Création de rôles et d'utilisateurs dans Trusted Extensions

La procédure de création de rôles dans Trusted Extensions est identique à la procédure de création de rôles dans le Oracle Solaris. Toutefois, pour une configuration évaluée, un rôle d'administrateur de sécurité est obligatoire.

Tâche	Description	Voir
Création d'un rôle d'administrateur de sécurité	Crée un rôle chargé de gérer les tâches ayant trait à la sécurité.	Création du rôle d'administrateur sécurité dans Trusted Extensions
Création d'un rôle d'administrateur système	Crée un rôle chargé de gérer les tâches d'administration système qui ne sont pas liées à la sécurité.	Création d'un rôle d'administrateur de sécurité
Création d'utilisateurs qui prendront les rôles d'administration	Permet de créer un ou plusieurs utilisateurs qui peuvent prendre des rôles.	Création d'utilisateurs pouvant prendre des rôles dans Trusted Extensions
Vérification de la capacité des rôles à exécuter leurs tâches	Teste les rôles.	Vérification du fonctionnement des rôles Trusted Extensions
Autorisation des utilisateurs à se connecter à une zone étiquetée	Permet de démarrer le service `zones` afin que les utilisateurs standard puissent se connecter.	Autorisation des utilisateurs à se connecter à une zone étiquetée

Création du rôle d'administrateur sécurité dans Trusted Extensions

Avant de commencer

Vous êtes dans le rôle root dans la zone globale.

Pour créer le rôle, utilisez la commande roleadd.
Pour plus d'informations sur la commande, reportez-vous à la page de manuel roleadd(1M).

Inspirez-vous des informations suivantes, données à titre d'exemple :
- Nom du rôle : secadmin
- -c Responsable local de la sécurité
  
  Ne pas fournir d'informations propriétaires.
- -m répertoire-personnel
- -u UID-rôle
- -S référentiel
- -K clé=valeur
  
  Affectez les profils de droits Information Security (Sécurité de l'information) et User Security (Sécurité des utilisateurs).
  
  Remarque - Pour tous les rôles d'administration, utilisez les étiquettes d'administration en tant que plage d'étiquettes, effectuez un audit des utilisations de la commande pfexec, définissez lock_after_retries=no et ne définissez pas de date d'expiration des mots de passe.
```
# roleadd -c "Local Security Officer" -m \
-u 110 -K profiles="Information Security,User Security" -S files \
-K lock_after_retries=no \
-K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin
```
Entrez un mot de passe initial pour le rôle.
```
# passwd -r files secadmin
New Password:        <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for secadmin
#
```
Affectez un mot de passe d'au moins six caractères alphanumériques. Le mot de passe pour le rôle d'administrateur de sécurité, de même que tous les autres mots de passe, doit être difficile à deviner, afin de réduire les risques d'accès non autorisé par un tiers qui tenterait de deviner les mots de passe.
Inspirez-vous du rôle d'administrateur de sécurité lorsque vous créez d'autres rôles.
Les rôles suivants sont possibles :
- Rôle admin – profil de droits System Administrator
- Rôle oper – Profil de droits Operator

Exemple 4-4 Création du rôle d'administrateur de sécurité dans LDAP

Après avoir configuré le premier système avec un rôle d'administrateur de sécurité local, l'administrateur crée le rôle d'administrateur de sécurité dans le référentiel LDAP. Dans ce scénario, les clients LDAP peuvent être administrés par le rôle d'administrateur de sécurité défini dans LDAP.

# roleadd -c "Site Security Officer" -d server1:/rpool/pool1/BayArea/secadmin
-u 111 -K profiles="Information Security,User Security" -S ldap \
-K lock_after_retries=no -K audit_flags=lo,ex:no \
-K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin

L'administrateur fournit un mot de passe initial pour le rôle.

# passwd -r ldap secadmin
New Password:        <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for secadmin
#

Étapes suivantes

Pour affecter le rôle local à un utilisateur local, reportez-vous à la section Création d'utilisateurs pouvant prendre des rôles dans Trusted Extensions.

