JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Configuration et administration d'Oracle Solaris Trusted Extensions     Oracle Solaris 11 Information Library (Français)
search filter icon
search icon

Informations document

Préface

Partie I Configuration initiale de Trusted Extensions

1.  Planification de la sécurité pour Trusted Extensions

2.  Déroulement de la configuration de Trusted Extensions

3.  Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)

4.  Configuration de Trusted Extensions (tâches)

5.  Configuration de LDAP pour Trusted Extensions (tâches)

Partie II Administration de Trusted Extensions

6.  Concepts d'administration de Trusted Extensions

7.  Outils d'administration de Trusted Extensions

8.  Exigences de sécurité sur un système Trusted Extensions (présentation)

9.  Exécution de tâches courantes dans Trusted Extensions (tâches)

10.  Utilisateurs, droits et rôles dans Trusted Extensions (présentation)

11.  Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)

12.  Administration à distance dans Trusted Extensions (tâches)

13.  Gestion des zones dans Trusted Extensions (tâches)

14.  Gestion et montage de fichiers dans Trusted Extensions (tâches)

15.  Gestion de réseaux de confiance (présentation)

16.  Gestion des réseaux dans Trusted Extensions (tâches)

17.  Trusted Extensions et LDAP (présentation)

18.  Messagerie multiniveau dans Trusted Extensions (présentation)

19.  Gestion de l'impression étiquetée (tâches)

20.  Périphériques dans Trusted Extensions (présentation)

21.  Gestion des périphériques pour Trusted Extensions (tâches)

Manipulation des périphériques dans Trusted Extensions (liste des tâches)

Utilisation de périphériques dans Trusted Extensions (liste des tâches)

Gestion des périphériques dans Trusted Extensions (liste des tâches)

Procédure de configuration d'un périphérique dans Trusted Extensions

Procédure de révocation ou de récupération d'un périphérique dans Trusted Extensions

Procédure de protection des périphériques non allouables dans Trusted Extensions

Procédure d'ajout d'un script Device_Clean dans Trusted Extensions

Personnalisation des autorisations de périphériques dans Trusted Extensions (liste des tâches)

Procédure de création d'autorisations de périphériques

Procédure d'ajout d'autorisations spécifiques à un site à un périphérique dans Trusted Extensions

Procédure d'assignation d'autorisations de périphériques

22.  Audit de Trusted Extensions (présentation)

23.  Gestion des logiciels dans Trusted Extensions (Référence)

A.  Stratégie de sécurité du site

Création et gestion d'une stratégie de sécurité

Stratégie de sécurité du site et Trusted Extensions

Recommandations relatives à la sécurité informatique

Recommandations relatives à la sécurité physique

Recommandations relatives à la sécurité du personnel

Violations de sécurité courantes

Références de sécurité supplémentaires

B.  Liste de contrôle de configuration pour Trusted Extensions

Liste de contrôle de configuration de Trusted Extensions

C.  Guide de référence rapide pour l'administration de Trusted Extensions

Interfaces d'administration dans Trusted Extensions

Interfaces Oracle Solaris étendues par Trusted Extensions

Renforcement des paramètres de sécurité par défaut dans Trusted Extensions

Options limitées dans Trusted Extensions

D.  Liste des pages de manuel Trusted Extensions

Pages de manuel Trusted Extensions par ordre alphabétique

Pages de manuel Oracle Solaris modifiées par Trusted Extensions

Glossaire

Index

Gestion des périphériques dans Trusted Extensions (liste des tâches)

La liste des tâches ci-dessous décrit des procédures permettant d'assurer la protection des périphériques sur votre site.

Tâche
Description
Voir
Définition ou modification de la stratégie des périphériques
Permet de modifier les privilèges qui sont nécessaires pour accéder à un périphérique.
Octroi de l'autorisation d'allouer un périphérique à des utilisateurs
Le rôle d'administrateur de sécurité affecte à l'utilisateur un profil de doits comportant l'autorisation Allocate Device (Allouer un périphérique).
Le rôle d'administrateur de sécurité affecte à l'utilisateur un profil doté des autorisations spécifiques au site.
Configuration d'un périphérique
Permet de choisir des fonctions de sécurité pour protéger le périphérique.
Révocation ou récupération d'un périphérique
Utilise le gestionnaire de périphériques (Device Manager) pour rendre disponible un périphérique.
Utilise les commandes d'Oracle Solaris pour rendre disponible ou indisponible un périphérique.
Interdiction de l'accès à un périphérique allouable
Offre un contrôle d'accès détaillé à un périphérique.
Permet d'interdire l'accès à un périphérique allouable à tous les utilisateurs.
Protection des imprimantes et mémoires graphiques
Garantit que les périphériques non allouables ne sont pas allouables.
Utilisation d'un nouveau script de nettoyage de périphérique
Permet de placer un nouveau script aux endroits appropriés.

