JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Configuration et administration de Trusted Extensions     Oracle Solaris 11.1 Information Library (Français)
search filter icon
search icon

Informations document

Préface

Partie I Configuration initiale de Trusted Extensions

1.  Planification de la sécurité pour Trusted Extensions

2.  Déroulement de la configuration de Trusted Extensions

3.  Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)

4.  Configuration de Trusted Extensions (tâches)

Configuration de la zone globale dans Trusted Extensions

Vérification et installation du fichier Label Encodings

Configuration d'un réseau IPv6 CIPSO dans Trusted Extensions

Configuration d'un autre domaine d'interprétation

Création de zones étiquetées

Création d'un système Trusted Extensions par défaut

Création interactive de zones étiquetées

Affectation d'étiquettes à deux espaces de travail comportant des zones

Configuration des interfaces réseau dans Trusted Extensions

Partage d'une seule adresse IP entre toutes les zones

Ajout d'une instance d'IP à une zone étiquetée

Ajout d'une interface réseau virtuelle à une zone étiquetée

Connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions

Configuration d'un service de noms distinct pour chaque zone étiquetée

Création de rôles et d'utilisateurs dans Trusted Extensions

Création du rôle d'administrateur sécurité dans Trusted Extensions

Création d'un rôle d'administrateur de sécurité

Création d'utilisateurs pouvant prendre des rôles dans Trusted Extensions

Vérification du fonctionnement des rôles Trusted Extensions

Autorisation des utilisateurs à se connecter à une zone étiquetée

Création de répertoires personnels centralisés dans Trusted Extensions

Création du serveur d'annuaires personnel dans Trusted Extensions

Procédure permettant aux utilisateurs d'accéder à leurs répertoires personnels distants sous chaque étiquette en se connectant à chaque serveur NFS

Procédure permettant aux utilisateurs d'accéder à leurs répertoires personnels distants en configurant l'agent de montage automatique sur chaque serveur

Dépannage de votre configuration Trusted Extensions

Déplacement des panneaux du bureau vers le bas de l'écran

Tâches de configuration supplémentaires de Trusted Extensions

Création d'une zone étiquetée secondaire

Création et partage d'un jeu de données multiniveau

Copie de fichiers sur un média amovible dans Trusted Extensions

Copie de fichiers dans Trusted Extensions à partir d'un média amovible

Suppression de Trusted Extensions du système

5.  Configuration de LDAP pour Trusted Extensions (tâches)

Partie II Administration de Trusted Extensions

6.  Concepts d'administration de Trusted Extensions

7.  Outils d'administration de Trusted Extensions

8.  Exigences de sécurité sur un système Trusted Extensions (présentation)

9.  Exécution de tâches courantes dans Trusted Extensions

10.  Utilisateurs, droits et rôles dans Trusted Extensions (présentation)

11.  Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)

12.  Administration à distance dans Trusted Extensions (tâches)

13.  Gestion des zones dans Trusted Extensions

14.  Gestion et montage de fichiers dans Trusted Extensions

15.  Gestion de réseaux de confiance (présentation)

16.  Gestion des réseaux dans Trusted Extensions (tâches)

17.  Trusted Extensions et LDAP (présentation)

18.  Messagerie multiniveau dans Trusted Extensions (présentation)

19.  Gestion de l'impression étiquetée (tâches)

20.  Périphériques dans Trusted Extensions (présentation)

21.  Gestion des périphériques pour Trusted Extensions (tâches)

22.  Audit de Trusted Extensions (présentation)

23.  Gestion des logiciels dans Trusted Extensions

A.  Stratégie de sécurité du site

Création et gestion d'une stratégie de sécurité

Stratégie de sécurité du site et Trusted Extensions

Recommandations relatives à la sécurité informatique

Recommandations relatives à la sécurité physique

Recommandations relatives à la sécurité du personnel

Violations de sécurité courantes

Références de sécurité supplémentaires

B.  Liste de contrôle de configuration pour Trusted Extensions

Liste de contrôle de configuration de Trusted Extensions

C.  Guide de référence rapide pour l'administration de Trusted Extensions

Interfaces d'administration dans Trusted Extensions

Interfaces Oracle Solaris étendues par Trusted Extensions

Renforcement des paramètres de sécurité par défaut dans Trusted Extensions

Options limitées dans Trusted Extensions

D.  Liste des pages de manuel Trusted Extensions

Pages de manuel Trusted Extensions par ordre alphabétique

Pages de manuel Oracle Solaris modifiées par Trusted Extensions

Glossaire

Index

Création de zones étiquetées

Les instructions de cette section configurent des zones étiquetées. Vous avez la possibilité de créer deux zones étiquetées de manière automatique ou de créer des zones manuellement.


Remarque - Si vous avez l'intention d'utiliser LDAP, reportez-vous au Chapitre 5, Configuration de LDAP pour Trusted Extensions (tâches). Vous devez configurer LDAP avant de créer des zones étiquetées.


