Sécurisation des utilisateurs et des processus dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

La création des profils de droits et autorisations

Vous pouvez créer ou modifier un profil de droits lorsque les profils de droits fournis ne contiennent pas l'ensemble des droits dont vous avez besoin. Vous pouvez créer un profil de droits pour les utilisateurs ayant des droits limités dans le cadre d'une nouvelle application, ou différentes à d'autres motifs.

Les profils de droits fournis par Oracle Solaris sont en lecture seule. Vous pouvez cloner un profil de droits fourni à des fins de modification si son ensemble de droits est insuffisant. Par exemple, vous pouvez ajouter l'autorisation solaris.admin.edit/ path-to-system-file à un profil de droits fourni. Pour plus d'informations, reportez-vous à la section En savoir plus sur les profils de droits.

Vous pouvez créer une autorisation lorsque les autorisations fournies ne sont pas pris en compte dans plus d'informations sur les autorisations sont codées sur votre des applications privilégiées. Vous ne pouvez pas modifier une autorisation. Pour plus d'informations, reportez-vous à la section En savoir plus sur les autorisations utilisateur.

Création d'un profil de droits

Avant de commencer

Pour créer un profil de droits, vous devez vous connecter en tant qu'administrateur disposant du profil de droits File Security (sécurité des fichiers). Pour plus d'informations, voir A l'aide de vos droits administratifs attribués.

  1. Création d'un profil de droits. 
    # profiles -p [-S repository] profile-name

    Vous êtes invité à saisir une description.

  2. Ajoutez du contenu au profil de droits.

    Utilisez la sous-commande set pour les propriétés de profil qui possèdent une valeur unique, comme set desc. Utilisez la sous-commande add pour les propriétés qui peuvent posséder plusieurs valeurs, comme add cmd.

    La commande suivante crée le profil de droits PAM personnalisé dans la section Assignation d’une stratégie PAM modifiée du manuel Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.2 . Le nom est raccourci à des fins d'affichage.

    # profiles -p -S LDAP "Site PAM LDAP"
profiles:Site PAM LDAP> set desc="Profile which sets pam_policy=ldap"
...LDAP> set pam_policy=ldap
...LDAP> commit
...LDAP> end
...LDAP> exit
Exemple 5-6  Création d'un profil de droits pour les utilisateurs Sun Ray

Dans cet exemple, l'administrateur crée un profil de droits pour les utilisateurs Sun Ray dans le référentiel LDAP. L'administrateur a déjà créé une version Sun Ray du profil de droits Basic Solaris User (utilisateur Solaris de base), et a supprimé tous les profils de droits du fichier policy.conf sur le serveur Sun Ray.

# profiles -p -S LDAP "Sun Ray Users"
profiles:Sun Ray Users> set desc="For all users of Sun Rays"
... Ray Users> add profiles="Sun Ray Basic User"
... Ray Users> set defaultpriv="basic,!proc_info"
... Ray Users> set limitpriv="basic,!proc_info"
... Ray Users> end
... Ray Users> exit

L'administrateur vérifie le contenu.

# profiles -p "Sun Ray Users" info
Found profile in LDAP repository.
        name=Sun Ray Users
        desc=For all users of Sun Rays
        defaultpriv=basic,!proc_info,
        limitpriv=basic,!proc_info,
        profiles=Sun Ray Basic User
Exemple 5-7  Création d'un profil de droits qui inclut des commandes privilégiées

Dans cet exemple, l'administrateur de la sécurité ajoute des privilèges à une application dans un profil de droits créé par l'administrateur. L'application est consciente des privilèges.

# profiles -p SiteApp
profiles:SiteApp> set desc="Site application"
profiles:SiteApp> add cmd="/opt/site-app/bin/site-cmd"
profiles:SiteApp:site-cmd> add privs="proc_fork,proc_taskid"
profiles:SiteApp:site-cmd> end
profiles:SiteApp> exit

Pour vérifier, l'administrateur sélectionne la commande site-cmd.

# profiles -p SiteApp "select cmd=/opt/site-app/bin/site-cmd; info;end"
Found profile in files repository.
  id=/opt/site-app/bin/site-cmd
  privs=proc_fork,proc_taskid

Etapes suivantes

Attribuez le profil de droits à un utilisateur ou à un rôle de confiance. Pour consulter des exemples, reportez-vous à l'Example 3–10 et à l'Example 3–19.