Procédure de configuration d'un périphérique dans Trusted Extensions

Par défaut, un périphérique allouable dispose d'une plage d'étiquettes allant de ADMIN_LOW à ADMIN_HIGH et doit être alloué pour pouvoir être utilisé. Des utilisateurs doivent également être autorisés à allouer le périphérique. Ces valeurs par défaut peuvent être modifiées.

Les périphériques suivants peuvent être alloués pour permettre leur utilisation :

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

  1. Dans le menu Trusted Path (Chemin de confiance), sélectionnez Allocate Device (Allouer un périphérique).

    Le gestionnaire de périphériques (Device Manager) apparaît.


    image:Le gestionnaire de périphériques affiche les périphériques disponibles pour l'utilisateur root. Le menu Administration situé en regard de la partie inférieure gauche ouvre l'interface graphique utilisateur Administration.
  2. Affichez les paramètres de sécurité par défaut.

    Cliquez sur Administration, puis mettez le périphérique en surbrillance. La figure suivante montre un périphérique audio en cours de visualisation par le rôle root.


    image:Propriétés d'un périphérique : la boîte de dialogue audio0 présente les paramètres de sécurité par défaut pour un périphérique audio alloué par le rôle root dans la zone globale.
  3. (Facultatif) Limitez la plage d'étiquettes sur le périphérique.
    1. Définissez l'étiquette minimale.

      Cliquez sur le bouton Min Label (Étiquette min). Choisissez une étiquette minimale dans le générateur d'étiquettes (Label Builder). Pour plus d'informations sur le générateur d'étiquettes, reportez-vous à la section Générateur d'étiquettes dans Trusted Extensions.

    2. Définissez l'étiquette maximale.

      Cliquez sur le bouton Max Label... (Étiquette max). Choisissez une étiquette maximale dans le générateur d'étiquettes.

  4. Indiquez si le périphérique peut être alloué localement.

    Dans la boîte de dialogue Device Configuration (Configuration de périphériques), sous For Allocations From Trusted Path (Pour des allocations à partir d'un chemin de confiance), sélectionnez une option dans la liste Allocatable By (Allouable par). Par défaut, l'option Authorized Users (Utilisateurs autorisés) est cochée. Par conséquent, le périphérique est allouable et les utilisateurs doivent être autorisés.

    • Pour rendre le périphérique non allouable, cliquez sur No Users (Aucun utilisateur).

      Lors de la configuration d'une imprimante, d'une mémoire graphique ou d'un autre périphérique qui ne doit pas être allouable, sélectionnez No Users.

    • Pour rendre le périphérique allouable sans exiger d'autorisation, cliquez sur All Users (Tous les utilisateurs).
  5. Indiquez si le périphérique peut être alloué à distance.

    Dans la section For Allocations From Non-Trusted Path (Pour des allocations à partir d'un chemin qui n'est pas de confiance), sélectionnez une option dans la liste Allocatable by. Par défaut, l'option Same As Trusted Path (Identique au chemin de confiance) est cochée.

    • Pour exiger que les utilisateurs soient autorisés, sélectionnez l'option Allocatable by Authorized Users (Allouable par Utilisateurs autorisés).
    • Pour rendre le périphérique non allouable par des utilisateurs distants, sélectionnez No Users.
    • Pour rendre le périphérique allouable par n'importe quel utilisateur, sélectionnez All Users.
  6. Si le périphérique est allouable et que votre site a créé de nouvelles autorisations de périphériques, sélectionnez l'autorisation appropriée.

    La boîte de dialogue ci-dessous montre que l'autorisation solaris.device.allocate est requise pour allouer le périphérique cdrom0.


    image:Propriétés du périphérique : la boîte de dialogue audio0 montre l'autorisation requise pour le périphérique.

    Pour créer et utiliser des autorisations de périphériques spécifiques au site, reportez-vous à la section Personnalisation des autorisations de périphériques dans Trusted Extensions (liste des tâches).

