JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Configuration et administration d'Oracle Solaris Trusted Extensions     Oracle Solaris 11 Information Library (Français)
search filter icon
search icon

Informations document

Préface

Partie I Configuration initiale de Trusted Extensions

1.  Planification de la sécurité pour Trusted Extensions

2.  Déroulement de la configuration de Trusted Extensions

3.  Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)

4.  Configuration de Trusted Extensions (tâches)

5.  Configuration de LDAP pour Trusted Extensions (tâches)

Partie II Administration de Trusted Extensions

6.  Concepts d'administration de Trusted Extensions

7.  Outils d'administration de Trusted Extensions

8.  Exigences de sécurité sur un système Trusted Extensions (présentation)

9.  Exécution de tâches courantes dans Trusted Extensions (tâches)

10.  Utilisateurs, droits et rôles dans Trusted Extensions (présentation)

11.  Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)

12.  Administration à distance dans Trusted Extensions (tâches)

13.  Gestion des zones dans Trusted Extensions (tâches)

14.  Gestion et montage de fichiers dans Trusted Extensions (tâches)

15.  Gestion de réseaux de confiance (présentation)

16.  Gestion des réseaux dans Trusted Extensions (tâches)

17.  Trusted Extensions et LDAP (présentation)

18.  Messagerie multiniveau dans Trusted Extensions (présentation)

19.  Gestion de l'impression étiquetée (tâches)

20.  Périphériques dans Trusted Extensions (présentation)

21.  Gestion des périphériques pour Trusted Extensions (tâches)

Manipulation des périphériques dans Trusted Extensions (liste des tâches)

Utilisation de périphériques dans Trusted Extensions (liste des tâches)

Gestion des périphériques dans Trusted Extensions (liste des tâches)

Procédure de configuration d'un périphérique dans Trusted Extensions

Procédure de révocation ou de récupération d'un périphérique dans Trusted Extensions

Procédure de protection des périphériques non allouables dans Trusted Extensions

Procédure d'ajout d'un script Device_Clean dans Trusted Extensions

Personnalisation des autorisations de périphériques dans Trusted Extensions (liste des tâches)

Procédure de création d'autorisations de périphériques

Procédure d'ajout d'autorisations spécifiques à un site à un périphérique dans Trusted Extensions

Procédure d'assignation d'autorisations de périphériques

22.  Audit de Trusted Extensions (présentation)

23.  Gestion des logiciels dans Trusted Extensions (Référence)

A.  Stratégie de sécurité du site

Création et gestion d'une stratégie de sécurité

Stratégie de sécurité du site et Trusted Extensions

Recommandations relatives à la sécurité informatique

Recommandations relatives à la sécurité physique

Recommandations relatives à la sécurité du personnel

Violations de sécurité courantes

Références de sécurité supplémentaires

B.  Liste de contrôle de configuration pour Trusted Extensions

Liste de contrôle de configuration de Trusted Extensions

C.  Guide de référence rapide pour l'administration de Trusted Extensions

Interfaces d'administration dans Trusted Extensions

Interfaces Oracle Solaris étendues par Trusted Extensions

Renforcement des paramètres de sécurité par défaut dans Trusted Extensions

Options limitées dans Trusted Extensions

D.  Liste des pages de manuel Trusted Extensions

Pages de manuel Trusted Extensions par ordre alphabétique

Pages de manuel Oracle Solaris modifiées par Trusted Extensions

Glossaire

Index

Personnalisation des autorisations de périphériques dans Trusted Extensions (liste des tâches)

La liste des tâches ci-dessous décrit des procédures permettant de modifier les autorisations de périphériques sur votre site.

Tâche
Description
Voir
Création d'autorisations de périphériques
Permet de créer des autorisations spécifiques au site.
Ajout d'autorisations à un périphérique
Permet d'ajouter des autorisations spécifiques au site à des périphériques sélectionnés.
Octroi d'autorisations de périphériques aux utilisateurs et aux rôles
Permet aux utilisateurs et aux rôles d'utiliser les nouvelles autorisations.

Procédure de création d'autorisations de périphériques

Si aucune autorisation n'est spécifiée lors de la création d'un périphérique, tous les utilisateurs peuvent, par défaut, utiliser le périphérique. Si une autorisation est spécifiée, seuls les utilisateurs autorisés peuvent, par défaut, utiliser le périphérique.

Pour empêcher tout accès à un périphérique allouable sans utilisation d'autorisations, reportez-vous à l'Exemple 21-1.

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

  1. Modifiez le fichier auth_attr.
  2. Créez un en-tête pour les nouvelles autorisations.

    Utilisez le nom de domaine Internet de votre organisation en ordre inverse suivi de composants quelconques facultatifs, tels que le nom de votre société. Séparez les composants par des points. Ajoutez un point après les noms d'en-tête.

    domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html
  3. Ajoutez les entrées des nouvelles autorisations.

    Ajoutez les autorisations (une autorisation par ligne). Les lignes sont fractionnées pour permettre leur affichage. Les autorisations comprennent des autorisations grant qui permettent aux administrateurs d'affecter les nouvelles autorisations.

    domain-suffix.domain-prefix.grant:::Grant All Company Authorizations::
    help=CompanyGrant.html
    domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations::
    help=CompanyGrantDevice.html
    domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device::
    help=CompanyTapeAllocate.html
    domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device::
    help=CompanyFloppyAllocate.html
  4. Enregistrez le fichier et fermez l'éditeur.
  5. Si vous utilisez LDAP comme service de nommage, mettez à jour les entrées auth_attr sur le serveur Oracle Directory Server Enterprise Edition (serveur d'annuaire).

