Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide de configuration d’Oracle Solaris Trusted Extensions |
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout du logiciel Trusted Extensions au SE Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
Configuration de la zone globale dans Trusted Extensions
Vérification et installation du fichier de votre fichier label_encodings
Activation du réseau IPv6 dans Trusted Extensions
Configuration du domaine d'interprétation
Création d'un pool ZFS pour le clonage des zones
Redémarrage et connexion à Trusted Extensions
Initialisation du serveur Console de gestion Solaris dans Trusted Extensions
Établissement de la zone globale en tant que client LDAP dans Trusted Extensions
Configuration des interfaces réseau dans Trusted Extensions
Attribution de nom et étiquetage de la zone
Installation de la zone étiquetée
Démarrage de la zone étiquetée
Vérification de l'état de la zone
Personnalisation de la zone étiquetée
Copie ou clonage d'une zone dans Trusted Extensions
Ajout d'interfaces réseau et acheminement vers les zones étiquetées
Ajout d'une interface réseau pour acheminer une zone étiquetée existante
Configuration d'un cache de service de noms dans chaque zone étiquetée
Création de rôles et d'utilisateurs dans Trusted Extensions
Création de profils de droits permettant d'appliquer la séparation des tâches
Création du rôle d'administrateur de sécurité dans Trusted Extensions
Création d'un rôle d'administrateur système limité
Création d'utilisateurs pouvant assumer des rôles dans Trusted Extensions
Vérification du fonctionnement des rôles Trusted Extensions
Autorisation des utilisateurs à se connecter à une zone étiquetée
Création de répertoires personnels dans Trusted Extensions
Création du serveur d'annuaires personnel dans Trusted Extensions
Activation de l'accès des utilisateurs à leurs répertoires personnels dans Trusted Extensions
Ajout d'utilisateurs et d'hôtes à un réseau Trusted Network existant
Ajout d'un utilisateur NIS au serveur LDAP
Dépannage de votre configuration Trusted Extensions
La commande netservices limited a été exécutée après l'activation de Trusted Extensions
Impossible d'ouvrir la fenêtre de console dans une zone étiquetée
La zone étiquetée ne peut accéder au serveur X
Tâches de configuration supplémentaires de Trusted Extensions
Copie de fichiers sur un support amovible dans Trusted Extensions
Copie de fichiers dans Trusted Extensions à partir d'un support amovible
Suppression de Trusted Extensions du système
5. Configuration de LDAP pour Trusted Extensions (tâches)
6. Configuration d'un écouteur avec Trusted Extensions (tâches)
A. Stratégie de sécurité du site
B. Utilisation d'actions CDE pour installer des zones dans Trusted Extensions
C. Liste de contrôle de configuration pour Trusted Extensions
Les tâches suivantes prennent en charge des environnements où chaque zone est connectée à un réseau physique distinct.
|
Cette procédure permet d'ajouter des zone interfaces réseau spécifiques à des zones étiquetées existantes. Cette configuration prend en charge les environnements dans lesquels chaque zone étiquetée est connectée à un réseau physique distinct. Les zones étiquetées utilisent l'acheminement des données fourni par la zone globale.
Remarque - La zone globale doit configurer une adresse IP pour chaque sous-réseau dans lequel une adresse de zone non globale est configurée.
Avant de commencer
Vous êtes superutilisateur dans la zone globale.
Pour chaque zone, vous avez terminé les tâches de la section Création de zones étiquetées.
Utilisez une convention de nommage standard, par exemple ajoutez zone-name au nom de l'hôte.
## /etc/hosts in global zone 10.10.8.2 hostname-zone-name1 10.10.8.3 hostname-global-name1 10.10.9.2 hostname-zone-name2 10.10.9.3 hostname-global-name2
## /etc/netmasks in global zone 10.10.8.0 255.255.255.0 10.10.9.0 255.255.255.0
Pour plus d'informations, reportez-vous à la page de manuel netmasks(4).
# ifconfig -a
# ifconfig interface-nameN1 plumb # ifconfig interface-nameN1 10.10.8.3 up # ifconfig interface-nameN2 plumb # ifconfig interface-nameN2 10.10.9.3 up
# /etc/hostname.interface-nameN1 10.10.8.3 # /etc/hostname.interface-nameN2 10.10.9.3
Les adresses de zone globale sont configurées immédiatement après le démarrage du système. Les adresses spécifiques aux zones sont configurées lors de l'initialisation de la zone.
