JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Configuration et administration de Trusted Extensions     Oracle Solaris 11.1 Information Library (Français)
search filter icon
search icon

Informations document

Préface

Partie I Configuration initiale de Trusted Extensions

1.  Planification de la sécurité pour Trusted Extensions

2.  Déroulement de la configuration de Trusted Extensions

3.  Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)

4.  Configuration de Trusted Extensions (tâches)

Configuration de la zone globale dans Trusted Extensions

Vérification et installation du fichier Label Encodings

Configuration d'un réseau IPv6 CIPSO dans Trusted Extensions

Configuration d'un autre domaine d'interprétation

Création de zones étiquetées

Création d'un système Trusted Extensions par défaut

Création interactive de zones étiquetées

Affectation d'étiquettes à deux espaces de travail comportant des zones

Configuration des interfaces réseau dans Trusted Extensions

Partage d'une seule adresse IP entre toutes les zones

Ajout d'une instance d'IP à une zone étiquetée

Ajout d'une interface réseau virtuelle à une zone étiquetée

Connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions

Configuration d'un service de noms distinct pour chaque zone étiquetée

Création de rôles et d'utilisateurs dans Trusted Extensions

Création du rôle d'administrateur sécurité dans Trusted Extensions

Création d'un rôle d'administrateur de sécurité

Création d'utilisateurs pouvant prendre des rôles dans Trusted Extensions

Vérification du fonctionnement des rôles Trusted Extensions

Autorisation des utilisateurs à se connecter à une zone étiquetée

Création de répertoires personnels centralisés dans Trusted Extensions

Création du serveur d'annuaires personnel dans Trusted Extensions

Procédure permettant aux utilisateurs d'accéder à leurs répertoires personnels distants sous chaque étiquette en se connectant à chaque serveur NFS

Procédure permettant aux utilisateurs d'accéder à leurs répertoires personnels distants en configurant l'agent de montage automatique sur chaque serveur

Dépannage de votre configuration Trusted Extensions

Déplacement des panneaux du bureau vers le bas de l'écran

Tâches de configuration supplémentaires de Trusted Extensions

Création d'une zone étiquetée secondaire

Création et partage d'un jeu de données multiniveau

Copie de fichiers sur un média amovible dans Trusted Extensions

Copie de fichiers dans Trusted Extensions à partir d'un média amovible

Suppression de Trusted Extensions du système

5.  Configuration de LDAP pour Trusted Extensions (tâches)

Partie II Administration de Trusted Extensions

6.  Concepts d'administration de Trusted Extensions

7.  Outils d'administration de Trusted Extensions

8.  Exigences de sécurité sur un système Trusted Extensions (présentation)

9.  Exécution de tâches courantes dans Trusted Extensions

10.  Utilisateurs, droits et rôles dans Trusted Extensions (présentation)

11.  Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)

12.  Administration à distance dans Trusted Extensions (tâches)

13.  Gestion des zones dans Trusted Extensions

14.  Gestion et montage de fichiers dans Trusted Extensions

15.  Gestion de réseaux de confiance (présentation)

16.  Gestion des réseaux dans Trusted Extensions (tâches)

17.  Trusted Extensions et LDAP (présentation)

18.  Messagerie multiniveau dans Trusted Extensions (présentation)

19.  Gestion de l'impression étiquetée (tâches)

20.  Périphériques dans Trusted Extensions (présentation)

21.  Gestion des périphériques pour Trusted Extensions (tâches)

22.  Audit de Trusted Extensions (présentation)

23.  Gestion des logiciels dans Trusted Extensions

A.  Stratégie de sécurité du site

Création et gestion d'une stratégie de sécurité

Stratégie de sécurité du site et Trusted Extensions

Recommandations relatives à la sécurité informatique

Recommandations relatives à la sécurité physique

Recommandations relatives à la sécurité du personnel

Violations de sécurité courantes

Références de sécurité supplémentaires

B.  Liste de contrôle de configuration pour Trusted Extensions

Liste de contrôle de configuration de Trusted Extensions

C.  Guide de référence rapide pour l'administration de Trusted Extensions

Interfaces d'administration dans Trusted Extensions

Interfaces Oracle Solaris étendues par Trusted Extensions

Renforcement des paramètres de sécurité par défaut dans Trusted Extensions

Options limitées dans Trusted Extensions

D.  Liste des pages de manuel Trusted Extensions

Pages de manuel Trusted Extensions par ordre alphabétique

Pages de manuel Oracle Solaris modifiées par Trusted Extensions

Glossaire

Index

Tâches de configuration supplémentaires de Trusted Extensions

Les tâches suivantes peuvent être utiles pour la configuration d'un système Trusted Extensions en fonction de vos besoins. La dernière tâche permet de supprimer la fonction de Trusted Extensions d'un système Oracle Solaris.