Voir aussi

Pour dépanner les attributions de droits, reportez-vous à la section, Dépannage d'attributions de droits. Pour plus d'informations, reportez-vous à la section Ordre de recherche pour Assigned Rights.

Clonage et modification d'un profil de droits système

Avant de commencer

Pour créer ou modifier un profil de droits, vous devez vous connecter en tant qu'administrateur disposant du profil de droits File Security (sécurité des fichiers). Pour plus d'informations, voir A l'aide de vos droits administratifs attribués.

  1. Créez un nouveau profil de droits à partir d'un profil existant. 
    # profiles -p [-S repository] existing-profile-name
    • Pour ajouter du contenu à un profil de droits existant, créez un profil.

      Ajoutez dans celui-ci le profil de droits existant en tant que profil de droits supplémentaire, puis ajoutez les améliorations. Reportez-vous à la section Example 5–8.

    • Pour supprimer du contenu d'un profil de droits existant, clonez ce dernier et renommez-le et apportez les modifications.

      Reportez-vous à la section Example 5–9.

  2. Modifier le nouveau profil de droits en ajoutant ou en supprimant des profils de droits supplémentaires, les autorisations et d'autres droits.
Exemple 5-8  Clonage et optimisation du profil de droits Network IPsec Management (gestion IPsec du réseau)

Dans cet exemple, l'administrateur ajoute une autorisation solaris.admin.edit à un profil de droits IPsec Management de site, si bien que le rôle root n'est pas requis. Ce profil de droits sera affecté uniquement aux utilisateurs autorisés à modifier le fichier /etc/hosts.

  1. L'administrateur vérifie que le profil de droits Network IPsec Management ne peut pas être modifié.

    # profiles -p "Network IPsec Management"
profiles:Network IPsec Management> add auths="solaris.admin.edit/etc/hosts"
Cannot add. Profile cannot be modified

  2. Il crée ensuite un profil de droits incluant le profil Network IPsec Management.

    # profiles -p "Total IPsec Mgt"
... IPsec Mgt> set desc="Network IPsec Mgt plus /etc/hosts"
... IPsec Mgt> add profiles="Network IPsec Management"
... IPsec Mgt> add auths="solaris.admin.edit/etc/hosts"
... IPsec Mgt> end
... IPsec Mgt> exit

  3. L'administrateur vérifie le contenu.

    # profiles -p "Total IPsec Mgt" info
        name=Total IPsec Mgt
        desc=Network IPsec Mgt plus /etc/hosts
        auths=solaris.admin.edit/etc/hosts
        profiles=Network IPsec Management
Exemple 5-9  Clonage et suppression de droits sélectionnés d'un profil de droits

Dans cet exemple, l'administrateur sépare la gestion des propriétés du service VSCAN de la capacité à activer et désactiver le service.

Tout d'abord, l'administrateur répertorie le contenu du profil de droits fourni par Oracle Solaris.

# profiles -p "VSCAN Management" info
        name=VSCAN Management
        desc=Manage the VSCAN service
        auths=solaris.smf.manage.vscan,solaris.smf.value.vscan,
              solaris.smf.modify.application
        help=RtVscanMngmnt.html

L'administrateur crée ensuite un profil de droits pour activer et désactiver le service.

# profiles -p "VSCAN Management"
profiles:VSCAN Management> set name="VSCAN Control"
profiles:VSCAN Control> set desc="Start and stop the VSCAN service"
... VSCAN Control> remove auths="solaris.smf.value.vscan"
... VSCAN Control> remove auths="solaris.smf.modify.application"
... VSCAN Control> end
... VSCAN Control> exit

Ensuite, l'administrateur crée un profil de droits pouvant modifier les propriétés du service.

# profiles -p "VSCAN Management"
profiles:VSCAN Management> set name="VSCAN Properties"
profiles:VSCAN Properties> set desc="Modify VSCAN service properties"
... VSCAN Properties> remove auths="solaris.smf.manage.vscan"
... VSCAN Properties> end
... VSCAN Properties> exit

L'administrateur vérifie le contenu des nouveaux profils de droits.