  7. Cliquez sur OK pour enregistrer vos modifications.

Procédure de révocation ou de récupération d'un périphérique dans Trusted Extensions

Si un périphérique n'est pas répertorié dans le gestionnaire de périphériques (Device Manager), il est peut-être déjà alloué ou présente une erreur d'allocation. L'administrateur système peut récupérer le périphérique pour l'utiliser.

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale. Ce rôle inclut l'autorisation solaris.device.revoke.

  1. Dans le menu Trusted Path (Chemin de confiance), sélectionnez Allocate Device (Allouer un périphérique).

    Dans la figure ci-dessous, le périphérique audio est déjà alloué à un utilisateur.


    image:Le gestionnaire de périphériques indique que le périphérique audio0 est alloué à l'utilisateur sous l'étiquette interne.
  2. Cliquez sur le bouton Administration.
  3. Vérifiez l'état d'un périphérique.

    Sélectionnez le nom du périphérique et vérifiez le champ State (État).

    • Si le champ State affiche Allocate Error State (État d'erreur d'allocation), cliquez sur le bouton Reclaim (Récupérer).
    • Si le champ State affiche Allocated (Alloué), effectuez l'une des opérations suivantes :
      • Demandez à l'utilisateur dans le champ Owner (Propriétaire) de libérer le périphérique.
      • Forcez la libération du périphérique en cliquant sur le bouton Revoke (Révoquer).
  4. Fermez le gestionnaire de périphériques.

Procédure de protection des périphériques non allouables dans Trusted Extensions

L'option No Users (Aucun utilisateur) dans la section Allocatable By (Allouable par) de la boîte de dialogue Device Configuration (Configuration des périphériques) est utilisée le plus souvent pour la mémoire graphique et l'imprimante, qui ne doivent pas nécessairement être allouées pour pouvoir être utilisées.

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

  1. Dans le menu Trusted Path (Chemin de confiance), sélectionnez Allocate Device (Allouer un périphérique).
  2. Dans le gestionnaire de périphériques, cliquez sur le bouton Administration.
  3. Sélectionnez la nouvelle imprimante ou la nouvelle mémoire graphique.
    1. Pour rendre le périphérique non allouable, cliquez sur No Users (Aucun utilisateur).
    2. (Facultatif) Limitez la plage d'étiquettes sur le périphérique.
      1. Définissez l'étiquette minimale.

        Cliquez sur le bouton Min Label... (Étiquette min). Choisissez une étiquette minimale dans le générateur d'étiquettes (Label Builder). Pour plus d'informations sur le générateur d'étiquettes, reportez-vous à la section Générateur d'étiquettes dans Trusted Extensions.

      2. Définissez l'étiquette maximale.

        Cliquez sur le bouton Max Label... (Étiquette max). Choisissez une étiquette maximale dans le générateur d'étiquettes.

Exemple 21-1 Interdiction de l'allocation distante d'un périphérique audio

L'option No Users (Aucun utilisateur) de la section Allocatable By (Allouable par) empêche les utilisateurs distants d'entendre les conversations autour d'un système distant.

L'administrateur de sécurité configure le périphérique audio dans le gestionnaire de périphériques comme suit :

Device Name: audio
For Allocations From: Trusted Path
Allocatable By: Authorized Users
Authorizations: solaris.device.allocate
Device Name: audio
For Allocations From: Non-Trusted Pathh
Allocatable By: No Users

Procédure d'ajout d'un script Device_Clean dans Trusted Extensions

Si aucun script device_clean n'est spécifié lors de la création d'un périphérique, le script par défaut /bin/true est utilisé.

Avant de commencer

Ayez à votre disposition un script qui purge toutes les données utilisables à partir du périphérique physique et qui renvoie 0 pour indiquer la réussite. Sur les périphériques avec des médias amovibles, le script tente d'éjecter le média si l'utilisateur ne le fait pas. Le script place le périphérique dans l'état d'erreur d'allocation si le média n'est pas éjecté. Pour plus d'informations sur les conditions requises, reportez-vous à la page de manuel device_clean(5).

Vous devez être dans le rôle root dans la zone globale.

  1. Copiez le script dans le répertoire /etc/security/lib.
  2. Dans la boîte de dialogue Device Properties (Propriétés de périphériques), spécifiez le chemin d'accès complet au script.
    1. Ouvrez le gestionnaire de périphériques.
    2. Cliquez sur le bouton Administration.
    3. Sélectionnez le nom du périphérique, puis cliquez sur le bouton Configure (Configurer).
    4. Dans le champ Clean Program (Programme de nettoyage), saisissez le chemin d'accès complet du script.
  3. Enregistrez vos modifications.