| Guide d'administration de Solaris Security Toolkit 4.1 |     |
| Guide d'administration de Solaris Security Toolkit 4.1 | |
| C H A P I T R E 5 |
|
Configuration et gestion de serveurs JumpStart |
Ce chapitre explique comment configurer et administrer les serveurs JumpStart pour utiliser le logiciel Solaris Security Toolkit. La technologie JumpStart, qui est un mécanisme d'installation du SE Solaris basé sur un réseau Sun, peut exécuter le logiciel Solaris Security Toolkit au cours du processus d'installation.
Le mode JumpStart de Solaris Security Toolkit se base sur la technologie JumpStart, disponible pour le produit Solaris à partir de la version 2.1. La technologie JumpStart facilite la gestion de la complexité en automatisant complètement l'installation du SE Solaris et du logiciel système, ce qui évite les erreurs et permet la standardisation de systèmes. Il s'agit d'une solution permettant l'installation et le déploiement de systèmes avec rapidité.
Les avantages de la technologie JumpStart sont évidents lors de la sécurisation de systèmes. En utilisant la technologie JumpStart avec le logiciel Solaris Security Toolkit, vous pouvez sécuriser des systèmes pendant les installations automatisées du SE Solaris. Cette solution contribue à assurer la standardisation de la sécurisation des systèmes et son adressage au moment de l'installation du système. Pour de plus amples informations sur la technologie JumpStart, reportez-vous à l'ouvrage Sun BluePrints JumpStart Technology : Effective Use in the Solaris Operating Environment.
Ce chapitre traite des points suivants :
Pour l'utilisation dans un environnement JumpStart, vous devez copier la source Solaris Security Toolkit contenue dans JASS_HOME_DIR (pour les téléchargements tar) ou /opt/SUNWjass (pour les téléchargements pkg) à l'intérieur du répertoire de base du serveur JumpStart. Le répertoire par défaut sur un serveur JumpStart est /jumpstart. Une fois cette tâche terminée, JASS_HOME_DIR devient le répertoire de base du serveur JumpStart.
Cette section suppose que le lecteur maîtrise la technologie JumpStart et qu'il a un environnement JumpStart à disposition.
Seules quelques opérations sont nécessaires pour intégrer le logiciel Solaris Security Toolkit dans une architecture JumpStart.
|
1. Copiez la source Solaris Security Toolkit dans le répertoire racine du serveur JumpStart.
Par exemple, si l'archive de Solaris Security Toolkit a été extraite dans JASS_REPOSITORY et que le répertoire racine du serveur JumpStart est /jumpstart, la commande suivante copie la source Solaris Security Toolkit :
Normalement, le logiciel Solaris Security Toolkit est installé dans le répertoire SI_CONFIG_DIR du serveur JumpStart, qui devrait également être JASS_HOME_DIR.
2. Si vous devez modifier le fichier sysidcfg du système d'exploitation Solaris 2.5.1, apportez ces modifications dans le fichier contenu dans le répertoire JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1.
Si vous utilisez Solaris 2.5.1 OS, le fichier sysidcfg dans JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1 ne peut pas être utilisé directement parce que cette version de Solaris ne prend en charge que les fichiers sysidcfg contenus dans SI_CONFIG_DIR et non dans des sous-répertoires séparés. Pour répondre à cette restriction sur Solaris 2.5.1 OS, le logiciel Solaris Security Toolkit dispose d'un répertoire SI_CONFIG_DIR/sysidcfg, relié au fichier JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1/sysidcfg.
3. Copiez JASS_HOME_DIR/Drivers/user.init.SAMPLE dans JASS_HOME_DIR/Drivers/user.init à l'aide de la commande suivante :
4. Si vous rencontrez des problèmes avec un serveur JumpStart à multiconnexion, modifiez les deux entrées de JASS_PACKAGE_MOUNT et JASS_PATCH_MOUNT pour corriger le chemin d'accès aux répertoires JASS_HOME_DIR/Patches et JASS_HOME_DIR/Packages.
5. Si vous voulez installer le logiciel Solaris Security Toolkit dans un sous-répertoire de SI_CONFIG_DIR, comme SI_CONFIG_DIR/path/to/JASS, ajoutez ce qui suit au fichier user.init :
if [ -z "${JASS_HOME_DIR}" ]; then if [ "${JASS_STANDALONE}" = 0 ]; then JASS_HOME_DIR="${SI_CONFIG_DIR}/path/to/JASS" fi fi export JASS_HOME_DIR |
6. Sélectionnez ou créez un pilote Solaris Security Toolkit (par exemple, le pilote par défaut secure.driver).
7. Après avoir complété le pilote, vous devez modifier le fichier rules.
L'entrée ajoutée au fichier doit être similaire à :
Une autre modification peut être nécessaire pour intégrer correctement le logiciel Solaris Security Toolkit dans l'environnement JumpStart existant.
8. Si vous utilisez les fichiers sysidcfg inclus avec le logiciel Solaris Security Toolkit pour automatiser l'installation du client JumpStart, vérifiez d'abord l'applicabilité de ces fichiers.
Si le serveur JumpStart rencontre une erreur quelconque lors de l'analyse syntaxique du fichier sysidcfg, le contenu du fichier sera ignoré dans sa totalité.
Après avoir terminé toutes les étapes de configuration décrites dans cette section, vous êtes en mesure d'utiliser la technologie JumpStart sur le client et de durcir ou minimiser avec succès le système d'exploitation pendant le processus d'installation.
