| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions
14. Gestion et montage de fichiers dans Trusted Extensions
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
Manipulation des périphériques dans Trusted Extensions (liste des tâches)
Utilisation de périphériques dans Trusted Extensions (liste des tâches)
Gestion des périphériques dans Trusted Extensions (liste des tâches)
Configuration d'un périphérique dans Trusted Extensions
Révocation ou récupération d'un périphérique dans Trusted Extensions
Protection des périphériques non allouables dans Trusted Extensions
Ajout d'un script Device_Clean dans Trusted Extensions
Personnalisation des autorisations de périphériques dans Trusted Extensions (liste des tâches)
Création d'autorisations de périphériques
Ajout d'autorisations spécifiques à un site à un périphérique dans Trusted Extensions
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
La liste des tâches ci-dessous décrit des procédures permettant de modifier les autorisations de périphériques sur votre site.
|
Si un dispositif ne nécessite pas une autorisation, par défaut, tous les utilisateurs peuvent utiliser le périphérique. Si une autorisation est requise, seuls les utilisateurs autorisés peuvent utiliser le périphérique.
Pour refuser tout accès à un périphérique allouable, reportez-vous à l'Exemple 21-1. Pour créer et utiliser une nouvelle autorisation, reportez-vous à l'Exemple 21-3.
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.
Les fichiers d'aide sont au format HTML. La convention de nommage est AuthName.html, comme dans DeviceAllocateCD.html.
$ auths add -t "Authorization description" -h /full/path/to/helpfile.html authorization-name
$ profiles rights-profile profiles:rights-profile > add auths="authorization-name"...
# usermod -P "rights-profile" username # rolemod -P "rights-profile" rolename
Ajoutez les nouvelles autorisations à la liste des autorisations nécessaires dans le gestionnaire de périphériques. Pour plus d'informations sur cette procédure, reportez-vous à la section Ajout d'autorisations spécifiques à un site à un périphérique dans Trusted Extensions.
Exemple 21-2 Création d'autorisations de périphériques détaillées
Dans cet exemple, un administrateur de sécurité de NewCo a besoin de construire des autorisations de périphériques détaillées pour la société.
Tout d'abord, l'administrateur crée les fichiers d'aide suivants :
Newco.html NewcoDevAllocateCDVD.html NewcoDevAllocateUSB.html
Puis il crée un modèle de fichier d'aide à partir duquel les autres fichiers d'aide sont copiés et modifiés.
<HTML>
-- Copyright 2012 Newco. All rights reserved.
-- NewcoDevAllocateCDVD.html
-->
<HEAD>
<TITLE>Newco Allocate CD or DVD Authorization</TITLE>
</HEAD>
<BODY>
The com.newco.dev.allocate.cdvd authorization enables you to allocate the
CD drive on your system for your exclusive use.
<p>
The use of this authorization by a user other than the authorized account
is a security violation.
<p>
</BODY>
</HTML>
Après avoir créé les fichiers d'aide, l'administrateur utilise la commande auths pour créer chaque autorisation de périphériques. Les autorisations étant employées par l'ensemble de la société, l'administrateur place les autorisations dans le référentiel LDAP. La commande inclut le chemin d'accès vers les fichiers d'aide.
L'administrateur crée deux autorisations de périphériques et un en-tête d'autorisation NewCo.
Une des autorisations autorise l'utilisateur à allouer une unité de CD-ROM ou de DVD.
# auths add -S ldap -t "Allocate CD or DVD" \ -h /docs/helps/NewcoDevAllocateCDVD.html com.newco.dev.allocate.cdvd
L'autre autorise l'utilisateur à allouer un périphérique USB.
# auths add -S ldap -t "Allocate USB" \ -h /docs/helps/NewcoDevAllocateUSB.html com.newco.dev.allocate.usb
L'en-tête d'autorisation NewCo identifie toutes les autorisations NewCo.
# auths add -S ldap -t "Newco Auth Header" \ -h /docs/helps/Newco.html com.newco
Exemple 21-3 Création et affectation d'autorisations de périphériques Trusted Path (chemin de confiance) et Non-Trusted Path (chemin qui n'est pas de confiance)
Par défaut, l'autorisation Allocate Devices (Allouer des périphériques) permet l'allocation de tous les périphériques depuis le chemin de confiance et depuis d'autres emplacements que le chemin de confiance.
