Conseils de sécurité

Cette section contient des conseils de sécurité relatifs à l'accès à Sun Management Center, aux composants serveur et agent et aux clés de sécurité.

Présentation des utilisateurs, des groupes et des rôles

Vous devez avant de configurer les utilisateurs et les groupes d'utilisateurs de Sun Management Center comprendre les types d'opérations de gestion qui sont possibles, de sorte à pouvoir attribuer ces opérations aux catégories d'utilisateurs appropriées. Planifier avec soin les groupes d'utilisateurs et les rôles favorise une gestion adéquate de la configuration, l'intégrité des données et la sécurité des informations de gestion et des ressources système.

Aucun utilisateur ne peut accéder à Sun Management Center sans avoir été au préalable identifié de façon explicite dans le fichier d'accès maître /var/opt/SUNWsymon/cfg/esusers. Pour pouvoir accéder à Sun Management Center, le nom d'utilisateur UNIX de l'utilisateur doit être ajouté à /var/opt/SUNWsymon/cfg/esusers. L'utilisateur peut alors se connecter à Sun Management Center en utilisant son nom d'utilisateur UNIX standard et son mot de passe.

Quand un utilisateur se connecte, Sun Management Center contrôle l'accès et définit les privilèges de cet utilisateur sur la base des rôles fonctionnels suivants :

• Administrateurs de domaines – Ce rôle est celui de plus haut niveau, il permet aux membres de cette catégorie de créer des domaines de niveau supérieur dans un contexte serveur et d'attribuer des privilèges à d'autres utilisateurs de Sun Management Center au sein de ces domaines. L'administrateur de domaines peut créer des configurations personnalisées pour des environnements topologiques spécifiques en créant des domaines spécifiques et en accordant des privilèges d'utilisateur pour ces domaines. Les utilisateurs sont considérés comme des administrateurs de domaines s'ils sont membres du groupe d'utilisateurs UNIX esdomadm.

• Administrateurs – Ce rôle est le rôle d'administration pour toutes les opérations hors du système topologique. Les administrateurs peuvent effectuer des opérations privilégiées telles que le chargement de modules et la configuration d'objets gérés et de propriétés de données. Les administrateurs peuvent également spécifier le contrôle des accès au niveau des agents et des modules. Ce contrôle rend ce rôle instrumental dans l'établissement et la maintenance des stratégies d'octroi de droits. Les utilisateurs sont considérés comme des administrateurs s'ils sont membres du groupe d'utilisateurs UNIX esadm.

• Opérateurs – Ce rôle permet aux utilisateurs du système de configurer leurs propres domaines et conteneurs topologiques. Le rôle d'opérateur permet également aux utilisateurs de configurer les objets gérés en ce qui concerne l'acquisition des données et les alarmes, et d'afficher les informations de gestion. Bien que les opérateurs puissent activer ou désactiver les modules de gestion, ils ne peuvent pas, par défaut, charger ces modules ni modifier les privilèges d'accès. Les opérateurs constituent par conséquent une catégorie d'utilisateurs, qui peut utiliser le produit et en régler le fonctionnement de manière efficace, mais qui ne peut pas effectuer de changements de configuration ou d'architecture plus importants. Les utilisateurs sont considérés comme des opérateurs s'ils sont membres du groupe d'utilisateurs UNIX esops.

• Utilisateurs génériques – Ce rôle est celui des utilisateurs qui ne sont pas explicitement membres de l'un des trois groupes précédents. Les utilisateurs génériques ne reçoivent pas de privilèges étendus et, par défaut, peuvent seulement afficher les informations de gestion et reconnaître les alarmes. Le rôle d'utilisateur générique est parfaitement adapté au premier niveau d'assistance, dont les principaux objectifs sont l'identification des problèmes, la correction et la rectification.

Dans les grandes entreprises, il est probable que les rôles de sécurité de Sun Management Center soient directement reliés à des fonctions d'administration système et d'assistance existantes. Ailleurs, le processus peut être davantage impliqué car la mise en correspondance entre une fonction institutionnelle et un rôle produit est souvent moins nette. Dans certains cas, l'attribution de tous les rôles logiques à un unique utilisateur peut être justifiée.

La spécification des privilèges est flexible et n'a pas à être limitée aux quatre rôles de sécurité de Sun Management Center.

Les privilèges de Sun Management Center peuvent être spécifiés de façon explicite au niveau d'un domaine, d'un conteneur topologique, d'un agent et d'un module. La spécification des privilèges peut référencer tout utilisateur ou groupe UNIX arbitraire, les groupes susmentionnés n'étant employés que par convention. Les groupes de privilèges de Sun Management Center permettent l'utilisation de configurations de comptes existantes lors de l'attribution des rôles fonctionnels. Bien que nommer des utilisateurs de façon explicite lors de l'attribution des privilèges ne soit pas recommandé, l'utilisation des groupes UNIX peut se révéler pratique dans les environnements dans lesquels de tels groupes UNIX sont déjà établis.

