Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions (tâches)
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
Personnalisation de l'environnement de l'utilisateur pour en assurer la sécurité (liste des tâches)
Procédure de modification des attributs d'étiquette par défaut des utilisateurs
Procédure de modification des valeurs par défaut de policy.conf
Procédure de configuration des fichiers de démarrage pour les utilisateurs dans Trusted Extensions
Procédure d'allongement du délai d'attente lors de la modification de l'étiquette d'informations
Procédure de connexion à une session de secours dans Trusted Extensions
Gestion des utilisateurs et des droits (Liste des tâches)
Procédure de modification d'une plage d'étiquettes d'utilisateur
Procédure de création d'un profil de droits pour des autorisations commodes
Limitation d'un utilisateur à des applications de bureau
Procédure de limitation du jeu de privilèges d'un utilisateur
Procédure de désactivation du verrouillage du compte pour certains utilisateurs
Procédure d'octroi de l'autorisation de modifier le niveau de sécurité de données à un utilisateur
Procédure de suppression d'un compte utilisateur d'un système Trusted Extensions
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions (tâches)
14. Gestion et montage de fichiers dans Trusted Extensions (tâches)
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions (Référence)
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
La liste des tâches ci-dessous décrit les tâches courantes que vous pouvez effectuer lorsque vous personnalisez un système pour tous les utilisateurs ou lorsque vous personnalisez un compte utilisateur. La plupart de ces tâches sont effectuées avant que les utilisateurs standard puissent se connecter.
|
Vous pouvez modifier les attributs d'étiquette par défaut des utilisateurs lors de la configuration du premier système. Les modifications doivent être copiées sur chaque système Trusted Extensions.
Attention - Vous devez terminer cette tâche afin que les utilisateurs standard puissent accéder au système. |
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .
Pour les valeurs par défaut, reportez-vous au Tableau 1-2 in Planification de la sécurité de l'utilisateur dans Trusted Extensions.
Attention - Le fichier label_encodings doit être identique sur tous les systèmes. Pour une méthode de distribution, reportez-vous aux sections Copie de fichiers sur un média amovible dans Trusted Extensions et Copie de fichiers dans Trusted Extensions à partir d'un média amovible. |
La modification des valeurs par défaut du fichier policy.conf dans Trusted Extensions est similaire à la modification de tout fichier système lié à la sécurité dans Oracle Solaris. Utilisez cette procédure pour modifier les paramètres par défaut pour tous les utilisateurs d'un système.
Avant de commencer
Vous devez être dans le rôle root dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .
Pour les mots-clés de Trusted Extensions, reportez-vous au Tableau 10-1.
Exemple 11-1 Modification des paramètres d'inactivité du système
Dans cet exemple, l'administrateur de sécurité souhaite que les systèmes inactifs reviennent à l'écran de connexion. Par défaut, un système inactif est verrouillé. Par conséquent, le rôle root ajoute la paire IDLECMD keyword= value au fichier /etc/security/policy.conf de la façon suivante :
IDLECMD=LOGOUT
L'administrateur veut également réduire la durée d'inactivité des systèmes avant la déconnexion. Par conséquent, le rôle root ajoute la paire IDLETIME keyword=value au fichier policy.conf de la façon suivante :
IDLETIME=10
Le système déconnecte désormais l'utilisateur après 10 minutes d'inactivité du système.
Notez que si l'utilisateur de connexion assume un rôle, les valeurs IDLECMD et IDLETIME de l'utilisateur s'appliquent pour ce rôle.
Exemple 11-2 Modification du jeu de privilèges de base de chaque utilisateur
Dans cet exemple, l'administrateur de sécurité d'une installation de grande taille ne souhaite pas que les utilisateurs standard puissent voir les processus d'autres utilisateurs. Par conséquent, le rôle root supprime proc_info de l'ensemble de privilèges de base sur chaque système configuré avec Trusted Extensions. Le paramètre PRIV_DEFAULT du fichier /etc/policy.conf est modifié et ses commentaires sont annulés comme suit :
PRIV_DEFAULT=basic,!proc_info
Les utilisateurs peuvent placer un fichier .copy_files et un fichier .link_files dans leur répertoire personnel sous l'étiquette correspondant à leur étiquette de sensibilité minimale. Les utilisateurs peuvent également modifier les fichiers .copy_files et .link_files existants sous l'étiquette minimale des utilisateurs. Cette procédure permet au rôle d'administrateur d'automatiser la configuration pour un site.
Avant de commencer
Vous devez être dans le rôle d'administrateur système dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .
Vous allez ajouter .copy_files et .link_files à votre liste de fichiers de démarrage.
# cd /etc/skel # touch .copy_files .link_files
# vi /etc/skel/.copy_files
Reportez-vous à la section Fichiers .copy_files et .link_files si vous avez besoin de suggestions. Pour des exemples de fichiers, reportez-vous à l'Exemple 11-3.
