Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide de configuration d’Oracle Solaris Trusted Extensions |
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout du logiciel Trusted Extensions au SE Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Configuration d'un serveur LDAP sur un hôte Trusted Extensions (liste des tâches)
Configuration d'un serveur proxy LDAP sur un hôte Trusted Extensions (liste des tâches)
Configuration du Sun Java System Directory Server sur un système Trusted Extensions
Collecte d'informations pour le serveur d'annuaire pour LDAP
Installation du Sun Java System Directory Server
Création d'un client LDAP pour le serveur d'annuaire
Configuration des journaux pour le Sun Java System Directory Server
Configuration d'un port multiniveau pour le Sun Java System Directory Server
Création d'un proxy Trusted Extensions pour un Sun Java System Directory Server existant
Création d'un serveur proxy LDAP
Configuration de la Console de gestion Solaris pour LDAP (liste des tâches)
Activation de la Console de gestion Solaris afin qu'elle accepte les communications réseau
Modification de la boîte à outils LDAP dans la Console de gestion Solaris
Vérification des informations Trusted Extensions contenues dans la Console de gestion Solaris
6. Configuration d'un écouteur avec Trusted Extensions (tâches)
A. Stratégie de sécurité du site
B. Utilisation d'actions CDE pour installer des zones dans Trusted Extensions
C. Liste de contrôle de configuration pour Trusted Extensions
Le service de nommage LDAP est le service de nommage pris en charge pour Trusted Extensions. Si votre site n'exécute pas encore le service de nommage LDAP, configurez un Sun Java System Directory Server (serveur d'annuaire) sur un système configuré avec Trusted Extensions.
Si votre site exécute déjà un serveur d'annuaire, vous devez ajouter les bases de données Trusted Extensions au serveur. Pour accéder au serveur d'annuaire, vous devez ensuite configurer un serveur proxy LDAP sur un système Trusted Extensions.
Remarque - Si vous n'utilisez pas ce serveur LDAP en tant que serveur NFS ou en tant que serveur pour les clients Sun Ray, vous n'avez pas besoin d'installer de zones étiquetées sur ce serveur.
Les éléments sont répertoriés dans l'ordre où ils apparaissent dans l'Assistant d'installation de Sun Java Enterprise System.
|
Les packages du serveur d'annuaire sont disponibles sur le site Web Sun Software Gateway.
Avant de commencer
Vous vous trouvez sur un système Trusted Extensions avec une seule zone globale installée. Le système n'a aucune zone étiquetée.
Les serveurs LDAP Trusted Extensions sont configurés pour les clients qui utilisent pam_unix pour l'authentification auprès du référentiel LDAP. Avec pam_unix, le fonctionnement du mot de passe, et par conséquent sa stratégie, sont déterminés par le client. Plus précisément, la stratégie définie par le serveur LDAP n'est pas utilisée. Pour connaître les paramètres de mot de passe que vous pouvez définir sur le client, reportez-vous à la section Managing Password Information du System Administration Guide: Security Services. Pour en savoir plus sur pam_unix, reportez-vous à la page de manuel pam.conf(4).
Remarque - L'utilisation de pam_ldap sur un client LDAP ne constitue pas une configuration évaluée pour Trusted Extensions.
FQDN (Fully Qualified Domain Name) signifie nom de domaine complet. Ce nom se compose du nom d'hôte et du domaine d'administration, par exemple :
## /etc/hosts ... 192.168.5.5 myhost myhost.example-domain.com
Sur un système exécutant une version antérieure à la version Solaris 10 8/07, insérez les entrées IPv4 et IPv6 dans le fichier /etc/inet/ipnodes. Les entrées d'un système doivent être contiguës dans le fichier.
Si vous n'exécutez pas la dernière version du SE Solaris, les patchs suivants doivent être installés. Le premier nombre correspond à un patch SPARC. Le deuxième nombre correspond à un patch X86.
