Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide de l'utilisateur Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
1. Introduction à Trusted Extensions
2. Connexion à Trusted Extensions (tâches)
3. Utilisation de Trusted Extensions (tâches)
Sécurité visible du bureau dans Trusted Extensions
Processus de déconnexion de Trusted Extensions
Travail sur un système étiqueté
Procédure de verrouillage et déverrouillage de l'écran
Procédure de déconnexion de Trusted Extensions
Procédure d'affichage de vos fichiers dans un espace de travail étiqueté
Procédure d'accès aux pages de manuel Trusted Extensions
Procédure d'accès aux fichiers d'initialisation de chaque étiquette
Procédure d'affichage interactif d'une étiquette de fenêtre
Procédure de recherche du pointeur de la souris
Exécution de certaines tâches de bureau courantes dans Trusted Extensions
Réalisation d'actions sécurisées
Procédure de modification du mot de passe dans Trusted Extensions
Procédure de connexion à une étiquette différente
Procédure d'allocation d'un périphérique dans Trusted Extensions
Procédure de libération d'un périphérique dans Trusted Extensions
Procédure d'adoption d'un rôle dans Trusted Extensions
Procédure de modification de l'étiquette d'un espace de travail
Procédure d'ajout d'un espace de travail sous votre étiquette minimale
Procédure de basculement vers un espace de travail possédant une étiquette différente
Procédure de déplacement d'une fenêtre vers un autre espace de travail
Les tâches suivantes liées à la sécurité nécessitent le chemin de confiance.
Attention - Si le symbole de confiance est absent lorsque vous tentez d'effectuer une action liée à la sécurité, contactez immédiatement votre administrateur de sécurité. Le problème de votre système pourrait être grave. |
Contrairement au SE Oracle Solaris, Trusted Extensions fournit une interface graphique permettant de modifier votre mot de passe. L'interface graphique prend le contrôle du pointeur jusqu'à ce que l'opération sur le mot de passe soit terminée. Pour arrêter un processus qui a saisi le pointeur de la souris, reportez-vous à l'Exemple 3-5.
Pour sélectionner l'option de menu relative au mot de passe, cliquez sur Trusted Path dans la bande de confiance.
Figure 3-3 Menu Trusted Path
Remarque - L'option de menu Change Workspace Password (Modifier le mot de passe de l'espace de travail) du menu Trusted Path est active lorsque votre site exécute un service de nommage distinct dans chaque zone.
Cette action confirme que vous êtes l'utilisateur légitime de ce nom d'utilisateur. Pour des raisons de sécurité, le mot de passe ne s'affiche pas lorsque vous le saisissez.
Attention - Lorsque vous saisissez votre mot de passe, assurez-vous que le curseur se trouve dans la boîte de dialogue Change Password (Modifier le mot de passe) et que le symbole de confiance est affiché. Si le curseur ne se trouve pas dans la boîte de dialogue, vous risquez de saisir par inadvertance votre mot de passe dans une autre fenêtre, dans laquelle le mot de passe pourrait être vu par un autre utilisateur. Si le symbole de confiance n'est pas affiché, il est possible qu'un autre utilisateur tente de voler votre mot de passe. Contactez immédiatement votre administrateur de sécurité. |
Remarque - Si vous choisissez Change Password (Modifier le mot de passe) et si votre site utilise des comptes locaux, votre nouveau mot de passe ne prendra effet qu'après le redémarrage de la zone ou du système. Vous ne pouvez redémarrer la zone que si le profil de droits Zone Security (Sécurité des zones) vous est affecté. Vous ne pouvez redémarrer le système que si le profil de droits Maintenance and Repair (Maintenance et réparations) vous est affecté. Si aucun de ces profils ne vous est affecté, contactez votre administrateur système pour programmer un redémarrage.
Exemple 3-5 Test permettant de vérifier si l'invite de mot de passe est de confiance
Sur un système x86 équipé d'un clavier Sun, l'utilisateur a été invité à saisir un mot de passe. Le pointeur de la souris a été capté et est placé dans la boîte de dialogue du mot de passe. Pour vérifier que l'invite est de confiance, l'utilisateur appuie simultanément sur les touches Meta-Arrêt. Si le pointeur reste dans la boîte de dialogue, l'utilisateur sait que l'invite du mot de passe est de confiance.
Si le pointeur ne reste pas dans la boîte de dialogue, l'utilisateur sait que l'invite du mot de passe n'est pas sécurisée. L'utilisateur doit alors contacter l'administrateur.
L'étiquette du premier espace de travail qui apparaît dans les sessions de connexion suivant la première connexion peut être définie sur toute étiquette de votre plage d'étiquettes.
Les utilisateurs peuvent configurer les caractéristiques de la session de démarrage pour chaque étiquette à laquelle ils se connectent.
Avant de commencer
Vous devez être connecté à une session multiniveau.
Pour plus d'informations, reportez-vous à la section Procédure d'ajout d'un espace de travail sous votre étiquette minimale.
