Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions
14. Gestion et montage de fichiers dans Trusted Extensions
Possibilités de montage dans Trusted Extensions
Stratégies Trusted Extensions pour les systèmes de fichiers montés
Stratégies Trusted Extensions pour les jeux de données à niveau unique
Stratégie Trusted Extensions pour les jeux de données multiniveau
Aucun remplacement de privilège pour la stratégie de lecture-écriture du contrôle MAC
Résultats du partage et du montage de systèmes de fichiers dans Trusted Extensions
Partage et montage de fichiers dans la zone globale
Partage et montage de fichiers dans la zone étiquetée
Propriété mlslabel et montage de systèmes de fichiers à niveau unique
Jeux de données multiniveau pour la modification d'étiquette de fichiers
Montage de jeux de données multiniveau provenant d'un autre système
Configuration du client et du serveur NFS dans Trusted Extensions
Création de répertoires personnels dans Trusted Extensions
Modifications apportées à l'agent de montage automatique dans Trusted Extensions
Logiciel Trusted Extensions et versions du protocole NFS
Sauvegarde, partage et montage de fichiers étiquetés (liste des tâches)
Sauvegarde de fichiers dans Trusted Extensions
Restauration de fichiers dans Trusted Extensions
Partage de systèmes de fichiers à partir d'une zone étiquetée
Montage NFS de fichiers dans une zone étiquetée
Dépannage des échecs de montage dans Trusted Extensions
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Les répertoires de niveau inférieur peuvent être rendus visibles pour les utilisateurs d'une zone de niveau supérieur. Le serveur NFS des répertoires de niveau inférieur peut être un système Trusted Extensions ou un système non sécurisé.
Le système de confiance requiert la configuration du serveur. Le système non sécurisé requiert la configuration du client.
Configuration du serveur NFS sur un système de confiance : rendre les répertoires de niveau inférieur d'un système de confiance visibles dans une zone étiquetée requiert la configuration du serveur.
Dans la zone globale sur le serveur NFS, vous devez configurer le service NFS sous la forme d'un service multiniveau.
Dans la zone globale, l'administrateur doit ajouter le privilège net_bindmlp au limitpriv de la zone étiquetée.
Dans la zone étiquetée, exportez le système de fichiers ZFS en définissant ses propriétés de partage. Lorsque l'état de la zone étiquetée est running, le système de fichiers est partagé sous l'étiquette de la zone. Pour plus d'informations sur cette procédure, reportez-vous à la section Partage de systèmes de fichiers à partir d'une zone étiquetée.
Configuration du client NFS pour un serveur NFS non sécurisé : le serveur n'étant pas sécurisé, le client NFS doit être de confiance. Le privilège net_mac_aware doit être spécifié dans le fichier de configuration de zone utilisé lors de la configuration initiale de la zone. Ainsi, un utilisateur autorisé à visualiser tous les répertoires personnels de niveau inférieur doit disposer du privilège net_mac_aware dans chaque zone, à l'exception de la zone la plus basse. Pour voir un exemple, reportez-vous à la section Montage NFS de fichiers dans une zone étiquetée.
Les répertoires personnels constituent un cas particulier dans Trusted Extensions.
Vous devez vous assurer que les répertoires personnels sont créés dans chaque zone pouvant être utilisée par un utilisateur.
En outre, les points de montage du répertoire personnel doivent être créés dans les zones du système de l'utilisateur.
Pour que les répertoires personnels montés via NFS fonctionnent correctement, l'emplacement habituel des répertoires, /export/Home, doit être utilisé.
Remarque - Le script txzonemgr suppose que les répertoires personnels sont montés en tant que /export/Home .
Dans Trusted Extensions, l'agent de montage automatique a été modifié afin de gérer les répertoires personnels dans chaque zone, c'est-à-dire sous chaque étiquette. Pour plus d'informations, reportez-vous à la section Modifications apportées à l'agent de montage automatique dans Trusted Extensions.
Les répertoires personnels sont créés au moment de la création des utilisateurs. Toutefois, ils sont créés dans la zone globale du serveur d'annuaires personnel. Sur ce serveur, les répertoires sont montés par LOFS. Les répertoires personnels sont automatiquement créés par l'agent de montage automatique s'ils sont définis comme montages LOFS.
Remarque - Lorsque vous supprimez un utilisateur, seul le répertoire personnel de l'utilisateur est supprimé de la zone globale. Les répertoires personnels de l'utilisateur dans les zones étiquetées ne sont pas supprimés. Vous êtes responsable de l'archivage et de la suppression des répertoires personnels dans les zones étiquetées. Pour connaître la procédure, reportez-vous à la section Suppression d'un compte utilisateur d'un système Trusted Extensions.
Cependant, l'agent de montage automatique ne peut pas créer de manière automatique des répertoires personnels sur des serveurs NFS distants. L'utilisateur doit d'abord se connecter au serveur NFS ou l'intervention d'un l'administrateur est requise. Pour créer des répertoires personnels pour les utilisateurs, reportez-vous à la section Procédure permettant aux utilisateurs d'accéder à leurs répertoires personnels distants sous chaque étiquette en se connectant à chaque serveur NFS.
Dans Trusted Extensions, chaque étiquette requiert un montage de répertoire personnel distinct. La commande automount a été modifiée pour gérer ces montages automatiques étiquetés. Pour chaque zone, l'agent de montage automatique autofs monte un fichier auto_home_ zone-name. Par exemple, l'entrée suivante est l'entrée de la zone globale dans le fichier auto_home_global :
+auto_home_global * -fstype=lofs :/export/home/&
Lorsqu'une zone qui autorise le montage des zones de niveau inférieur est initialisée, les opérations suivantes se produisent. Les répertoires personnels des zones de niveau inférieur sont montés en lecture seule sous /zone/zone-name /export/home. La carte auto_home_zone-name spécifie le chemin /zone en tant que répertoire source pour un remontage de lofs vers /zone/ zone-name/home/username.
Par exemple, l'entrée suivante est une entrée auto_home_public dans une carte auto_home_zone-at-higher-label générée à partir d'une zone de niveau supérieur :
+auto_home_public * public-zone-IP-address:/export/home/&
Le script txzonemgr configure cette entrée PUBLIC dans le fichier auto_master de la zone globale :
+auto_master /net -hosts -nosuid,nobrowse /home auto_home -nobrowse /zone/public/home auto_home_public -nobrowse
Lorsqu'un répertoire personnel est référencé et que le nom ne correspond à aucune entrée de la carte auto_home_zone-name, cette dernière tente de trouver une correspondance pour cette spécification de montage en loopback. Le logiciel crée le répertoire personnel lorsque les deux conditions suivantes sont réunies :
La carte trouve la correspondance de la spécification de montage en loopback
Le nom du répertoire personnel correspond à un utilisateur correct dont le répertoire personnel n'existe pas encore dans zone-name
Pour plus d'informations sur les modifications apportées à l'agent de montage automatique, reportez-vous à la page de manuel automount(1M).