138874–05, 138875–05 : LDAP natif, PAM, name-service-switch patch
119313-35, 119314-36 : patch WBEM
121308-21, 121308-21 : patch de la console de gestion Solaris
119315-20, 119316-20 : patch d'applications de gestion Solaris
Répondez aux questions posées à l'aide des informations recueillies à l'étape Collecte d'informations pour le serveur d'annuaire pour LDAP. Pour obtenir une liste complète des questions, des valeurs par défaut et des réponses suggérées, reportez-vous au Chapitre 11, Configuration de Sun Java System Directory Server avec les clients LDAP (tâches) du Guide d’administration système : Services d’annuaire et de nommage (DNS, NIS et LDAP) et au Chapitre 12, Configuration des clients LDAP (tâches) du Guide d’administration système : Services d’annuaire et de nommage (DNS, NIS et LDAP).
# $PATH /usr/sbin:.../opt/SUNWdsee/dsee6/bin:/opt/SUNWdsee/dscc6/bin:/opt/SUNWdsee/ds6/bin: /opt/SUNWdsee/dps6/bin
/opt/SUNWdsee/dsee6/man
# /usr/sbin/cacaoadm enable # /usr/sbin/cacaoadm start start: server (pid n) already running
Les packages Sun Java System Directory Server contiennent des modèles de services SMF pour le serveur d'annuaire.
# dsadm stop /export/home/ds/instances/your-instance # dsadm enable-service -T SMF /export/home/ds/instances/your-instance # dsadm start /export/home/ds/instances/your-instance
Pour plus d'informations sur la commande dsadm, reportez-vous à la page de manuel dsadm(1M).
# dpadm stop /export/home/ds/instances/your-instance # dpadm enable-service -T SMF /export/home/ds/instances/your-instance # dpadm start /export/home/ds/instances/your-instance
Pour plus d'informations sur la commande dpadm, reportez-vous à la page de manuel dpadm(1M).
# dsadm info /export/home/ds/instances/your-instance Instance Path: /export/home/ds/instances/your-instance Owner: root(root) Non-secure port: 389 Secure port: 636 Bit format: 32-bit State: Running Server PID: 298 DSCC url: - SMF application name: ds--export-home-ds-instances-your-instance Instance version: D-A00
Erreurs fréquentes
Pour connaître les stratégies de résolution des problèmes de configuration LDAP, reportez-vous au Chapitre 13, LDAP Troubleshooting (Reference) du System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).
Vous utilisez ce client pour remplir votre serveur d'annuaire pour LDAP. Vous devez exécuter cette tâche avant de remplir le serveur d'annuaire.
Vous pouvez créer le client temporairement sur le serveur d'annuaire Trusted Extensions, puis supprimer le client du serveur, ou vous pouvez créer un client indépendant.
Vous pouvez utiliser le serveur d'annuaire Trusted Extensions ou installer Trusted Extensions sur un système séparé.
Remarque - Si vous n'exécutez pas la dernière version du SE Solaris, les patchs suivants doivent être installés. Le premier nombre correspond à un patch SPARC. Le deuxième nombre correspond à un patch X86.
138874–05, 138875–05 : LDAP natif, PAM, name-service-switch patch
119313-35, 119314-36 : patch WBEM
121308-21, 121308-21 : patch de la console de gestion Solaris
119315-20, 119316-20: patch d'applications de gestion Solaris
Les entrées en gras indiquent les modifications. Le fichier se présente de la manière suivante :
# /etc/nsswitch.ldap # # An example file that could be copied over to /etc/nsswitch.conf; it # uses LDAP in conjunction with files. # # "hosts:" and "services:" in this file are used only if the # /etc/netconfig file has a "-" for nametoaddr_libs of "inet" transports. # LDAP service requires that svc:/network/ldap/client:default be enabled # and online. # the following two lines obviate the "+" entry in /etc/passwd and /etc/group. passwd: files ldap group: files ldap # consult /etc "files" only if ldap is down. hosts: files ldap dns [NOTFOUND=return] files # Note that IPv4 addresses are searched for in all of the ipnodes databases # before searching the hosts databases. ipnodes: files ldap [NOTFOUND=return] files networks: files ldap [NOTFOUND=return] files protocols: files ldap [NOTFOUND=return] files rpc: files ldap [NOTFOUND=return] files ethers: files ldap [NOTFOUND=return] files netmasks: files ldap [NOTFOUND=return] files bootparams: files ldap [NOTFOUND=return] files publickey: files ldap [NOTFOUND=return] files netgroup: ldap automount: files ldap aliases: files ldap # for efficient getservbyname() avoid ldap services: files ldap printers: user files ldap auth_attr: files ldap prof_attr: files ldap project: files ldap tnrhtp: files ldap tnrhdb: files ldap
Cette commande copie le fichier nsswitch.ldap dans le fichier nsswitch.conf.