Les modèles de profils JumpStart sont des fichiers qui sont exclusivement utilisés avec le mode JumpStart. Le contenu des profils obligatoires et optionnels est décrit dans l'ouvrage Sun BluePrints JumpStart Technology: Effective Use in the Solaris Operating Environment.
Utilisez les modèles de profils JumpStart comme échantillons pour vos propres modifications sur site. Vérifiez les profils pour déterminer quelles sont les modifications éventuelles à apporter pour une utilisation dans votre environnement.
Faites des copies des profils, puis modifiez les copies pour votre site. Ne modifiez pas les originaux, parce que vos personnalisations pourraient être écrasées par les mises à jour du logiciel Solaris Security Toolkit.
Les profils JumpStart suivants sont inclus avec le logiciel Solaris Security Toolkit :
Ces profils sont décrits ci-après.
Ce profil JumpStart est relativement générique pour un système minimisé 32 bits. Il représente un point de départ raisonnable pour le développement de systèmes minimisés et a été utilisé comme point de départ pour les scripts de minimisation minimal-Sun_ONE-WS-Solaris* .profile.
Ce profil JumpStart installe le plus petit cluster du SE Solaris, à savoir SUNWCreq. Il se limite à spécifier que le partitionnement du disque comprend des partitions racine et swap, sans apporter aucune autre modification à la configuration.
Ce profil JumpStart installe le cluster d'utilisateur final de Solaris, SUNWCuser, et les deux packages Solaris requis pour que le relevé du processus fonctionne correctement. De plus, le partitionnement du disque a été défini de manière à inclure uniquement les partitions racine et swap.
Ce profil JumpStart installe le cluster de développeur du SE Solaris, SUNWCprog, et les deux packages Solaris requis pour que le relevé du processus fonctionne correctement. Comme dans la définition de core.profile, les seules définitions supplémentaires apportées à la configuration, en plus du cluster du SE Solaris, concernent le partitionnement du disque pour inclure les partitions racine et swap.
Ce profil JumpStart installe le cluster de distribution complète de SE Solaris, à savoir SUNWCall. Comme pour les autres profils, le partitionnement du disque est défini de manière à inclure les partitions racine et swap.
Ce profil JumpStart installe le cluster OEM de SE Solaris, à savoir SUNWCXall. Ce cluster est un jeu complet du cluster de distribution qui installe le logiciel OEM fourni.
Tous les profils suivants se réfèrent à l'article Sun BluePrints OnLine intitulé « Minimizing the Solaris Operating Environment for Security ». Toutes les versions du SE Solaris mentionnées dans cet article ont des profils spécifiques. Les profils mentionnés dans l'article sont les profils JumpStart suivants :
Les profils suivants se réfèrent à l'article Sun BluePrints OnLine intitulé Minimizing Domains for Sun Fire V1280, 12K, and 15K Systems. Les profils mentionnés dans l'article sont les profils JumpStart suivants :
Ce point décrit les scripts pouvant être utilisés en mode JumpStart. Le mode est contrôlé par le pilote de Solaris Security Toolkit inséré dans le fichier rules sur le serveur JumpStart.
Si vous n'avez pas configuré votre environnement de manière à utiliser le mode JumpStart, reportez-vous à la section Configuration de serveurs et d'environnements JumpStart.
Pour simplifier l'ajout de clients depuis des serveurs JumpStart, utilisez ce script qui est inclus avec le logiciel Solaris Security Toolkit. La commande et les options sont décrites dans les paragraphes suivants, mais la technologie JumpStart sous-jacente ne l'est pas. Reportez-vous à l'ouvrage Sun BluePrints JumpStart Technology: Effective Use in the Solaris Operating Environment pour de plus amples informations sur la technologie JumpStart.
Le script add-client est un wrapper autour de la commande add_install_client, qui accepte les arguments suivants.
Le TABLEAU 5-1 décrit l'entrée correcte pour la commande add-client.
Pour ajouter un client JumpStart appelé jordan à un serveur JumpStart intitulé nomex à l'aide de Solaris 8 (4/01) sur une interface appelée nomex-jumpstart, exécutez la commande add-client suivante :
Pour ajouter le même client JumpStart (jordan) en utilisant l'optionsysidcfg, vous devez utiliser la commande suivante :
#./add-client -c jordan -o Solaris_8_2001-04 -m sun4u -i nomex-jumpstart -s Hosts/jordan updating /etc/bootparams |
Pour simplifier la suppression de clients depuis des serveurs JumpStart, utilisez ce script qui est inclus avec le logiciel Solaris Security Toolkit. La commande et les options sont décrites dans les paragraphes suivants, mais la technologie JumpStart sous-jacente ne l'est pas. Reportez-vous à JumpStart Technology: Effective Use in the Solaris Operating Environment pour de plus amples informations sur la technologie JumpStart.
Le script rm-client est un wrapper autour de la commande rm_install_client de manière similaire à add-client:
Exemple d'utilisation : rm-client [-c] client
Où client est le nom d'hôte résolvable du client JumpStart.
Le TABLEAU 5-2 décrit l'entrée correcte pour la commande rm-client.
Pour supprimer un client JumpStart appelé jordan, exécutez la commande rm-client suivante :
| Guide d'administration de Solaris Security Toolkit 4.1 | 817-7652-10 | |
Copyright © 2004, Sun Microsystems, Inc. Tous droits réservés.
Configuration pour le mode JumpStart