Tâche
Description
Voir
Informez les utilisateurs de la sécurité du site.
Affiche un message de sécurité à la connexion.
Création d'une zone étiquetée pour contenir un service qui opère sous la même étiquette qu'une zone existante.
Crée une zone secondaire sous la même étiquette secondaire que la zone principale.
Création d'un jeu de données pour contenir les répertoires et fichiers sous toutes les étiquettes
Crée et monte un jeu de données dans lequel les fichiers peuvent être étiquetés de nouveau avec une surcharge minimale.
Création d'un serveur d'annuaires personnel sous chaque étiquette
Crée plusieurs serveurs d'annuaires personnel, un pour chaque étiquette. Ou crée un serveur d'annuaires personnel multiniveau.
Création des premiers utilisateurs pouvant prendre des rôles
Crée des utilisateurs en lesquels vous avez confiance pour administrer le système lorsqu'ils prennent un rôle.
Suppression de Trusted Extensions
Supprime Trusted Extensions et toutes les données de confiance de votre système. Tient également le système prêt à exécuter Oracle Solaris sans Trusted Extensions.

Création d'une zone étiquetée secondaire

Les zones étiquetées secondaires permettent d’isoler les services dans différentes zones, tout en autorisant les services à s'exécuter sous la même étiquette. Pour plus d'informations, reportez-vous à la section Zones étiquetées principales et secondaires.

Avant de commencer

La zone principale doit exister. La zone secondaire doit avoir une adresse IP exclusive et ne peut pas demander un bureau.

Vous devez être dans le rôle root dans la zone globale.

  1. Créez une zone secondaire.

    Vous pouvez utiliser la ligne de commande ou l'interface graphique de zones étiquetées, txzonemgr.

    • Utilisez la ligne de commande.
      # tncfg -z secondary-label-service primary=no
      # tncfg -z secondary-label-service label=public
    • Utilisez txzonemgr.
      # txzonemgr &

      Accédez à Create a new zone (Créer une nouvelle zone) puis suivez les invites.


      Remarque - Le masque de réseau doit être entré dans un format avec préfixe. Par exemple, le masque de réseau 255.255.254.0 requiert le préfixe 23.


  2. Vérifiez que la zone est une zone secondaire.
    # tncfg -z zone info primary
        primary=no

Exemple 4-6 Création d'une zone pour les scripts publics

Dans cet exemple, l'administrateur isole une zone publique conçue pour exécuter des scripts et des tâches par lots.

# tncfg -z public-scripts primary=no
# tncfg -z public-scripts label=public

Création et partage d'un jeu de données multiniveau

Les jeux de données multiniveau sont des conteneurs utiles lorsque vous rétrogradez ou mettez à niveau des informations. Pour plus d'informations, reportez-vous à la section Jeux de données multiniveau pour la modification d'étiquette de fichiers. Les jeux de données multiniveau sont également utiles pour que les serveurs de fichiers NFS multiniveau fournissent des fichiers sous un grand nombre d'étiquettes à des clients NFS.

Avant de commencer

Pour créer un jeu de données multiniveau, vous devez être dans le rôle root dans la zone globale.

  1. Créez un jeu de données multiniveau.
    # zfs create -o mountpoint=/multi -o multilevel=on rpool/multi

    rpool/multi est un jeu de données multiniveau monté dans la zone globale dans /multi.

    Pour limiter la plage d'étiquettes supérieure du jeu de données, reportez-vous à l'Exemple 4-7.

  2. Assurez-vous que le jeu de données multiniveau est monté et que le point de montage dispose de l'étiquette ADMIN_LOW.
    # getlabel /multi
    /multi: ADMIN_LOW
  3. Protégez le système de fichiers parent.

    Définissez les propriétés ZFS suivantes sur off pour tous les systèmes de fichiers du pool :

    # zfs set devices=off rpool/multi
    # zfs set exec=off rpool/multi
    # zfs set setuid=off rpool/multi
  4. (Facultatif) Définissez la propriété de compression du pool.

    En règle générale, la compression est définie dans ZFS au niveau du système de fichiers. Toutefois, dans la mesure où tous les systèmes de fichiers présents dans ce pool sont des fichiers de données, la compression est définie au niveau du jeu de données supérieur du pool.

    # zfs set compression=on rpool/multi

    Reportez-vous également à la section Interactions entre les propriétés de compression, de suppression des doublons et de chiffrement ZFS du manuel Administration d’Oracle Solaris 11.1 : Systèmes de fichiers ZFS.

