Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide de configuration d’Oracle Solaris Trusted Extensions |
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout du logiciel Trusted Extensions au SE Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
Configuration de la zone globale dans Trusted Extensions
Vérification et installation du fichier de votre fichier label_encodings
Activation du réseau IPv6 dans Trusted Extensions
Configuration du domaine d'interprétation
Création d'un pool ZFS pour le clonage des zones
Redémarrage et connexion à Trusted Extensions
Initialisation du serveur Console de gestion Solaris dans Trusted Extensions
Établissement de la zone globale en tant que client LDAP dans Trusted Extensions
Configuration des interfaces réseau dans Trusted Extensions
Attribution de nom et étiquetage de la zone
Installation de la zone étiquetée
Démarrage de la zone étiquetée
Vérification de l'état de la zone
Personnalisation de la zone étiquetée
Copie ou clonage d'une zone dans Trusted Extensions
Ajout d'interfaces réseau et acheminement vers les zones étiquetées
Ajout d'une interface réseau pour acheminer une zone étiquetée existante
Configuration d'un cache de service de noms dans chaque zone étiquetée
Création de rôles et d'utilisateurs dans Trusted Extensions
Création de profils de droits permettant d'appliquer la séparation des tâches
Création du rôle d'administrateur de sécurité dans Trusted Extensions
Création d'un rôle d'administrateur système limité
Création d'utilisateurs pouvant assumer des rôles dans Trusted Extensions
Vérification du fonctionnement des rôles Trusted Extensions
Autorisation des utilisateurs à se connecter à une zone étiquetée
Création de répertoires personnels dans Trusted Extensions
Création du serveur d'annuaires personnel dans Trusted Extensions
Activation de l'accès des utilisateurs à leurs répertoires personnels dans Trusted Extensions
Ajout d'utilisateurs et d'hôtes à un réseau Trusted Network existant
Ajout d'un utilisateur NIS au serveur LDAP
Dépannage de votre configuration Trusted Extensions
La commande netservices limited a été exécutée après l'activation de Trusted Extensions
Impossible d'ouvrir la fenêtre de console dans une zone étiquetée
La zone étiquetée ne peut accéder au serveur X
Tâches de configuration supplémentaires de Trusted Extensions
Copie de fichiers sur un support amovible dans Trusted Extensions
Copie de fichiers dans Trusted Extensions à partir d'un support amovible
Suppression de Trusted Extensions du système
5. Configuration de LDAP pour Trusted Extensions (tâches)
6. Configuration d'un écouteur avec Trusted Extensions (tâches)
A. Stratégie de sécurité du site
B. Utilisation d'actions CDE pour installer des zones dans Trusted Extensions
C. Liste de contrôle de configuration pour Trusted Extensions
Dans Trusted Extensions, les utilisateurs ont besoin d'accéder à leurs répertoires personnels sur chaque étiquette sur laquelle ils travaillent. Pour que tous les répertoires personnels soient à la disposition de l'utilisateur, vous devez créer un serveur d'annuaires personnel multiniveau, exécuter l'agent de montage automatique sur le serveur, puis exporter les répertoires personnels. Du côté client, vous pouvez exécuter des scripts pour trouver le répertoire personnel de chaque zone pour chaque utilisateur, ou vous pouvez faire en sorte que l'utilisateur se connecte au serveur d'annuaires personnel.
Avant de commencer
Vous devez être connecté en tant que superutilisateur, dans le rôle root ou dans le rôle d'administrateur principal.
Si vous clonez les zones, assurez-vous que vous utilisez un instantané ZFS Solaris dont le répertoire personnel est vide.
Étant donné que les utilisateurs nécessitent un répertoire personnel sur chaque étiquette à laquelle ils peuvent se connecter, créez toutes les zones auxquelles un utilisateur peut se connecter. Par exemple, si vous utilisez le fichier label_encodings par défaut, vous devez créer une zone pour l'étiquette PUBLIC.
Utilisez l'éditeur de confiance pour modifier le fichier /etc/nsswitch.conf. Pour plus d'informations sur cette procédure, reportez-vous à la section Modification des fichiers d’administration dans Trusted Extensions du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
automount: files
Les utilisateurs peuvent d'abord se connecter au serveur d'annuaires personnel pour créer un répertoire personnel qui peut être partagé avec d'autres systèmes. Pour créer un répertoire personnel sur chaque étiquette, les utilisateurs doivent se connecter au serveur d'annuaires personnel sur chaque étiquette.
En tant qu'administrateur, vous pouvez également créer un script afin de créer un point de montage pour les répertoires personnels sur tous les systèmes personnels de chaque utilisateur avant sa première connexion. Le script crée des points de montage sur chaque étiquette sur laquelle l'utilisateur est autorisé à travailler.
Avant de commencer
Le serveur d'annuaires personnel pour votre domaine Trusted Extensions est configuré.
Une fois la connexion établie, l'utilisateur doit se déconnecter.
L'utilisateur utilise le générateur d'étiquettes pour choisir une étiquette de connexion différente. Une fois la connexion établie, l'utilisateur doit se déconnecter.
Le répertoire personnel pour leur étiquette par défaut est disponible. Lorsqu'un utilisateur modifie l'étiquette d'une session ou ajoute un espace de travail sur une autre étiquette, le répertoire personnel de l'utilisateur pour cette étiquette est monté.
#!/bin/sh # for zoneroot in `/usr/sbin/zoneadm list -p | cut -d ":" -f4` ; do if [ $zoneroot != / ]; then prefix=$zoneroot/root/export for j in `getent passwd|tr ' ' _` ; do uid=`echo $j|cut -d ":" -f3` if [ $uid -ge 100 ]; then gid=`echo $j|cut -d ":" -f4` homedir=`echo $j|cut -d ":" -f6` mkdir -m 711 -p $prefix$homedir chown $uid:$gid $prefix$homedir fi done fi done