Dans l'exemple suivant, la stratégie de sécurité du site exige la limitation de l'allocation distante de CD-ROM et de DVD. L'administrateur de sécurité crée l'autorisation com.newco.dev.allocate.cdvd.local. Cette autorisation concerne les unités de CD-ROM et de DVD qui sont allouées via le chemin de confiance. L'autorisation com.newco.dev.allocate.cdvd.remote est destinée aux rares utilisateurs autorisés à allouer des unités de CD-ROM ou de DVD depuis un emplacement autre que le chemin de confiance.
L'administrateur de sécurité crée les fichiers d'aide, ajoute les autorisations de périphériques à la base de données auth_attr, ajoute les autorisations aux périphériques, puis place les autorisations dans des profils de droits. Le rôle root assigne les profils aux utilisateurs autorisés à allouer des périphériques.
Les commandes suivantes ajoutent les autorisations de périphériques à la base de données auth_attr :
$ auths add -S ldap -t "Allocate Local DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDLocal.html \ com.newco.dev.allocate.cdvd.local $ auths add -S ldap -t "Allocate Remote DVD or CD" \ -h /docs/helps/NewcoDevAllocateCDVDRemote.html \ com.newco.dev.allocate.cdvd.remote
L'assignation du gestionnaire de périphériques est présentée ci-dessous :
L'allocation locale de l'unité de CD-ROM est protégée par le chemin de confiance.
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.local
L'allocation distante n'est pas protégée par le chemin de confiance, par conséquent les utilisateurs distants doivent être dignes de confiance. Lors de la dernière étape, l'administrateur peut autoriser l'allocation distante pour deux rôles uniquement.
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.newco.dev.allocate.cdvd.remote
Les commandes suivantes créent les profils de droits Newco pour ces autorisations et ajoutent les autorisations aux profils :
$ profiles -S ldap "Remote Allocator" profiles:Remote Allocator > set desc="Allocate Remote CDs and DVDs" profiles:Remote Allocator > set help="/docs/helps/NewcoDevRemoteCDVD.html" profiles:Remote Allocator > add auths="com.newco.dev.allocate.cdvd.remote" profiles:Remote Allocator > end profiles:Remote Allocator > exit
$ profiles -S ldap "Local Only Allocator" profiles:Local Only Allocator > set desc="Allocate Local CDs and DVDs" profiles:Local Only Allocator > set help="/docs/helps/NewcoDevLocalCDVD.html" profiles:Local Only Allocator > add auths="com.newco.dev.allocate.cdvd.local" profiles:Local Only Allocator > end profiles:Local Only Allocator > exit
Les commandes suivantes assignent les profils de droits aux utilisateurs autorisés. Le rôle root assigne les profils. Sur ce site, seuls les rôles sont autorisés à allouer à distance des périphériques.
# usermod -P "Local Only Allocator" jdoe # usermod -P "Local Only Allocator" kdoe
# rolemod -P "Remote Allocator" secadmin # rolemod -P "Remote Allocator" sysadmin
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité ou dans un rôle qui inclut l'autorisation Configure Device Attributes (Configurer les attributs des périphériques). Vous devez avoir créé des autorisations spécifiques à un site, comme décrit à la section Création d'autorisations de périphériques.
Les nouvelles autorisations s'affichent dans la liste Not Required (Non requis).
L'autorisation Allocate Device (Allouer un périphérique) permet aux utilisateurs d'allouer un périphérique. Les autorisations Allocate Device et Revoke or Reclaim Device (Révoquer ou récupérer un périphérique) sont appropriées pour les rôles d'administration.
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.
Si les profils existants ne sont pas appropriés, l'administrateur de sécurité peut créer un nouveau profil. Pour obtenir un exemple, reportez-vous à la section Création d'un profil de droits pour des autorisations commodes.
Pour la procédure étape par étape, reportez-vous à la section Modification des attributs de sécurité d’un utilisateur du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Les profils de droits suivants permettent à un rôle d'allouer des périphériques :
All Authorizations (Toutes les autorisations)
Device Management (Gestion des périphériques)
Media Backup (Sauvegarde des médias)
Object Label Management (Gestion de l'étiquette des objets)
Software Installation (Installation de logiciels)
Les profils de droits suivants permettent à un rôle de révoquer ou récupérer des périphériques :
All Authorizations (Toutes les autorisations)
Device Management (Gestion des périphériques)
Les profils de droits suivants permettent à un rôle de créer ou de configurer des périphériques :
All Authorizations (Toutes les autorisations)
Device Security (Sécurité des périphériques)
L'Exemple 21-2 présente l'assignation des autorisations.
|