Création d'un rôle d'administrateur de sécurité

Avant de commencer

Vous êtes dans le rôle root dans la zone globale.

Affectez le profil de droits System Administrator (Administrateur système) au rôle.

# roleadd -c "Local System Administrator" -m -u 111  -K audit_flags=lo,ex:no\
-K profiles="System Administrator" -K lock_after_retries=no \
-K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH sysadmin

Entrez un mot de passe initial pour le rôle.

# passwd -r files sysadmin
New Password:        <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for sysadmin
#

Création d'utilisateurs pouvant prendre des rôles dans Trusted Extensions

Si la stratégie de sécurité du site le permet, vous pouvez choisir de créer un utilisateur pouvant prendre plusieurs rôles d'administration.

Pour sécuriser la création des utilisateurs, le rôle d'administrateur système crée les utilisateurs et assigne le mot de passe initial et le rôle d'administrateur de sécurité affecte les attributs liés à la sécurité tels que les rôles.

Avant de commencer

Vous devez être dans le rôle root dans la zone globale. Ou, si la séparation des tâches est appliquée, les utilisateurs qui peuvent prendre en charge les rôles distincts d'administrateur de sécurité et d'administrateur système doivent être présents pour assumer leurs rôles et effectuer les opérations appropriées dans cette procédure.

Créez un utilisateur.
Cette opération est effectuée par le rôle root ou le rôle d'administrateur système.
Ne placez pas d'informations propriétaires dans le commentaire.
```
# useradd -c "Second User" -u 1201 -d /home/jdoe jdoe
```
Après avoir créé l'utilisateur, modifiez les attributs de sécurité de l'utilisateur.
Cette opération est effectuée par le rôle root ou le rôle d'administrateur de sécurité.

Remarque - Pour les utilisateurs qui peuvent prendre des rôles, désactivez le verrouillage des comptes et ne définissez pas de date d'expiration du mot de passe. En outre, effectuez un audit des utilisations de la commande pfexec.
```
# usermod -K lock_after_retries=no -K idletime=5 -K idlecmd=lock \
-K audit_flags=lo,ex:no jdoe
```
Remarque - Les valeurs de idletime et idlecmd continuent à s'appliquer lorsque l'utilisateur prend un rôle. Pour plus d'informations, reportez-vous à la section Valeurs par défaut du fichier policy.conf dans Trusted Extensions.
Affectez un mot de passe d'au moins six caractères alphanumériques.
```
# passwd jdoe
New Password: Type password
Re-enter new Password:Retype password
```
Remarque - Lorsque l'équipe de configuration initiale choisit un mot de passe, elle doit faire en sorte qu'il soit difficile à deviner, afin de réduire les risques d'accès non autorisé par un tiers qui tenterait de deviner les mots de passe.
Attribuez un rôle à l'utilisateur.
Cette opération est effectuée par le rôle root ou le rôle d'administrateur de sécurité.
```
# usermod -R oper jdoe
```
Personnalisez l'environnement de l'utilisateur.
1. Attribuez les autorisations appropriées.
  Après avoir contrôlé la stratégie de sécurité de votre site, vous pouvez décider d'accorder à vos premiers utilisateurs le profil de droits Convenient Authorization (Autorisations appropriées). Avec ce profil, les utilisateurs peuvent allouer des périphériques, imprimer sans étiquette, se connecter à distance et arrêter le système. Pour créer le profil, reportez-vous à la section Création d'un profil de droits pour des autorisations commodes.
2. Personnalisation des fichiers d'initialisation utilisateur
  Reportez-vous à la section Personnalisation de l'environnement de l'utilisateur pour en assurer la sécurité (liste des tâches) .
3. Créez des fichiers de copie et de lien multiniveau.
  Sur un système multiniveau, les utilisateurs et les rôles peuvent être configurés avec des fichiers qui répertorient les fichiers d'initialisation utilisateur à copier ou lier à d'autres étiquettes. Pour plus d'informations, reportez-vous à la section Fichiers .copy_files et .link_files.