Dans cet exemple, le client LDAP se trouve dans le domaine example-domain.com. L'adresse IP du serveur est 192.168.5.5.
# ldapclient init -a domainName=example-domain.com -a profileNmae=default \ > -a proxyDN=cn=proxyagent,ou=profile,dc=example-domain,dc=com \ > -a proxyDN=cn=proxyPassword={NS1}ecc423aad0 192.168.5.5 System successfully configured
# ldapclient -v mod -a enableShadowUpdate=TRUE \ > -a adminDN=cn=admin,ou=profile,dc=example-domain,dc=com System successfully configured
Pour plus d'informations sur le paramètre enableShadowUpdate, reportez-vous à la section Commutateur enableShadowUpdate du Guide d’administration système : Services d’annuaire et de nommage (DNS, NIS et LDAP) et à la page de manuel ldapclient(1M).
Cette procédure configure trois types de journaux : les journaux d'accès, les journaux d'audit et les journaux des erreurs. Les paramètres par défaut suivants n'ont pas été modifiés :
Tous les journaux sont activés et mis en tampon.
Les journaux sont placés dans le répertoire /export/home/ds/instances/your-instance/logs/LOG_TYPE approprié.
Les événements sont enregistrés au niveau de journal 256.
Les journaux sont protégés par des droits d'accès au fichier 600.
Les journaux d'accès sont permutés quotidiennement.
Les journaux des erreurs sont permutés hebdomadairement.
Les paramètres dans cette procédure satisfont aux exigences suivantes :
Les journaux d'audit sont permutés quotidiennement.
Les fichiers journaux plus anciens que 3 mois expirent.
Tous les fichiers journaux utilisent un maximum de 20 000 Mo d'espace disque.
100 fichiers journaux maximum sont conservés, et chaque fichier pèse au maximum 500 Mo.
Les journaux les plus anciens sont supprimés si l'espace disque disponible est inférieur à 500 Mo.
Des informations supplémentaires sont collectées dans les journaux des erreurs.
Le LOG_TYPE pour l'accès est ACCESS. La syntaxe de configuration des journaux est la suivante :
dsconf set-log-prop LOG_TYPE property:value
# dsconf set-log-prop ACCESS max-age:3M # dsconf set-log-prop ACCESS max-disk-space-size:20000M # dsconf set-log-prop ACCESS max-file-count:100 # dsconf set-log-prop ACCESS max-size:500M # dsconf set-log-prop ACCESS min-free-disk-space:500M
# dsconf set-log-prop AUDIT max-age:3M # dsconf set-log-prop AUDIT max-disk-space-size:20000M # dsconf set-log-prop AUDIT max-file-count:100 # dsconf set-log-prop AUDIT max-size:500M # dsconf set-log-prop AUDIT min-free-disk-space:500M # dsconf set-log-prop AUDIT rotation-interval:1d
Par défaut, l'intervalle de permutation des journaux d'audit est une semaine.
Dans cette configuration, vous pouvez spécifier d'autres données à collecter dans le journal des erreurs.
# dsconf set-log-prop ERROR max-age:3M # dsconf set-log-prop ERROR max-disk-space-size:20000M # dsconf set-log-prop ERROR max-file-count:30 # dsconf set-log-prop ERROR max-size:500M # dsconf set-log-prop ERROR min-free-disk-space:500M # dsconf set-log-prop ERROR verbose-enabled:on
Vous pouvez également configurer les paramètres suivants pour chaque journal :
# dsconf set-log-prop LOG_TYPE rotation-min-file-size:undefined # dsconf set-log-prop LOG_TYPE rotation-time:undefined
Pour plus d'informations sur la commande dsconf, reportez-vous à la page de manuel dsconf(1M).