  5. Créez des répertoires de niveau supérieur pour chaque étiquette que vous souhaitez placer dans le jeu de données multiniveau.
    # cd /multi
    # mkdir public internal
    # chmod 777 public internal
    # setlabel PUBLIC public
    # setlabel "CNF : INTERNAL" internal
  6. Utilisez LOFS pour monter le jeu de données multiniveau dans chaque zone étiquetée qui bénéficie d'un accès approuvé.

    Par exemple, les séries suivantes de commandes zonecfg permettent de monter le jeu de données dans la zone public.

    # zonecfg -z public
    zonecfg:public> add fs
    zonecfg:public:fs> set dir=/multi
    zonecfg:public:fs> set special=/multi
    zonecfg:public:fs> set type=lofs
    zonecfg:public:fs> end
    zonecfg:public> exit

    Les jeux de données multiniveau autorisent l'écriture de fichiers sous la même étiquette que la zone de montage et de lecture des fichiers de niveau inférieur. L'étiquette des fichiers montés peut être affichée et définie.

  7. Pour utiliser NFS afin de partager le jeu de données multiniveau avec d'autres systèmes, effectuez les opérations suivantes :
    1. Placez le service NFS de la zone globale dans un service multiniveau.
      # tncfg -z global add mlp_private=2049/tcp
      # tncfg -z global add mlp_private=111/udp
      # tncfg -z global add mlp_private=111/tcp
    2. Redémarrez le service NFS.
      # svcadm restart nfs/server
    3. Partagez le jeu de données multiniveau.
      # share /multi

    Les jeux de données multiniveau montés en NFS autorisent l'écriture de fichiers sous la même étiquette que la zone de montage et la lecture des fichiers de niveau inférieur. L'étiquette des fichiers montés ne peut pas être affichée de manière fiable ou définie. Pour plus d'informations, reportez-vous à la section Montage de jeux de données multiniveau provenant d'un autre système.

Exemple 4-7 Création d'un jeu de données multiniveau avec l'étiquette la plus haute sous ADMIN_HIGH

Dans cet exemple, l'administrateur crée un jeu de données multiniveau avec une limite supérieure, ou l'étiquette la plus haute, qui est inférieure à la valeur par défaut, ADMIN_HIGH . À sa création, l'administrateur indique la limite d'étiquette supérieure dans la propriété mslabel. Cette limite supérieure empêche les processus de la zone globale de créer tout fichier ou répertoire dans le jeu de données multiniveau. Seuls les processus de zone étiquetée peuvent créer des répertoires et des fichiers dans le jeu de données. La propriété multilevel étant on, la propriété mlslabel définit la limite supérieure, et non l'étiquette pour un jeu de données à étiquette unique.

# zfs create -o mountpoint=/multiIUO -o multilevel=on \
-o mlslabel="CNF : INTERNAL" rpool/multiIUO

Ensuite, l'administrateur se connecte à chaque zone étiquetée pour créer un répertoire sous cette étiquette dans le jeu de données monté.

# zlogin public 
# mkdir /multiIUO
# chmod 777 /multiIUO
# zlogin internal 
# mkdir /multiIUO
# chmod 777 /multiIUO

Les jeux de données multiniveau sont visibles sous l'étiquette de la zone de montage pour les utilisateurs autorisés après la réinitialisation de la zone.

Étapes suivantes

Pour autoriser les utilisateurs à modifier l'étiquetage des fichiers, reportez-vous à la section Octroi de l'autorisation à modifier l'étiquette de fichiers à un utilisateur.

Pour obtenir des instructions sur la modification de l'étiquetage des fichiers, reportez-vous aux sections Mise à niveau de données dans un jeu de données multiniveau du manuel Guide de l’utilisateur Trusted Extensions et Rétrogradation de données dans un jeu de données multiniveau du manuel Guide de l’utilisateur Trusted Extensions.

Copie de fichiers sur un média amovible dans Trusted Extensions

Lors de la copie sur un média amovible, étiquetez le média avec l'étiquette de sensibilité des informations.


Remarque - Pendant la configuration de Trusted Extensions, le rôle root peut utiliser des médias amovibles pour transférer les fichiers label_encodings à tous les systèmes. Etiquetez le média avec Trusted Path.


Avant de commencer

Pour copier les fichiers d'administration, vous devez être dans le rôle root dans la zone globale.

  1. Allouez le périphérique approprié.

    Utilisez le gestionnaire de périphériques (Device Manager) et insérez un média vierge. Pour plus d'informations, reportez-vous à la section Allocation d’un périphérique dans Trusted Extensions du manuel Guide de l’utilisateur Trusted Extensions.

