l'accès multiniveau.
hostname console login: root Password: Type root password
# svcs -xv svc:/application/print/server:default (LP print server) State: disabled since Tue Oct 10 10:10:10 2006 Reason: Disabled by an administrator. See: http://sun.com/msg/SMF-8000-05 See: lpsched(1M) ...
Les services sendmail et print ne sont pas des services critiques.
# ifconfig -a
Par exemple, la sortie suivante indique une adresse IP pour l'interface hme0.
# ... hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 all-zones inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255
# DISPLAY=global-zone-hostname:n.n # export DISPLAY
Par exemple, affichez une horloge.
# /usr/openwin/bin/xclock
Si l'horloge sur l'étiquette de la zone ne s'affiche pas, le réseau de la zone n'a pas été correctement configuré. Des conseils de débogage sont fournis à la section La zone étiquetée ne peut accéder au serveur X.
# zoneadm list -v ID NAME STATUS PATH BRAND IP 0 global running / native shared 3 internal running /zone/internal native shared 4 needtoknow running /zone/needtoknow native shared 5 restricted running /zone/restricted native shared
Étapes suivantes
Vous avez terminé de configurer la zone étiquetée. Pour ajouter des interfaces réseau spécifiques aux zones ou établir un routage par défaut par zone étiquetée, passez à la section Ajout d'interfaces réseau et acheminement vers les zones étiquetées. Sinon, passez à la section Création de rôles et d'utilisateurs dans Trusted Extensions.
Si vous avez l'intention de cloner ou de copier des zones, cette procédure permet de configurer une zone en tant que modèle pour d'autres zones. En outre, cette procédure permet de configurer une zone qui n'a pas été créée à partir d'un modèle afin de l'utiliser.
Avant de commencer
Vous êtes superutilisateur dans la zone globale. Vous avez terminé les tâches de la section Vérification de l'état de la zone.
Si vous copiez ou clonez cette zone, les services que vous désactivez sont désactivés dans les nouvelles zones. Les services en ligne sur votre système dépendent du fichier manifest du service pour la zone. Utilisez la commande netservices limited pour désactiver les services dont les zones étiquetées n'ont pas besoin.
# netservices limited
# svcs ... STATE STIME FMRI online 13:05:00 svc:/application/graphical-login/cde-login:default ...
# svcadm disable svc:/application/graphical-login/cde-login # svcs cde-login STATE STIME FMRI disabled 13:06:22 svc:/application/graphical-login/cde-login:default
Pour en savoir plus sur l'utilitaire de gestion des services, reportez-vous à la page de manuel smf(5).
Dans la console de terminal de zone zone-name, le message suivant indique que la zone est arrêtée.
[ NOTICE: Zone halted]
Si vous ne copiez ou ne clonez pas cette zone, créez les zones restantes de la même manière que vous avez créé cette première zone. Sinon, passez à l'étape suivante.
Dans une fenêtre de terminal dans la zone globale, supprimez ce fichier à partir de la zone zone-name.
# cd /zone/zone-name/root/etc # ls auto_home* auto_home auto_home_zone-name # rm auto_home_zone-name
Par exemple, si la zone public est le modèle pour le clonage d'autres zones, supprimez le fichier auto_home_public :
# cd /zone/public/root/etc # rm auto_home_public
Attention - La zone pour l'instantané doit se trouver dans un système de fichiers ZFS. Vous avez créé un système de fichiers ZFS pour la zone à l'étape Création d'un pool ZFS pour le clonage des zones. |
La console de terminal de zone suit la progression de l'initialisation de la zone. Des messages semblables à celui-ci s'affichent sur la console :
[Connected to zone 'public' console] [NOTICE: Zone booting up] ... Hostname: zonename
Appuyez sur la touche Entrée pour une invite de connexion. Vous pouvez vous connecter en tant qu'utilisateur root.
Avant de commencer
Vous avez terminé les tâches de la section Personnalisation de la zone étiquetée.
La boîte de dialogue Labeled Zone Manager (Gestionnaire de zones étiquetées) s'affiche. Pour ouvrir cette interface graphique, reportez-vous à la section Exécution du script txzonemgr.
Pour plus de détails, reportez-vous à la section Attribution de nom et étiquetage de la zone.
Répétez ces étapes pour chaque nouvelle zone.
Une fenêtre indique l'avancement du processus de copie. Une fois ce processus terminé, la zone est installée.
Si le gestionnaire de zones étiquetées affiche zone-name :configured, passez à l'étape suivante. Sinon, poursuivez avec l'Étape e.
Par exemple, si vous avez créé un instantané de public, sélectionnez zone/public@snapshot.
Une fois le processus de clonage terminé, la zone est installée. Continuer avec l'Étape c.
Pour obtenir davantage d'instructions, reportez-vous à la section Démarrage de la zone étiquetée.
Étapes suivantes
Une fois que vous avez terminé les tâches de la section Vérification de l'état de la zone pour chaque zone, si vous souhaitez que chaque zone se trouve sur un réseau physique distinct, passez à la section Ajout d'une interface réseau pour acheminer une zone étiquetée existante.
Si vous n'avez pas encore créé de rôles, passez à la section Création de rôles et d'utilisateurs dans Trusted Extensions.
Si vous avez déjà créé les rôles, passez à la section Création de répertoires personnels dans Trusted Extensions.