Tâche
Description
Voir
1a. Création d'un système Trusted Extensions par défaut
La commande txzonemgr -c crée deux zones étiquetées à partir du fichier label_encodings.
1b. Création d'une configuration Trusted Extensions par défaut à l'aide d'une interface utilisateur graphique
Le script txzonemgr crée une interface utilisateur graphique qui présente les tâches appropriées lors de la configuration du système.
1c. Réalisation manuelle des étapes de la création de zones
Le script txzonemgr crée une interface utilisateur graphique qui présente les tâches appropriées lors de la configuration du système.
2. Création d'un environnement étiqueté opérationnel
Dans la configuration par défaut, appliquez les étiquettes PUBLIC et INTERNAL USE ONLY à deux espaces de travail.
3. (Facultatif) Lien vers d'autres systèmes sur votre réseau
Configurez des interfaces réseau de zone étiquetée et connectez la zone globale et les zones étiquetées à d'autres systèmes.

Création d'un système Trusted Extensions par défaut

Cette procédure crée un système Trusted Extensions opérationnel comportant deux zones étiquetées. Aucun hôte distant n'a été affecté aux modèles de sécurité du système, si bien que ce système ne peut pas communiquer avec des hôtes distants.

Avant de commencer

Vous avez effectué l'étape Connexion à Trusted Extensions. Vous avez pris le rôle root.

  1. Ouvrez une fenêtre de terminal dans le quatrième espace de travail.
  2. (Facultatif) Consultez la page de manuel txzonemgr.
    # man txzonemgr
  3. Créez une configuration par défaut.
    # /usr/sbin/txzonemgr -c

    Cette commande copie le SE Oracle Solaris et le logiciel Trusted Extensions dans une zone, crée un instantané de la zone, applique une étiquette à la zone originale, puis utilise l'instantané pour créer une seconde zone étiquetée. Les zones sont initialisées.

    • La première zone étiquetée est basée sur la valeur Default User Sensitivity Label du fichier label_encodings.

    • La deuxième zone étiquetée est basée sur la valeur Default User Clearance du fichier label_encodings.

    Cette étape peut prendre environ 20 minutes. Pour installer les zones, le script utilise pour les zones étiquetées le mot de passe root de la zone globale.

Étapes suivantes

Pour utiliser votre configuration Trusted Extensions, passez à l'étape Affectation d'étiquettes à deux espaces de travail comportant des zones.

Création interactive de zones étiquetées

Vous n'êtes pas obligé de créer une zone pour chaque étiquette de votre fichier label_encodings, mais vous pouvez le faire. Les interfaces utilisateur graphiques d'administration énumèrent les étiquettes pour lesquelles des zones peuvent être créées sur ce système. Au cours de cette procédure, vous créez deux zones étiquetées. Si vous utilisez le fichier label_encodings de Trusted Extensions, vous créez la configuration Trusted Extensions par défaut.

Avant de commencer

Vous avez effectué l'étape Connexion à Trusted Extensions. Vous avez pris le rôle root.

Vous n'avez pas encore créé de zone.

  1. Exécutez la commande txzonemgr sans aucune option.
    # txzonemgr &

    Le script ouvre la boîte de dialogue Labeled Zone Manager (Gestionnaire de zones étiquetées). Cette boîte de dialogue zenity vous invite à effectuer les tâches appropriées, selon l'état actuel de votre configuration.

    Pour exécuter une tâche, sélectionnez l'option de menu, puis appuyez sur la touche Entrée ou cliquez sur OK. Lorsque vous êtes invité à saisir du texte, saisissez-le, puis appuyez sur la touche Entrée ou cliquez sur OK.


    Astuce - Pour afficher l'état actuel d'achèvement de la zone, cliquez sur Return to Main Menu (Retourner au menu principal) dans le gestionnaire de zones étiquetées. Vous pouvez également cliquer sur le bouton Cancel (Annuler).


  2. Installez les zones en choisissant l'une des méthodes suivantes :
    • Pour créer deux zones étiquetées, sélectionnez public and internal zones (zones publiques et internes) dans la boîte de dialogue.
      • La première zone étiquetée est basée sur la valeur Default User Sensitivity Label du fichier label_encodings.

      • La deuxième zone étiquetée est basée sur la valeur Default User Clearance du fichier label_encodings.

      1. Répondez à l'invite pour identifier le système.

        Si la zone public utilise une pile IP exclusive ou si elle a une adresse IP définie dans le DNS, utilisez le nom d'hôte tel que défini dans le DNS. Dans le cas contraire, utilisez le nom du système.

      2. Ne répondez pas à l'invite de saisie de mot de passe root.

        Le mot de passe root a été défini à l'installation du système. Toute réponse à cette invite échouera.