    Le navigateur de fichiers affiche le contenu du média vierge.

  2. Ouvrez un deuxième navigateur de fichiers.
  3. Accédez au dossier contenant les fichiers à copier.
  4. Pour chaque fichier, effectuez les opérations suivantes :
    1. Mettez l'icône du fichier en surbrillance.
    2. Faites glisser le fichier vers le navigateur de fichiers du média amovible.
  5. Libérez le périphérique.

    Pour plus d'informations, reportez-vous à la section Libération d’un périphérique dans Trusted Extensions du manuel Guide de l’utilisateur Trusted Extensions.

  6. Dans le navigateur de fichiers du média amovible, sélectionnez Eject (Ejecter) dans le menu File (Fichier).

    Remarque - N'oubliez pas de placer physiquement sur le média une étiquette indiquant le niveau de sensibilité des fichiers copiés.


Exemple 4-8 Conservation de fichiers de configuration identiques sur tous les systèmes

L'administrateur système souhaite s'assurer que tous les systèmes sont configurés avec les mêmes paramètres. Par conséquent, il crée sur le premier système configuré un répertoire qui ne peut pas être supprimé entre les réinitialisations. Dans ce répertoire, l'administrateur place les fichiers qui doivent être identiques ou très similaires sur tous les systèmes.

Par exemple, l'administrateur modifie le fichier policy.conf ainsi que les fichiers login et passwd pour ce site. L'administrateur copie donc les fichiers suivants dans le répertoire permanent.

# mkdir /export/commonfiles
# cp  /etc/security/policy.conf \
# cp  /etc/default/login \
# cp  /etc/default/passwd \
# cp  /etc/security/tsol/label_encodings \
/export/commonfiles

L'administrateur utilise le gestionnaire de périphériques (Device Manager) pour allouer un CD-ROM dans la zone globale, transfère les fichiers vers le CD, et appose une étiquette Trusted Path.

Copie de fichiers dans Trusted Extensions à partir d'un média amovible

Il est recommandé de renommer le fichier Trusted Extensions original avant de le remplacer. Lors de la configuration d'un système, le rôle root renomme et copie les fichiers d'administration.

Avant de commencer

Pour copier les fichiers d'administration, vous devez être dans le rôle root dans la zone globale.

  1. Allouez le périphérique approprié.

    Pour plus d'informations, reportez-vous à la section Allocation d’un périphérique dans Trusted Extensions du manuel Guide de l’utilisateur Trusted Extensions.

    Le navigateur de fichiers affiche le contenu.

  2. Insérez le média contenant les fichiers d'administration.
  3. Si le système contient un fichier du même nom, copiez le fichier d'origine sous un nouveau nom.

    Par exemple, ajoutez .orig à la fin du fichier d'origine :

    # cp /etc/security/tsol/label_encodings /etc/security/tsol/label_encodings.orig
  4. Ouvrez un navigateur de fichiers.
  5. Accédez au répertoire de destination souhaité, par exemple /etc/security/tsol .
  6. Pour chaque fichier que vous souhaitez copier, effectuez les opérations suivantes :
    1. Dans le navigateur de fichiers du média monté, mettez l'icône du fichier en surbrillance.
    2. Faites ensuite glisser le fichier vers le répertoire de destination dans le deuxième navigateur de fichiers.
  7. Libérez le périphérique.

    Pour plus d'informations, reportez-vous à la section Libération d’un périphérique dans Trusted Extensions du manuel Guide de l’utilisateur Trusted Extensions.

  8. Lorsque vous y êtes invité, éjectez et retirez le média.

Suppression de Trusted Extensions du système

Vous devez effectuer des étapes spécifiques pour supprimer la fonction Trusted Extensions d'un système Oracle Solaris.

Avant de commencer

Vous êtes dans le rôle root dans la zone globale.

  1. Archivez toutes les données dans des zones étiquetées que vous souhaitez conserver.

    Si vous utilisez des médias amovibles, fixez une étiquette physique indiquant l'étiquette de sensibilité de la zone sur chaque zone archivée.

  2. Supprimez les zones étiquetées du système.

    Pour plus d'informations, reportez-vous à la section Suppression d’une zone non globale du manuel Administration d’Oracle Solaris 11.1 : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources.

  3. Désactivez le service Trusted Extensions.
    # svcadm disable labeld
  4. (Facultatif) Réinitialisez le système.
  5. Configurez le système.

    La configuration de différents services peut être nécessaire pour votre système Oracle Solaris. Peuvent être concernés par exemple la configuration réseau de base, les services de noms et le montage de systèmes de fichiers.