Pour plus d'informations, reportez-vous à la section Exécution de certaines tâches de bureau courantes dans Trusted Extensions.
L'option de menu Allocate Device (Allouer le périphérique) permet de monter et d'allouer un périphérique pour votre usage exclusif. Si vous essayez d'utiliser un périphérique sans l'allouer, le message d'erreur Permission Denied (Autorisation refusée) apparaît.
Avant de commencer
Vous devez être autorisé pour allouer un périphérique.
Les périphériques que vous êtes autorisé à allouer avec votre étiquette active s'affichent dans la liste Available Devices (Périphériques disponibles) :
audion : représente un microphone et un haut-parleur ;
cdromn : représente une unité de CD-ROM ;
floppyn : représente une unité de disquette ;
mag_tapen : représente un lecteur de bande (transmission en continu) ;
rmdiskn : représente un disque amovible, tel qu'un lecteur JAZ, ZIP ou un média USB enfichable à chaud.
La boîte de dialogue suivante indique que vous n'êtes pas autorisé à allouer des périphériques :
Déplacez le périphérique depuis la liste des périphériques disponibles (Available Devices) vers la liste des périphériques alloués (Allocated Devices).
Cette étape lance le script de nettoyage. Le script de nettoyage permet de s'assurer qu'aucune donnée issue d'autres transactions ne subsiste sur le média.
Notez que l'étiquette de l'espace de travail actif est appliquée au périphérique. Les éventuelles données transférées vers ou à partir du média du périphérique doivent être dominées par cette étiquette.
Les instructions garantissent que le média possède l'étiquette appropriée. Les instructions ci-après s'affichent par exemple pour l'utilisation d'un microphone :
Le périphérique est ensuite monté. Le nom du périphérique apparaît maintenant dans la liste des périphériques alloués. Ce périphérique est maintenant alloué pour votre usage exclusif.
Erreurs fréquentes
Si le périphérique que vous souhaitez utiliser ne figure pas dans la liste, contactez votre administrateur. Le périphérique peut être dans un état d'erreur ou être utilisé par quelqu'un d'autre. Ou vous n'êtes peut-être pas autorisé à utiliser le périphérique.
Si vous passez à l'espace de travail d'un rôle différent ou à un espace de travail d'étiquette différente, le périphérique alloué ne peut pas fonctionner. Pour utiliser le périphérique avec la nouvelle étiquette, vous devez libérer le périphérique au niveau de l'étiquette initiale, puis l'allouer à la nouvelle étiquette. Lorsque vous déplacez le gestionnaire de périphériques (Device Manager) vers un espace de travail sous une étiquette différente, la liste des périphériques disponibles et celle des périphériques alloués changent pour refléter le contexte correct.
Si une fenêtre du navigateur de fichiers n'apparaît pas, ouvrez la fenêtre manuellement, puis naviguez jusqu'au répertoire root, /. Dans ce répertoire, naviguez jusqu'au périphérique alloué pour afficher son contenu.
Le périphérique peut maintenant être utilisé par un autre utilisateur autorisé.
Contrairement au SE Oracle Solaris, Trusted Extensions fournit une interface graphique permettant d'assumer un rôle.
Cette action confirme que vous pouvez légitimement assumer ce rôle. Pour des raisons de sécurité, le mot de passe ne s'affiche pas lorsque vous le saisissez.
Attention - Lorsque vous saisissez votre mot de passe, assurez-vous que le curseur se trouve dans la boîte de dialogue Change Password (Modifier le mot de passe) et que le symbole de confiance est affiché. Si le curseur ne se trouve pas dans la boîte de dialogue, vous risquez de saisir par inadvertance votre mot de passe dans une autre fenêtre, dans laquelle le mot de passe pourrait être vu par un autre utilisateur. Si le symbole de confiance n'est pas affiché, il est possible qu'un autre utilisateur tente de voler votre mot de passe. Contactez immédiatement votre administrateur de sécurité. |
Une fois le mot de passe du rôle accepté, l'espace de travail actif devient l'espace de travail du rôle. Vous vous trouvez dans la zone globale. Vous pouvez effectuer les tâches autorisées par les profils de droits de votre rôle.
La possibilité de définir les étiquettes des espaces de travail dans Trusted Extensions offre un moyen pratique de travailler sous différentes étiquettes dans une même session multiniveau.
Utilisez la procédure décrite ci-dessous pour travailler avec une étiquette différente dans le même espace de travail. Pour créer un espace de travail sous une étiquette différente, reportez-vous à la section Procédure d'ajout d'un espace de travail sous votre étiquette minimale.
Avant de commencer
Vous devez être connecté à une session multiniveau.
Vous pouvez également cliquer sur le panneau d'un espace de travail.
L'illustration suivante présente l'utilisateur en train de cliquer sur le bouton Trusted Path (Chemin de confiance).