Pour plus d'informations sur les rôles de sécurité, les groupes et les utilisateurs, consultez Configuration des utilisateurs et “Sun Management Center et la sécurité” dans Guide de l'utilisateur de Sun Management Center 3.5.

Sécurité interne de Sun Management Center

Cette section décrit le processus de sécurité qui est utilisé entre les composants de Sun Management Center.

Sécurité serveur-vers-agent

La communication entre le serveur de Sun Management Center et ses nuds gérés s'effectue principalement en utilisant la version 2 du protocole SNMP (Simple Network Management Protocol), en employant le modèle de sécurité des utilisateurs (User Security model) SNMP v2usec. Le mécanisme SNMPv2 est parfaitement adapté pour mettre en correspondance les justificatifs d'utilisateur provenant de la couche serveur avec les opérations côté agent. SNMPv2 est le premier mécanisme à garantir que les stratégies de contrôle d'accès ne puissent pas être court-circuitées.

Sun Management Center prend également en charge SNMP v1 et v2 avec la sécurité basée sur les communautés. Bien que n'étant pas aussi sûre sur le plan de la sécurité, la prise en charge de SNMP v1 et v2 est importante pour l'intégration avec d'autres périphériques et d'autres plates-formes de gestion. Dans les environnements où l'utilisation de ces mécanismes n'est pas souhaitable, le mécanisme de spécification du contrôle des accès peut être utilisé pour restreindre ou interdire l'accès aux processus utilisant les protocoles SNMP v1 et v2.

Pour les opérations personnalisées où la continuité du flux de données est capitale, un mécanisme de sondage (ou essai) est également employé. Ce mécanisme est lancé par les opérations SNMP. Lorsqu'elles sont lancées, les opérations de sondage utilisent une connexion TCP continue pour mettre en uvre des services bidirectionnels, potentiellement interactifs, sur le nud géré, par exemple l'affichage de journaux. Etant donné que le mécanisme de sondage utilise la communication SNMP, aucun chiffrement des paquets transportés n'est effectué.

Sécurité entre contextes serveur

Quand Sun Management Center communique avec des nuds gérés se trouvant hors du contexte serveur local, le modèle de sécurité assure que les opérations sont effectuées sous le nom d'utilisateur générique SNMPv2 usec espublic. L'utilisation de espublic restreint considérablement les privilèges et limite les utilisateurs à la prise de connaissance des données de gestion.

Sécurité client-vers-serveur

La communication entre la couche serveur de Sun Management Center et les clients, par exemple des consoles ou des interfaces de ligne de commande, s'effectue en utilisant la méthode Remote Method Invocation (RMI) de la technologie Java conjointement avec un modèle de sécurité complet spécifique du produit. Ce modèle de sécurité permet aux clients de fonctionner au choix en mode basse, moyenne ou haute sécurité, ce qui influe sur le niveau de l'authentification des messages effectuée :

• Minimum : Pas d'authentification des messages. Seul le mot de passe de l'utilisateur est contrôlé au moment de la connexion.

• Moyenne (solution par défaut) : Authentification console-vers-serveur seulement, par exemple, authentification par le serveur des messages entrants en provenance de la console.

• Maximum: La console et le serveur authentifient tous les deux les messages.

Compte tenu de l'impact potentiel des niveaux de sécurité plus élevés sur la performance, vous devez évaluer avec soin vos besoins en matière d'authentification des messages.

Clés de sécurité et chaîne de communauté SNMP

Quand vous installez et configurez l'agent de Sun Management Center sur une machine séparée, vous êtes invité à donner un mot de passe qui sera utilisé pour générer la clé de sécurité pour cet agent. Ce mot de passe doit être le même que celui que vous avez spécifié pendant la configuration du serveur de Sun Management Center. Le serveur et l'agent de Sun Management Center ne pourront en effet pas communiquer si leurs clés de sécurité diffèrent. Pour savoir comment régénérer les clés de sécurité, consultez Régénération des clés de sécurité.

Pendant la configuration, vous êtes également invité à soit accepter la chaîne de communauté SNMP par défaut (public) soit en spécifier une privée. La chaîne de communauté SNMP est en fait un mot de passe lié à un compte interne doté de privilèges. En tant que telle, cette chaîne peut potentiellement être utilisée pour imiter la couche serveur si elle est utilisée avec des outils SNMPv2 usec génériques. N'utilisez par conséquent pas la chaîne de communauté par défaut. Spécifiez une chaîne de communauté privée et différente pour chaque contexte serveur.

Traitez le mot de passe de sécurité et la chaîne de communauté SNMP en leur donnant la même importance qu'au mot de passe de super-utilisateur.