      3. A l'invite de connexion à la zone, entrez votre nom de connexion et votre mot de passe utilisateur.

        Vérifiez ensuite que tous les services sont configurés en exécutant la commande svcs -x. Si aucun message ne s'affiche, tous les services sont configurés.

      4. Déconnectez-vous de la zone et fermez la fenêtre.

        Entrez exit à l'invite, puis choisissez Close window (Fermer la fenêtre) dans la console de la zone.

        Dans une autre fenêtre, l'installation de la deuxième zone se termine. Cette zone est construite à partir d'un instantané, si bien qu'elle se construit rapidement.

      5. Connectez-vous à la console de la seconde zone et vérifiez que tous les services sont en cours d'exécution.
        # svcs -x
        #

        Si aucun message ne s'affiche, tous les services sont configurés. Le gestionnaire de zones étiquetées s'affiche.

      6. Double-cliquez sur la zone interne dans le gestionnaire de zones étiquetées.

        Sélectionnez Reboot (Réinitialiser), puis cliquez sur le bouton Cancel (Annuler) pour revenir à l'écran principal. Toutes les zones sont en cours d'exécution. L'instantané non étiqueté n'est pas en cours d'exécution.

    • Pour créer des zones manuellement, sélectionnez Main Menu (Menu principal), puis Create a zone (Créer une zone).

      Suivez les invites à l'écran. L'interface utilisateur graphique vous guide étape par étape au cours de la création d'une zone.

      Une fois la zone créée et initialisée, vous pouvez revenir à la zone globale pour créer d'autres zones. Ces zones sont créées à partir d'un instantané.

Exemple 4-2 Création d'une autre zone étiquetée

Dans cet exemple, l'administrateur crée une zone restreinte à partir du fichier label_encodings par défaut.

Pour commencer, l'administrateur ouvre le script txzonemgr en mode interactif.

# txzonemgr &

Il accède ensuite à la zone globale et crée une zone portant le nom restricted (restreinte).

Create a new zone:restricted

Puis il applique l'étiquette appropriée.

Select label:CNF : RESTRICTED

L'administrateur sélectionne l'option Clone dans la liste, puis il sélectionne snapshot (instantané) en tant que modèle pour la nouvelle zone.

Une fois que la zone restricted est disponible, l'administrateur clique sur Boot (Init) pour initialiser la seconde zone.

Pour activer l'accès à la zone restricted, l'administrateur modifie la valeur Default User Clearance dans le fichier label_encodings et la définit sur CNF RESTRICTED.

Affectation d'étiquettes à deux espaces de travail comportant des zones

Cette procédure crée deux espaces de travail étiquetés et ouvre une fenêtre étiquetée dans chaque espace de travail étiqueté. Lorsque cette tâche est terminée, vous disposez d'un système Trusted Extensions opérationnel mais non connecté à un réseau.

Avant de commencer

Vous avez effectué l'étape Création d'un système Trusted Extensions par défaut ou l'étape Création interactive de zones étiquetées.

Vous êtes l'utilisateur initial.

  1. Créez un espace de travail PUBLIC.

    L'étiquette de l'espace de travail PUBLIC à Default User Sensitivity Label.

    1. Passez au deuxième espace de travail.
    2. Cliquez avec le bouton droit de la souris et sélectionnez Change Workspace Label (Modifier l'étiquette de l'espace de travail).
    3. Sélectionnez PUBLIC et cliquez sur OK.
  2. Saisissez votre mot de passe lorsque vous y êtes invité.

    Vous vous trouvez dans un espace de travail PUBLIC.

  3. Ouvrez une fenêtre de terminal.

    La fenêtre est étiquetée PUBLIC.

  4. Créez un espace de travail INTERNAL USE ONLY.

    Si vous utilisez un fichier label_encodings, vous créez un espace de travail à partir de la valeur Default User Clearance.

    1. Passez au troisième espace de travail.
    2. Cliquez avec le bouton droit de la souris et sélectionnez Change Workspace Label (Modifier l'étiquette de l'espace de travail).
    3. Sélectionnez INTERNAL USE ONLY et cliquez sur OK.
  5. Saisissez votre mot de passe lorsque vous y êtes invité.

    Vous vous trouvez dans un espace de travail INTERNAL.

  6. Ouvrez une fenêtre de terminal.

    La fenêtre est étiquetée CONFIDENTIAL : INTERNAL USE ONLY.

    Votre système est prêt à être utilisé. Vous avez deux espaces de travail d'utilisateur et un espace de travail de rôle. Dans cette configuration, les zones étiquetées utilisent la même adresse IP que la zone globale pour communiquer avec d'autres systèmes. Elles peuvent le faire car, par défaut, elles partagent la même adresse IP en tant qu'interface all-zones.

Étapes suivantes

Si vous prévoyez de faire communiquer votre système Trusted Extensions avec d'autres systèmes, accédez à Configuration des interfaces réseau dans Trusted Extensions.