Exemple 4-5 Utilisation de la commande useradd pour créer un utilisateur local

Dans cet exemple, le rôle root crée un utilisateur local pouvant prendre le rôle d'administrateur de sécurité. Pour en savoir plus, reportez-vous aux pages de manuel useradd(1M) et atohexlabel(1M).

Cet utilisateur aura une plage d'étiquettes plus étendue que la plage d'étiquettes par défaut. Ainsi, l'utilisateur root détermine le format hexadécimal de l'étiquette minimale et de l'étiquette d'autorisation de l'utilisateur.

# atohexlabel public
0x0002-08-08
# atohexlabel -c "confidential restricted"
0x0004-08-78

Ensuite, le rôle root doit consulter le Tableau 1-2, puis créer l'utilisateur. L'administrateur place le répertoire personnel de l'utilisateur sous /export/home1 plutôt qu'à l'emplacement par défaut /export/home .

# useradd -c "Local user for Security Admin" -d /export/home1/jandoe \
-K  idletime=10 -K idlecmd=logout -K lock_after_retries=no
-K min_label=0x0002-08-08 -K clearance=0x0004-08-78 jandoe

Le rôle root fournit alors un mot de passe initial.

# passwd -r files jandoe
New Password:    <Type password>
Re-enter new Password: <Retype password>
passwd: password successfully changed for jandoe
#

Enfin, le rôle root ajoute le rôle d'administrateur de sécurité à la définition de l'utilisateur. Le rôle a été créé à la section Création du rôle d'administrateur sécurité dans Trusted Extensions.

# usermod -R secadmin jandoe

Vérification du fonctionnement des rôles Trusted Extensions

Pour vérifier chaque rôle, prenez le rôle correspondant. Effectuez ensuite des tâches qui ne peuvent être effectuées que par ce rôle et tentez d'effectuer des tâches que ce rôle n'est pas autorisé à effectuer.

Avant de commencer

Si vous avez configuré DNS ou le routage, vous devez réinitialiser l'ordinateur après avoir créé les rôles et avant de pouvoir vérifier leur fonctionnement.

Pour chaque rôle, connectez-vous en tant qu'utilisateur qui peut prendre le rôle.
Prenez le rôle.
Dans la bande de confiance ci-après, le nom d'utilisateur est tester.
1. Cliquez sur votre nom d'utilisateur dans la bande de confiance.
2. A partir de la liste des rôles qui vous sont affectés, sélectionnez un rôle.
Testez le rôle.
Pour plus d'informations sur les autorisations requises pour modifier les propriétés d'un utilisateur, reportez-vous à la page de manuel passwd(1).
- L'administrateur système doit être en mesure de créer un utilisateur et de modifier les propriétés d'un utilisateur qui nécessitent l'autorisation solaris.user.manage, tels que le shell de connexion de l'utilisateur. L'administrateur système ne doit pas être en mesure de modifier les propriétés d'un utilisateur qui nécessitent l'autorisation solaris.account.setpolicy.
- Le rôle d'administrateur de la sécurité doit être en mesure de modifier les propriétés d'un utilisateur qui nécessitent l'autorisation solaris.account.setpolicy. L'administrateur de sécurité ne doit pas être en mesure de créer un utilisateur ou de modifier le shell de connexion d'un utilisateur.

Autorisation des utilisateurs à se connecter à une zone étiquetée

Lorsque le système est réinitialisé, l'association entre les périphériques et le stockage sous-jacent doit être rétablie.

Avant de commencer

Vous avez créé au moins une zone étiquetée. Après avoir configuré le système, vous avez réinitalisé. Vous pouvez prendre le rôle root.

Connectez-vous et prenez le rôle root.

Vérifiez l'état du service de zones.

# svcs zones
STATE          STIME    FMRI
offline        -        svc:/system/zones:default

Redémarrez le service.

# svcadm restart svc:/system/zones:default

Déconnectez-vous.
Les utilisateurs standard peuvent désormais se connecter. Leur session se trouve dans une zone étiquetée.

Ignorer les liens de navigation
Quitter l'aperu
	Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français)