Figure 3-4 Générateur d'étiquettes (Label Builder)
Après avoir cliqué sur ce bouton, l'utilisateur peut sélectionner une étiquette parmi les étiquettes de l'utilisateur. L'étiquette de l'espace de travail est remplacée par la nouvelle étiquette. Dans un système dans lequel les étiquettes sont assorties d'une couleur, les nouvelles fenêtres sont représentées à l'aide de la nouvelle couleur.
Si votre site exécute un service de nommage distinct pour chaque zone, les utilisateurs sont invités à saisir un mot de passe lorsqu'ils accèdent à un espace de travail sous une nouvelle étiquette.
La possibilité de définir les étiquettes des espaces de travail dans Trusted Extensions offre un moyen pratique de travailler sous différentes étiquettes dans une même session multiniveau. Vous pouvez ajouter un espace de travail sous votre étiquette minimale.
Pour modifier l'étiquette de l'espace de travail actif, reportez-vous à la section Procédure de modification de l'étiquette d'un espace de travail.
Avant de commencer
Vous devez être connecté à une session multiniveau.
Les nouveaux espaces de travail créés possèdent votre étiquette minimum. Vous pouvez également utiliser cette boîte de dialogue pour nommer les espaces de travail. Le nom s'affiche dans l'info-bulle.
Lorsque la souris se trouve sur le panneau d'un espace de travail, le nom de celui-ci s'affiche dans l'info-bulle.
Pour plus d'informations, reportez-vous à la section Procédure de modification de l'étiquette d'un espace de travail.
Avant de commencer
Vous devez être connecté à une session multiniveau.
Si votre site exécute un service de nommage distinct pour chaque zone, les utilisateurs sont invités à saisir un mot de passe lorsqu'ils accèdent à un espace de travail sous une nouvelle étiquette.
Erreurs fréquentes
Si vous êtes connecté à une session à niveau unique, vous devez vous déconnecter pour travailler au niveau d'une autre étiquette. Ensuite, connectez-vous à l'étiquette souhaitée. Si vous y êtes autorisé, vous pouvez également ouvrir une session multiniveau.
Si vous faites glisser une fenêtre vers un espace de travail sous une étiquette différente, la fenêtre conserve son étiquette d'origine. Les actions effectuées dans cette fenêtre sont réalisées sous l'étiquette de la fenêtre, et non sous celle de l'espace de travail qui la contient. Le déplacement d'une fenêtre est utile pour comparer des informations. Vous pouvez aussi vouloir utiliser des applications à différents niveaux d'étiquette sans avoir à changer d'espace de travail.
La fenêtre déplacée apparaît maintenant dans le deuxième espace de travail.
La fenêtre sélectionnée apparaît à présent dans chaque espace de travail.
En général, l'étiquette d'un fichier est évidente. Toutefois, si vous êtes autorisé à visualiser les fichiers possédant une étiquette inférieure à celle de votre espace de travail actif, l'étiquette d'un fichier peut ne pas être évidente. En particulier, l'étiquette d'un fichier peut être différente de l'étiquette du navigateur de fichiers.
Astuce - Vous pouvez également utiliser l'option de menu Query Labels (Requête d'étiquette) dans le menu Trusted Path.
Comme dans un système Oracle Solaris, vous pouvez déplacer les données entre les fenêtres dans Trusted Extensions. Toutefois, les données doivent posséder la même étiquette. Lorsque vous transférez des informations entre des fenêtres possédant des étiquettes différentes, vous augmentez ou réduisez la sensibilité de ces informations.
Avant de commencer
La stratégie de sécurité de votre site doit autoriser ce type de transfert, la zone contenant les données doit autoriser le nouvel étiquetage et vous devez être autorisé à déplacer des données entre des étiquettes.
Par conséquent, l'administrateur doit avoir effectué les tâches suivantes :
Vous devez être connecté à une session multiniveau.
Pour plus d'informations, reportez-vous à la section Procédure d'ajout d'un espace de travail sous votre étiquette minimale.
Pour plus d'informations, reportez-vous à la section Procédure de détermination de l'étiquette d'un fichier.
Pour plus d'informations, reportez-vous à la section Procédure de déplacement d'une fenêtre vers un autre espace de travail.
La boîte de dialogue de confirmation du gestionnaire de sélection (Selection Manager) s'affiche.
Figure 3-5 Boîte de dialogue de confirmation du gestionnaire de sélection (Selection Manager)
Cette boîte de dialogue :
explique pourquoi la confirmation de la transaction est nécessaire ;
identifie l'étiquette et le propriétaire du fichier source ;
identifie l'étiquette et le propriétaire du fichier cible ;
identifie le type de données sélectionnées pour le transfert, le type du fichier cible et la taille des données en octets. Par défaut, les données sélectionnées sont visibles sous forme de texte ;
indique le temps restant jusqu'à l'achèvement de la transaction. La durée et l'utilisation du chronomètre dépendent de la configuration de votre site.