Si la passerelle vers le réseau n'est pas configurée avec des étiquettes, affectez le modèle de sécurité admin_low. Si la passerelle vers le réseau est étiquetée, affectez un modèle de sécurité cipso.
Vous pouvez créer des modèles de sécurité de type d'hôte cipso qui reflètent l'étiquette de chaque réseau. Pour plus d'informations sur les procédures de création et d'affectation de modèles, reportez-vous à la section Configuration des bases de données réseau de confiance (liste des tâches) du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
# zoneadm -z zone-name halt
# /usr/sbin/txzonemgr
# ifconfig -a
# netstat -rn
Erreurs fréquentes
Pour déboguer la configuration de zone, reportez-vous aux sections suivantes :
Cette procédure permet de définir des routes par défaut spécifiques à une zone pour les zones étiquetées existantes. Dans cette configuration, les zones étiquetées n'utilisent pas la zone globale pour l'acheminement.
La zone étiquetée doit être montée dans la zone globale avant l'initialisation de la zone. Cependant, pour isoler la zone étiquetée de la zone globale, l'interface doit se trouver en état down lors de l'initialisation de la zone. Pour plus d'informations, reportez-vous au Chapitre 17, Non-Global Zone Configuration (Overview) du System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones.
Remarque - Une route par défaut unique doit être configurée pour chaque zone non globale initialisée.
Avant de commencer
Vous êtes superutilisateur dans la zone globale.
Pour chaque zone, vous avez terminé les tâches de la section Création de zones étiquetées. Vous utilisez l'interface vni0 ou lo0 pour connecter les zones étiquetées à la zone globale.
Utilisez la commande ifconfig -a pour déterminer l'adresse IP et le masque de réseau. Utilisez la commande zonecfg -z zonename info net pour déterminer si un routeur par défaut a été attribué.
# touch /etc/hostname.interface # touch /etc/hostname.interface:n
Pour plus d'informations, reportez-vous à la page de manuel netmasks(4).
# ifconfig zone1-network-interface plumb # ifconfig zone2-network-interface plumb
# ifconfig -a zone1-network-interface zone1-IP-address down zone2-network-interface zone2-IP-address down
Les adresses spécifiques aux zones sont configurées lors de l'initialisation de la zone.
## /etc/netmasks in global zone 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0
Pour plus d'informations, reportez-vous à la page de manuel netmasks(4).
Créez des modèles de sécurité de type d'hôte cipso qui reflètent l'étiquette de chaque réseau. Pour créer et affecter les modèles, reportez-vous à la section Configuration des bases de données réseau de confiance (liste des tâches) du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
Dans le gestionnaire de zones étiquetées, vous ajoutez les interfaces réseau pour les zones étiquetées. Dans la fenêtre de terminal, vous affichez les informations relatives à la zone et définissez le routeur par défaut.
# zoneadm -z zone-name halt
# zonecfg -z zone-name info net net: address: IP-address physical: zone-network-interface defrouter not specified
# zonecfg -z zone-name zonecfg:zone-name > select net address=IP-address zonecfg:zone-name:net> set defrouter=router-address zonecfg:zone-name:net> end zonecfg:zone-name > verify zonecfg:zone-name > commit zonecfg:zone-name > exit #
Pour en savoir plus, reportez-vous à la page de manuel zonecfg(1M) et à la section How to Configure the Zone du System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones.
# zoneadm -z zone-name boot
# netstat -rn
Une table de routage s'affiche. La destination et l'interface de la zone étiquetée sont différentes de l'entrée de la zone globale.
# zonecfg -z zone-name zonecfg:zone-name > select net address=zone-IP-address zonecfg:zone-name:net> remove net defrouter=zone-default-route zonecfg:zone-name:net> info net net: address: zone-IP-address physical: zone-network-interface defrouter not specified
Exemple 4-5 Définition d'une route par défaut pour une zone étiquetée
Dans cet exemple, l'administrateur achemine la zone Secret vers un autre sous-réseau physique. Le trafic en provenance et à destination de la zone Secret n'est pas acheminé par le biais de la zone globale. L'administrateur utilise le gestionnaire de zones étiquetées et la commande zonecfg, puis vérifie que l'acheminement fonctionne.