Pour fonctionner dans Trusted Extensions, le port du serveur d'annuaire doit être configuré en tant que port multiniveau (MLP) dans la zone globale.
# /usr/sbin/smc &
Vous êtes invité à saisir votre mot de passe.
# tnctl -fz /etc/security/tsol/tnzonecfg
Plusieurs bases de données LDAP ont été créées ou modifiées afin de contenir les données Trusted Extensions relatives à la configuration de l'étiquette, aux utilisateurs et aux systèmes distants. Dans cette procédure, vous remplissez les bases de données du serveur d'annuaire avec des informations Trusted Extensions.
Avant de commencer
Vous devez remplir la base de données à partir d'un client LDAP sur lequel la mise à jour en double est activée. Pour connaître les conditions requises, reportez-vous à la section Création d'un client LDAP pour le serveur d'annuaire.
Si la sécurité du site requiert la séparation des tâches, exécutez les procédures suivantes avant de remplir le serveur d'annuaire :
Création de profils de droits permettant d'appliquer la séparation des tâches
Création du rôle d'administrateur de sécurité dans Trusted Extensions
# mkdir -p /setup/files
# cd /etc # cp aliases group networks netmasks protocols /setup/files # cp rpc services auto_master /setup/files # cd /etc/security # cp auth_attr prof_attr exec_attr /setup/files/ # # cd /etc/security/tsol # cp tnrhdb tnrhtp /setup/files
Si vous exécutez la version Solaris 10 11/06 sans patch, copiez le fichier ipnodes.
# cd /etc/inet # cp ipnodes /setup/files
Dans la liste de mappages automatiques suivante, la première ligne de chaque paire indique le nom du fichier. La deuxième ligne de chaque paire montre le contenu du fichier. Les noms de zones identifient les étiquettes sur la base du fichier label_encodings par défaut fourni avec le logiciel Trusted Extensions.
Remplacez vos noms de zones par ceux qui apparaissent dans ces lignes.
myNFSserver identifie le serveur NFS pour les répertoires personnels.
/setup/files/auto_home_public * myNFSserver_FQDN:/zone/public/root/export/home/& /setup/files/auto_home_internal * myNFSserver_FQDN:/zone/internal/root/export/home/& /setup/files/auto_home_needtoknow * myNFSserver_FQDN:/zone/needtoknow/root/export/home/& /setup/files/auto_home_restricted * myNFSserver_FQDN:/zone/restricted/root/export/home/&
Aucun mécanisme de caractère générique ne peut être utilisé ici. L'adresse IP de chaque système qui doit être contacté, y compris les adresses IP des zones étiquetées, doit se trouver dans ce fichier.
Les systèmes étiquetés sont de type cipso. En outre, le nom du modèle de sécurité pour les systèmes étiquetés est cipso. Par conséquent, dans la configuration par défaut, une entrée cipso est similaire à l'exemple suivant :
192.168.25.2:cipso
Remarque - Cette liste inclut les adresses IP des zones globales et étiquetées.
Les systèmes sans étiquette sont de type unlabeled. Le nom du modèle de sécurité pour les systèmes sans étiquette est admin_low. Par conséquent, dans la configuration par défaut, une entrée correspondant à un système sans étiquette est similaire à l'exemple suivant :
192.168.35.2:admin_low
# tnchkdb -h /setup/files/tnrhdb
Par exemple, la commande suivante permet de remplir le serveur à partir du fichier hosts de la zone de préparation.
# /usr/sbin/ldapaddent -D "cn=directory manager" \ -w dirmgr123 -a simple -f /setup/files/hosts hosts
Dans la zone globale, exécutez la commande ldapclient l. Utilisez la sortie détaillée pour vérifier que le système n'est plus un client LDAP.
# ldapclient -v uninit
Pour plus d'informations, reportez-vous à la page de manuel ldapclient(1M).