Pour une description des fichiers à inclure dans les fichiers de démarrage, reportez-vous à la section Personnalisation de l’environnement de travail d’un utilisateur du manuel Administration d’Oracle Solaris : Tâches courantes .
Pour plus d'informations, reportez-vous à la section Procédure de personnalisation des fichiers d’initialisation utilisateur du manuel Administration d’Oracle Solaris : Tâches courantes .
Le caractère P représente le shell de profil.
Le caractère X représente la première lettre du nom du shell, tel que B pour Bourne, K pour Korn, C pour un shell C et P pour un shell de profil.
Exemple 11-3 Personnalisation des fichiers de démarrage pour les utilisateurs
Dans cet exemple, l'administrateur système configure des fichiers pour le répertoire personnel de chaque utilisateur. Les fichiers sont en place avant la connexion du premier utilisateur. Les fichiers sont sous l'étiquette minimale de l'utilisateur. Sur ce site, le shell par défaut des utilisateurs est le shell C.
L'administrateur système crée un fichier .copy_files et un fichier .link_files avec les contenus suivants :
## .copy_files for regular users ## Copy these files to my home directory in every zone .mailrc .mozilla .soffice :wq
## .link_files for regular users with C shells ## Link these files to my home directory in every zone .bashrc .bashrc.user .cshrc .login :wq
## .link_files for regular users with Korn shells # Link these files to my home directory in every zone .ksh .profile :wq
Les fichiers personnalisés sont copiés dans le répertoire squelette approprié.
$ cp .copy_files .link_files .bashrc .bashrc.user .cshrc \ .login .profile .mailrc /etc/skelC $ cp .copy_files .link_files .ksh .profile .mailrc \ /etc/skelK
Erreurs fréquentes
Si vous créez un fichier .copy_files à votre étiquette la plus basse, que vous vous connectez ensuite à une zone supérieure afin d'exécuter la commande updatehome et que l'exécution de cette commande échoue avec une erreur d'accès, vérifiez les points suivants :
Vérifiez que vous pouvez visualiser le répertoire de niveau inférieur à partir de la zone supérieure.
higher-level zone# ls /zone/lower-level-zone/home/username ACCESS ERROR: there are no files under that directory
Si vous ne pouvez pas visualiser le répertoire, redémarrez le service de montage automatique dans la zone de niveau supérieur :
higher-level zone# svcadm restart autofs
À moins que vous n'utilisiez des montages NFS pour les répertoires personnels, le montage automatique dans la zone supérieure doit être en loopback de /zone/lower-level-zone/export/home/username à /zone/lower-level-zone/home/username.
Dans Trusted Extensions, le gestionnaire de sélection (Selection Manager) sert d'intermédiaire pour le transfert d'informations entre des étiquettes. Le gestionnaire de sélection s'affiche pour les opérations de glisser-déposer et pour les opérations de couper-coller. Certaines applications nécessitent que vous définissiez un délai d'attente adéquat pour que le gestionnaire de sélection ait le temps d'intervenir. Une valeur de deux minutes est suffisante.
Attention - Ne modifiez pas la valeur de temps d'attente par défaut sur un système sans étiquette. Avec une valeur de délai d'attente plus longue, les opérations échouent. |
Avant de commencer
Vous devez être dans le rôle d'administrateur système dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .
où office-install-directory est le répertoire d'installation d'Oracle OpenOffice, par exemple :
office-top-dir/share/registry/data/org/openoffice
La valeur par défaut est de trois secondes. Une valeur de 120 définit le délai d'attente sur deux minutes.
Remarque - Vous pouvez aussi faire en sorte que chaque utilisateur change lui-même la valeur de la propriété.
La plupart des applications GNOME utilisent la bibliothèque GTK. Les navigateurs Web tels que Mozilla, Firefox et Thunderbird utilisent la bibliothèque GTK.
Par défaut, la valeur du délai d'attente est de 300, ou 5 secondes. Une valeur de 7 200 définit le délai d'attente sur deux minutes.
Nommez le fichier .gtkrc-mine. Le fichier .gtkrc-mine se trouve dans le répertoire personnel de l'utilisateur sous l'étiquette minimale.
## $HOME/.gtkrc-mine file *gtk-selection-timeout: 7200
Comme dans Oracle Solaris, gnome-settings-daemon lit ce fichier au démarrage.
Pour plus d'information, reportez-vous à la sectionProcédure de configuration des fichiers de démarrage pour les utilisateurs dans Trusted Extensions .
Dans Trusted Extensions, la connexion de secours est protégée. Si un utilisateur standard a des fichiers d'initialisation du shell personnalisés et ne peut pas se connecter, vous pouvez utiliser la connexion de secours pour corriger les fichiers de l'utilisateur.
Avant de commencer
Vous devez connaître le mot de passe root.
Vous pouvez ensuite déboguer les fichiers d'initialisation de l'utilisateur.