L'administrateur détermine si qfe1 et qfe1:0 ne sont pas en cours d'utilisation et crée un mappage pour deux zones étiquetées. qfe1 est l'interface désignée pour la zone Secret.
Interface IP Address Netmask Default Router qfe1 192.168.2.22 255.255.255.0 192.168.2.2 qfe1:0 192.168.3.33 255.255.255.0 192.168.3.3
Tout d'abord, l'administrateur crée le fichier /etc/hostname.qfe1 et configure le fichier /etc/netmasks.
# touch /etc/hostname.qfe1
# cat /etc/netmasks ## /etc/netmasks in global zone 192.168.2.0 255.255.255.0
Ensuite, l'administrateur monte l'interface réseau et vérifie si elle est en état down.
# ifconfig qfe1 plumb # ifconfig -a
Ensuite, dans la Console de gestion Solaris, l'administrateur crée un modèle de sécurité à l'aide d'une seule étiquette, Secret, et affecte l'adresse IP de l'interface au modèle.
L'administrateur arrête la zone.
# zoneadm -z secret halt
L'administrateur exécute le script txzonemgr pour ouvrir le gestionnaire de zones étiquetées.
# /usr/sbin/txzonemgr
Dans le gestionnaire de zones étiquetées, l'administrateur sélectionne la zone Secret, Add Network (Ajouter un réseau), puis une interface réseau. L'administrateur ferme le gestionnaire de zones étiquetées.
Sur la ligne de commande, l'administrateur sélectionne l'adresse IP de la zone, puis définit sa route par défaut. Avant de quitter la commande, l'administrateur vérifie la route et la valide.
# zonecfg -z secret zonecfg: secret > select net address=192.168.6.22 zonecfg: secret:net> set defrouter=192.168.6.2 zonecfg: secret:net> end zonecfg: secret > verify zonecfg: secret > commit zonecfg: secret > info net net: address: 192.168.6.22 physical: qfe1 defrouter: 192.168.6.2 zonecfg: secret > exit #
L'administrateur initialise la zone.
# zoneadm -z secret boot
Dans une autre fenêtre de terminal dans la zone globale, l'administrateur vérifie l'envoi et la réception de paquets.
# netstat -rn Routing Table: IPv4 Destination Gateway Flags Ref Use Interface -------------------- -------------------- ----- ----- ------- --------- default 192.168.5.15 UG 1 2664 qfe0 192.168.6.2 192.168.6.22 UG 1 240 qfe1 192.168.3.3 192.168.3.33 U 1 183 qfe1:0 127.0.0.1 127.0.0.1 UH 1 380 lo0 ...
Cette procédure permet de configurer séparément un démon du service de noms (nscd) dans chaque zone étiquetée. Cette configuration prend en charge les environnements dans lesquels chaque zone est connectée à un sous-réseau s'exécutant à l'étiquette de la zone, et le sous-réseau possède son propre serveur de noms pour cette étiquette.
Remarque - Cette configuration ne satisfait pas les critères pour une configuration évaluée. Dans une configuration évaluée, le démon nscd s'exécute uniquement dans la zone globale. Les portes dans chaque zone étiquetée connectent la zone au démon nscd global.
Avant de commencer
Vous êtes superutilisateur dans la zone globale. root ne doit pas encore être un rôle. Vous avez exécuté les tâches de la section Ajout d'une interface réseau pour acheminer une zone étiquetée existante.
Pour procéder à cette configuration, vous devez posséder des compétences avancées en matière de gestion de réseaux. Si votre service de nommage est LDAP, vous êtes chargé d'établir la connexion client LDAP pour chaque zone étiquetée. Le démon nscd met en cache les informations relatives au service de noms, mais ne les achemine pas.
Dans une fenêtre de terminal dans chaque zone étiquetée, exécutez la commande suivante :
zone-name # netstat -rn
# /usr/sbin/txzonemgr
Cette option est destinée à être utilisée une fois, pendant la configuration initiale du système.
Pour obtenir de l'aide, reportez-vous aux pages de manuel nscd(1M) and nscd.conf(4).
zone-name # svcs -x name-service-cache svc:/system/name-service-cache:default (name service cache) State: online since October 10, 2010 10:10:10 AM PDT See: nscd(1M) See: /etc/svc/volatile/system-name-service-cache:default.log Impact: None.
zone-name # netstat -rn
Cette sélection supprime le démon nscd de toutes les zones étiquetées.