Configuration de la zone globale dans Trusted Extensions

Pour personnaliser la configuration de Trusted Extensions, effectuez les procédures décrites dans la liste des tâches ci-dessous. Pour installer la configuration par défaut, reportez-vous à la section Création de zones étiquetées.

Procédure de vérification et d'installation du fichier Label Encodings

Votre fichier de codage doit être compatible avec l'hôte Trusted Extensions avec lequel vous communiquez.

• Si vous êtes déjà familiarisé avec les fichiers de codage, vous pouvez utiliser la procédure suivante.

• Si vous n'êtes pas familiarisé avec les fichiers de codage, consultez la section Trusted Extensions Label Administration pour connaître la configuration requise, les procédures et des exemples.

---

Attention - Vous devez installer les étiquettes avant de poursuivre ou la configuration échouera.

---

Avant de commencer

Vous êtes l'administrateur de sécurité. L'administrateur de sécurité est responsable de la modification, la vérification et la maintenance du fichier label_encodings. Si vous prévoyez de modifier le fichier label_encodings, assurez-vous que le fichier lui-même est accessible en écriture. Pour plus d'informations, reportez-vous à la page de manuel label_encodings(4).

Pour modifier le fichier label_encodings, vous devez être dans le rôle root.

1. Copiez le fichier label_encodings sur le disque.

   Pour copier à partir d'un média amovible, reportez-vous à la section Copie de fichiers dans Trusted Extensions à partir d'un média amovible.

2. Dans une fenêtre de terminal, vérifiez la syntaxe du fichier.
   1. Exécutez la commande chk_encodings.

      # /usr/sbin/chk_encodings /full-pathname-of-label-encodings-file

   2. Lisez la sortie et effectuez l'une des opérations suivantes :
      • Résolvez les erreurs.

        Si la commande signale la présence d'erreurs, celles-ci doivent être résolues avant de continuer. Pour obtenir de l'aide, reportez-vous au Chapitre 3, Creating a Label Encodings File (Tasks) du manuel Trusted Extensions Label Administration

      • Faites du fichier le fichier label_encodings actif.

        # cp /full-pathname-of-label-encodings-file \ /etc/security/tsol/label.encodings.site
        # cd /etc/security/tsol
        # cp label_encodings label_encodings.tx.orig
        # cp label.encodings.site label_encodings

   ---

   Attention - Votre fichier label_encodings doit réussir le test de vérification du fichier de codage (Check Encodings) avant de pouvoir continuer.

   ---

Exemple 4-1 Vérification de la syntaxe label_encodings sur la ligne de commande

Dans cet exemple, l'administrateur teste plusieurs fichiers label_encodings à l'aide de la ligne de commande.

# /usr/sbin/chk_encodings /var/encodings/label_encodings1
No errors found in /var/encodings/label_encodings1
# /usr/sbin/chk_encodings /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

Lorsque la direction décide d'utiliser le fichier label_encodings2, l'administrateur exécute une analyse sémantique du fichier.

# /usr/sbin/chk_encodings -a /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2010

---> CLASSIFICATIONS <---

   Classification 1: PUBLIC
   Initial Compartment bits: 10
   Initial Markings bits: NONE

---> COMPARTMENTS AND MARKINGS USAGE ANALYSIS <---
...
---> SENSITIVITY LABEL to COLOR MAPPING <---
...

L'administrateur imprime une copie de l'analyse sémantique pour ses archives, puis déplace le fichier dans le répertoire /etc/security/tsol.

# cp /var/encodings/label_encodings2 /etc/security/tsol/label.encodings.10.10.10
# cd /etc/security/tsol
# cp label_encodings label_encodings.tx.orig
# cp label.encodings.10.10.10 label_encodings

Enfin, l'administrateur vérifie que le fichier label_encodings est le fichier de l'entreprise.

# /usr/sbin/chk_encodings -a /etc/security/tsol/label_encodings | head -4
No errors found in /etc/security/tsol/label_encodings

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2010

Étapes suivantes

Vous devez réinitialiser le système avant de créer des zones étiquetées.

Procédure d'activation du réseau IPv6 dans Trusted Extensions

---

Attention - Le script txzonemgr ne prend pas en charge la syntaxe d'adresse IPv6. Par conséquent, vous pouvez utiliser la commande tncfg pour ajouter des hôtes IPv6 à votre réseau Trusted Extensions. Pour obtenir des exemples, reportez-vous à la section Mécanisme de secours du réseau de confiance et à l'Exemple 16-11.

---

Les options CIPSO n'ont pas de numéro IANA (Internet Assigned Numbers Authority) à utiliser dans le champ de type d'option IPv6 d'un paquet. L'entrée que vous avez définie au cours de cette procédure fournit un numéro à utiliser sur le réseau local jusqu'à ce que l'IANA affecte un numéro pour cette option. Trusted Extensions désactive le réseau IPv6 si ce numéro n'est pas défini.

Pour activer un réseau IPv6 dans Trusted Extensions, vous devez ajouter une entrée dans le fichier /etc/system.

Avant de commencer

Vous êtes dans le rôle root dans la zone globale.

• Saisissez l'entrée suivante dans le fichier /etc/system :

  set ip:ip6opt_ls = 0x0a

Erreurs fréquentes

• Si des messages d'erreur au cours de l'initialisation indiquent que votre configuration IPv6 est incorrecte, corrigez l'entrée :

  • Vérifiez que l'entrée est correctement orthographiée.

  • Vérifiez que le système a été réinitialisé après l'ajout de l'entrée correcte au fichier /etc/system.

• Si vous installez Trusted Extensions sur un système Oracle Solaris sur lequel IPv6 est actuellement activé, mais vous échouez à ajouter l'entrée IP dans le fichier /etc/system, le message d'erreur suivant s'affiche : t_optmgmt: System error: Cannot assign requested address time-stamp

Étapes suivantes

Vous devez réinitialiser le système avant de créer des zones étiquetées.

Procédure de configuration du domaine d'interpretation

Toutes les communications vers et à partir d'un système configuré avec Trusted Extensions doivent respecter les règles d'étiquetage d'un seul domaine d'interprétation (DOI) CIPSO. Le DOI utilisé dans chaque message est identifié par un nombre entier dans l'en-tête d'option IP CIPSO. Par défaut, le DOI dans Trusted Extensions est 1.

Si votre site n'utilise pas un DOI égal à 1, vous devez modifier la valeur du doi dans chaque modèle de sécurité.

Avant de commencer

Vous êtes dans le rôle root dans la zone globale.

• Indiquez votre valeur de DOI dans les modèles de sécurité par défaut.

  # tncfg -t cipso set doi=n
  # tncfg -t admin_low set doi=n

  ---

  Remarque - Chaque modèle de sécurité doit indiquer votre valeur de DOI.

  ---

Voir aussi

• Attributs de sécurité réseau dans Trusted Extensions

• Procédure de création de modèles de sécurité

Étapes suivantes

Si vous avez l'intention d'utiliser LDAP, reportez-vous au Chapitre 5, Configuration de LDAP pour Trusted Extensions (tâches). Vous devez configurer LDAP avant de créer des zones étiquetées.

Sinon, poursuivez avec Création de zones étiquetées.