Utilisation d'un service de nommage dans Trusted Extensions

Pour uniformiser les attributs d'utilisateur, d'hôte et de réseau au sein d'un domaine de sécurité comprenant plusieurs systèmes Trusted Extensions, un service de nommage est utilisé pour distribuer la plupart des informations de configuration. Le service svc:/system/name-service/switch détermine le service de nommage à utiliser. Dans Trusted Extensions, le service de nommage recommandé est LDAP

Le serveur d'annuaire peut fournir le service de nommage LDAP pour les clients Trusted Extensions et Oracle Solaris. Le serveur doit inclure les bases de données réseau Trusted Extensions et les clients Trusted Extensions doivent se connecter au serveur par l'intermédiaire d'un port multiniveau. L'administrateur de sécurité indique le port multiniveau durant la configuration du système.

Trusted Extensions ajoute deux bases de données d'un réseau de confiance vers le serveur d'annuaire : tnrhdb et tnrhtp.

• Pour plus d'informations sur l'utilisation du service de nommage LDAP dans Oracle Solaris, reportez-vous à la section Oracle Solaris Administration: Naming and Directory Services .

• La configuration du serveur d'annuaire pour Trusted Extensions est décrite au Chapitre 5, Configuration de LDAP pour Trusted Extensions (tâches). Les systèmes Trusted Extensions peuvent être clients d'un serveur d'annuaire Oracle Solaris à l'aide d'un proxy de serveur d'annuaire configuré avec Trusted Extensions.

• La configuration des clients du serveur d'annuaire Trusted Extensions est décrite dans la section Création d'un client LDAP Trusted Extensions .

Systèmes Trusted Extensions gérés localement

Lorsqu'un service de nommage n'est pas utilisé sur un site, les administrateurs doivent s'assurer que les informations de configuration des utilisateurs, des systèmes et des réseaux sont identiques sur tous les systèmes. Lorsqu'une modification est effectuée sur un système, elle doit être effectuée sur tous les systèmes.

Sur un système Trusted Extensions géré localement, les informations de configuration sont conservées dans les fichiers des répertoires /etc, /etc/security et /etc/security/tsol.

Bases de données LDAP Trusted Extensions

Trusted Extensions étend le schéma du serveur d'annuaire pour inclure les bases de données tnrhdb et tnrhtp. Trusted Extensions définit deux nouveaux attributs : iptnetnumber et iptnettemplatename , et deux nouvelles classes d'objets : iptnettemplate et iptnethost.

Les définitions d'attributs se présentent comme suit :

ipTnetNumber
   ( 1.3.6.1.1.1.1.34 NAME 'ipTnetNumber'
     DESC 'Trusted network host or subnet address'
     EQUALITY caseExactIA5Match
     SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
     SINGLE-VALUE )

ipTnetTemplateName
   ( 1.3.6.1.1.1.1.35 NAME 'ipTnetTemplateName'
     DESC 'Trusted network template name'
     EQUALITY caseExactIA5Match
     SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
     SINGLE-VALUE )

Les définitions de classes d'objets se présentent comme suit :

ipTnetTemplate
   ( 1.3.6.1.1.1.2.18 NAME 'ipTnetTemplate' SUP top STRUCTURAL
     DESC 'Object class for Trusted network host templates'
     MUST ( ipTnetTemplateName )
     MAY ( SolarisAttrKeyValue ) )

ipTnetHost
   ( 1.3.6.1.1.1.2.19 NAME 'ipTnetHost' SUP top AUXILIARY
     DESC 'Object class for Trusted network host/subnet address
           to template mapping'
     MUST ( ipTnetNumber $ ipTnetTemplateName ) )

La définition du modèle cipso dans LDAP se présente comme suit :

ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com
 objectClass=top
 objectClass=organizationalUnit
 ou=ipTnet

 ipTnetTemplateName=cipso,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com
 objectClass=top
 objectClass=ipTnetTemplate
 ipTnetTemplateName=cipso
 SolarisAttrKeyValue=host_type=cipso;doi=1;min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH;

 ipTnetNumber=0.0.0.0,ou=ipTnet,dc=example,dc=example1,dc=exampleco,dc=com
 objectClass=top
 objectClass=ipTnetTemplate
 objectClass=ipTnetHost
 ipTnetNumber=0.0.0.0
 ipTnetTemplateName=internal