Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide de configuration d’Oracle Solaris Trusted Extensions |
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout du logiciel Trusted Extensions au SE Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
Configuration de la zone globale dans Trusted Extensions
Vérification et installation du fichier de votre fichier label_encodings
Activation du réseau IPv6 dans Trusted Extensions
Configuration du domaine d'interprétation
Création d'un pool ZFS pour le clonage des zones
Redémarrage et connexion à Trusted Extensions
Initialisation du serveur Console de gestion Solaris dans Trusted Extensions
Établissement de la zone globale en tant que client LDAP dans Trusted Extensions
Configuration des interfaces réseau dans Trusted Extensions
Attribution de nom et étiquetage de la zone
Installation de la zone étiquetée
Démarrage de la zone étiquetée
Vérification de l'état de la zone
Personnalisation de la zone étiquetée
Copie ou clonage d'une zone dans Trusted Extensions
Ajout d'interfaces réseau et acheminement vers les zones étiquetées
Ajout d'une interface réseau pour acheminer une zone étiquetée existante
Configuration d'un cache de service de noms dans chaque zone étiquetée
Création de rôles et d'utilisateurs dans Trusted Extensions
Création de profils de droits permettant d'appliquer la séparation des tâches
Création du rôle d'administrateur de sécurité dans Trusted Extensions
Création d'un rôle d'administrateur système limité
Création d'utilisateurs pouvant assumer des rôles dans Trusted Extensions
Vérification du fonctionnement des rôles Trusted Extensions
Autorisation des utilisateurs à se connecter à une zone étiquetée
Création de répertoires personnels dans Trusted Extensions
Création du serveur d'annuaires personnel dans Trusted Extensions
Activation de l'accès des utilisateurs à leurs répertoires personnels dans Trusted Extensions
Dépannage de votre configuration Trusted Extensions
La commande netservices limited a été exécutée après l'activation de Trusted Extensions
Impossible d'ouvrir la fenêtre de console dans une zone étiquetée
La zone étiquetée ne peut accéder au serveur X
Tâches de configuration supplémentaires de Trusted Extensions
Copie de fichiers sur un support amovible dans Trusted Extensions
Copie de fichiers dans Trusted Extensions à partir d'un support amovible
Suppression de Trusted Extensions du système
5. Configuration de LDAP pour Trusted Extensions (tâches)
6. Configuration d'un écouteur avec Trusted Extensions (tâches)
A. Stratégie de sécurité du site
B. Utilisation d'actions CDE pour installer des zones dans Trusted Extensions
C. Liste de contrôle de configuration pour Trusted Extensions
Si des utilisateurs ne sont pas définis dans les cartes NIS, vous pouvez les ajouter à votre réseau.
Pour ajouter des hôtes et des étiquettes aux hôtes, reportez-vous aux procédures suivantes :
Pour ajouter un hôte, utilisez l'outil Computers and Networks défini dans la Console de gestion Solaris. Pour plus d'informations, reportez-vous à la section Procédure d’ajout d’hôtes au réseau connu du système du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
Lorsque vous ajoutez un hôte au serveur LDAP, ajoutez toutes les adresses IP associées à l'hôte. Toutes les adresses des zones, y compris les adresses des zones étiquetées, doivent être ajoutées au serveur LDAP.
Pour connaître la procédure d'étiquetage d'un hôte, reportez-vous à la section Procédure d’assignation d’un modèle de sécurité à un hôte ou à un groupe d’hôtes du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
Avant de commencer
Vous devez être connecté en tant que superutilisateur, dans le rôle root ou dans le rôle d'administrateur principal.
% ypcat -k aliases | grep login-name > aliases.name
% ypcat -k passwd | grep "Full Name" > passwd.name
% ypcat -k auto_home | grep login-name > auto_home_label
% sed 's/ /:/g' aliases.login-name > aliases
% nawk -F: '{print $1":x:"$3":"$4":"$5":"$6":"$7}' passwd.name > passwd
% nawk -F: '{print $1":"$2":6445::::::"}' passwd.name > shadow
% nawk -F: '{print $1"::::lock_after_retries=yes-or-no;profiles=user-profile, ...; labelview=int-or-ext,show-or-hide;min_label=min-label; clearance=max-label;type=normal;roles=role-name,...; auths=auth-name,..."}' passwd.name > user_attr
# cp aliases auto_home_internal passwd shadow user_attr /tmp/name
# /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/aliases aliases # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/auto_home_internal auto_home_internal # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/passwd passwd # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/shadow shadow # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/user_attr user_attr
Exemple 4-8 Ajout d'un utilisateur au serveur LDAP à partir d'une base de données NIS
Dans l'exemple suivant, l'administrateur ajoute un nouvel utilisateur au réseau approuvé. Les informations de l'utilisateur sont à l'origine stockées dans une base de données NIS. Pour protéger le mot de passe du serveur LDAP, l'administrateur exécute les commandes ldapaddent sur le serveur.
Dans Trusted Extensions, le nouvel utilisateur peut allouer des périphériques et joue un rôle Operator. Dans la mesure où l'utilisateur peut assumer un rôle, le compte utilisateur n'est pas verrouillé. L'étiquette minimale de l'utilisateur est PUBLIC. L'étiquette sur laquelle l'utilisateur travaille est INTERNAL, de sorte que Jan est ajouté à la base de données auto_home_internal. La base de données auto_home_internal monte automatiquement le répertoire personnel de Jan, avec des autorisations de lecture-écriture.
Sur le serveur LDAP, l'administrateur extrait les informations utilisateur des bases de données NIS.
# ypcat -k aliases | grep jan.doe > aliases.jan # ypcat passwd | grep "Jan Doe" > passwd.jan # ypcat -k auto_home | grep jan.doe > auto_home_internal
Ensuite, l'administrateur reformate les entrées pour le service LDAP.
# sed 's/ /:/g' aliases.jan > aliases # nawk -F: '{print $1":x:"$3":"$4":"$5":"$6":"$7}' passwd.jan > passwd # nawk -F: '{print $1":"$2":6445::::::"}' passwd.jan > shadow
L'administrateur crée une entrée user_attr pour Trusted Extensions.
# nawk -F: '{print $1"::::lock_after_retries=no;profiles=Media User; labelview=internal,showsl;min_label=0x0002-08-08; clearance=0x0004-08-78;type=normal;roles=oper; auths=solaris.device.allocate"}' passwd.jan > user_attr
L'administrateur copie les fichiers dans le répertoire /tmp/jan.
# cp aliases auto_home_internal passwd shadow user_attr /tmp/jan
L'administrateur remplit le serveur avec les fichiers du répertoire /tmp/jan.
# /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/aliases aliases # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/auto_home_internal auto_home_internal # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/passwd passwd # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/shadow shadow # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/user_attr user_attr