    Pour plus d'informations, reportez-vous à la page de manuel ldapaddent(1M).

  6. Ajoutez les nouvelles autorisations aux profils de droits appropriés. Affectez ensuite les profils aux utilisateurs et aux rôles.
  7. Utilisez l'autorisation pour limiter l'accès aux lecteurs de bande et aux unités de disquette.

    Ajoutez les nouvelles autorisations à la liste des autorisations nécessaires dans le gestionnaire de périphériques. Pour plus d'informations sur cette procédure, reportez-vous à la section Procédure d'ajout d'autorisations spécifiques à un site à un périphérique dans Trusted Extensions.

Exemple 21-2 Création d'autorisations de périphériques détaillées

Un administrateur de sécurité de NewCo a besoin de construire des autorisations de périphériques détaillées pour la société.

Tout d'abord, l'administrateur crée les fichiers d'aide suivants et les place dans le répertoire /usr/lib/help/auths/locale/C :

Newco.html
NewcoGrant.html
NewcoGrantDevice.html
NewcoTapeAllocate.html
NewcoFloppyAllocate.html

L'administrateur ajoute ensuite un en-tête pour toutes les autorisations de newco.com dans le fichier auth_attr.

# auth_attr file
com.newco.:::NewCo Header::help=Newco.html

Puis l'administrateur ajoute les entrées des autorisations au fichier :

com.newco.grant:::Grant All NewCo Authorizations::
help=NewcoGrant.html
com.newco.grant.device:::Grant NewCo Device Authorizations::
help=NewcoGrantDevice.html
com.newco.device.allocate.tape:::Allocate Tape Device::
help=NewcoTapeAllocate.html
com.newco.device.allocate.floppy:::Allocate Floppy Device::
help=NewcoFloppyAllocate.html

Les lignes sont fractionnées pour permettre leur affichage.

Les entrées dans auth_attr créent les autorisations suivantes :

Exemple 21-3 Création d'autorisations de chemin de confiance et de chemin non de confiance

Par défaut, l'autorisation Allocate Devices (Allouer des périphériques) permet l'allocation de tous les périphériques depuis le chemin de confiance et depuis d'autres emplacements que le chemin de confiance.

Dans l'exemple suivant, la stratégie de sécurité du site exige la limitation de l'allocation de CD-ROM distant. L'administrateur de sécurité crée l'autorisation com.someco.device.cdrom.local. Cette autorisation concerne les unités de CD-ROM qui sont allouées via le chemin de confiance. L'autorisation com.someco.device.cdrom.remote est destinée aux rares utilisateurs autorisés à allouer des unités de CD-ROM depuis un emplacement autre que le chemin de confiance.

L'administrateur de sécurité crée les fichiers d'aide, ajoute les autorisations à la base de données auth_attr, ajoute les autorisations aux périphériques, puis place les autorisations dans des profils de droits. Les profils sont affectés aux utilisateurs autorisés à allouer des périphériques.

Procédure d'ajout d'autorisations spécifiques à un site à un périphérique dans Trusted Extensions

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité ou dans un rôle qui inclut l'autorisation Configure Device Attributes (Configurer les attributs des périphériques). Vous devez avoir créé des autorisations spécifiques à un site, comme décrit à la section Procédure de création d'autorisations de périphériques.

  1. Suivez la procédure Procédure de configuration d'un périphérique dans Trusted Extensions.
    1. Sélectionnez le périphérique que vous souhaitez protéger au moyen des nouvelles autorisations.
    2. Cliquez sur le bouton Administration.
    3. Cliquez sur le bouton Authorizations (Autorisations).

      Les nouvelles autorisations s'affichent dans la liste Not Required (Non requis).

    4. Ajoutez les nouvelles autorisations à la liste des autorisations requises.
  2. Cliquez sur OK pour enregistrer vos modifications.

Procédure d'assignation d'autorisations de périphériques

L'autorisation Allocate Device (Allouer un périphérique) permet aux utilisateurs d'allouer un périphérique. Les autorisations Allocate Device et Revoke or Reclaim Device (Révoquer ou récupérer un périphérique) sont appropriées pour les rôles d'administration.

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

Si les profils existants ne sont pas appropriés, l'administrateur de sécurité peut créer un nouveau profil. Pour obtenir un exemple, reportez-vous à la section Procédure de création d'un profil de droits pour des autorisations commodes.

Exemple 21-4 Affectation de nouvelles autorisations de périphériques

Dans cet exemple, l'administrateur de sécurité configure les nouvelles autorisations de périphériques pour le système et affecte le profil de droits incluant les nouvelles autorisations à des utilisateurs dignes de confiance. L'administrateur de sécurité effectue les opérations suivantes :

  1. Il crée de nouvelles autorisations de périphériques, comme décrit à la section Procédure de création d'autorisations de périphériques.

  2. Dans le gestionnaire de périphériques (Device Manager), il ajoute les nouvelles autorisations de périphérique aux unités de bande et de disquette.

  3. Il place les nouvelles autorisations dans le profil de droits NewCo Allocation.

  4. Il ajoute le profil de droits NewCo Allocation aux profils des utilisateurs et des rôles qui sont autorisés à allouer des lecteurs de bande et des unités de disquette.

Les utilisateurs et les rôles autorisés peuvent maintenant utiliser les lecteurs de bande et les unités de disquette sur ce système.