# profiles -p "VSCAN Control" info
        name=VSCAN Control
        desc=Start and stop the VSCAN service
        auths=solaris.smf.manage.vscan
# profiles -p "VSCAN Properties" info
        name=VSCAN Properties
        desc=Modify VSCAN service properties
        auths=solaris.smf.value.vscan,solaris.smf.modify.application

Etapes suivantes

Attribuez le profil de droits à un utilisateur ou à un rôle de confiance. Pour consulter des exemples, reportez-vous à l'Example 3–10 et à l'Example 3–19.

Voir aussi

Pour dépanner les attributions de droits, reportez-vous à la section, Dépannage d'attributions de droits. Pour plus d'informations, reportez-vous à la section Ordre de recherche pour Assigned Rights.

Création d'une autorisation

Avant de commencer

Les développeurs avez défini et utilisé l'autorisation dans les applications que vous êtes en train d'installer. Pour obtenir des instructions, reportez-vous au manuel Developer’s Guide to Oracle Solaris 11 Security et à la section About Authorizations du manuel Developer’s Guide to Oracle Solaris 11 Security .

  1. (Facultatif) Créez le fichier d'aide de la nouvelle autorisation.

    Par exemple, créez le fichier d'aide d'une autorisation pour permettre à l'utilisateur de modifier les données dans une application.

    # pfedit /docs/helps/NewcoSiteAppModData.html
<HTML>
-- Copyright 2013 Newco.  All rights reserved.
-- NewcoSiteAppModData.html 
-->
<HEAD>
     <TITLE>NewCo Modify SiteApp Data Authorization</TITLE>
</HEAD>
<BODY>
The com.newco.siteapp.data.modify authorization authorizes you 
to modify existing data in the application.
<p>
Only authorized accounts are permitted to modify data. 
Use this authorization with care.
<p>
</BODY>
</HTML>
  2. Créer l'autorisation à l'aide de la commande. auths add

    Par exemple, la commande suivante permet de créer l'autorisation com.newco.siteapp.data.modify sur le système local.

    # auths add -t "SiteApp Data Modify Authorized" \
-h /docs/helps/NewcoSiteAppModData.html com.newco.siteapp.data.modify

    Vous pouvez ensuite tester l'autorisation, puis l'ajouter à un profil de droits et attribuer ce dernier à un rôle ou un utilisateur.

Exemple 5-10  Le test d'un nouveau d'autorisation

Dans cet exemple, l'administrateur teste l'autorisation com.newco.siteapp.data.modify avec le profil de droits SiteApp de l'Example 5–7.

# usermod -A com.newco.siteapp.data.modify -P SiteApp tester1

Lorsque le test réussit, l'administrateur supprime l'autorisation.

# rolemod -A-=com.newco.siteapp.data.modify siteapptester

Pour une gestion plus facile, l'administrateur ajoute l'autorisation à l'dans l'exemple 5 SiteApp -11 profil de droits. Example 5–11

Exemple 5-11  Ajout d'autorisations à un profil de droits

Après avoir testé le bon fonctionnement de l'autorisation, l'administrateur de sécurité ajoute l'autorisation com.newco.siteapp.data.modify à un profil de droits existant. L'Example 5–7 illustre la manière dont l'administrateur a créé le profil.

# profiles -p "SiteApp"
profiles:SiteApp> add auths="com.newco.siteapp.data.modify"
profiles:SiteApp> end
profiles:SiteApp> exit

Pour le vérifier, l'administrateur répertorie le contenu du profil.

# profiles -p SiteApp
Found profile in files repository.
  id=/opt/site-app/bin/site-cmd
  auths=com.newco.siteapp.data.modify

Etapes suivantes

Attribuez le profil de droits à un utilisateur ou à un rôle de confiance. Pour consulter des exemples, reportez-vous à l'Example 3–10 et à l'Example 3–19.

Voir aussi

Pour dépanner les attributions de droits, reportez-vous à la section, Dépannage d'attributions de droits. Pour plus d'informations, reportez-vous à la section Ordre de recherche pour Assigned Rights.

Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant