| Guide d'administration de Solaris Security Toolkit 4.2 |     |
| Guide d'administration de Solaris Security Toolkit 4.2 | |
| C H A P I T R E 5 |
|
Configuration et gestion de serveurs JumpStart |
Ce chapitre décrit la configuration et la gestion de serveurs JumpStart en vue de l'utilisation du logiciel Solaris Security Toolkit. La technologie JumpStart, qui est un mécanisme d'installation du SE Solaris basé sur un réseau Sun, peut exécuter le logiciel Solaris Security Toolkit au cours du processus d'installation.
Le mode JumpStart de Solaris Security Toolkit se base sur la technologie JumpStart, disponible pour le produit SE Solaris à partir de la version 2.1. La technologie JumpStart facilite la gestion de la complexité en automatisant complètement l'installation du SE Solaris et du logiciel système, ce qui évite les erreurs et permet la normalisation des systèmes. Il s'agit d'une solution permettant de satisfaire les conditions d'une installation et d'un déploiement rapides des systèmes.
Les avantages de la technologie JumpStart sont évidents lors de la sécurisation de systèmes. En utilisant la technologie JumpStart avec le logiciel Solaris Security Toolkit, vous pouvez sécuriser des systèmes pendant les installations automatisées du SE Solaris. Cette solution permet de garantir que la sécurité système est abordée et normalisée au moment de l'installation du système. Pour obtenir JumpStart Enterprise Toolkit (JET), qui facilite les installations basées sur JumpStart et inclut des modules prenant en charge la sécurisation au moyen du logiciel Solaris Security Toolkit, consultez le site de téléchargement de Sun à l'adresse suivante :
Pour de plus amples informations sur la technologie JumpStart, reportez-vous à l'ouvrage Sun BluePrints JumpStart Technology: Effective Use in the Solaris Operating Environment.
Ce chapitre contient les sections suivantes :
Pour une utilisation dans un environnement JumpStart, installez la source Solaris Security Toolkit située dans /opt/SUNWjass (pour les téléchargements pkg) dans le répertoire de base du serveur JumpStart. Le répertoire par défaut sur un serveur JumpStart est /jumpstart. Une fois cette tâche terminée, JASS_HOME_DIR devient le répertoire de base du serveur JumpStart.
Cette section suppose que le lecteur maîtrise la technologie JumpStart et qu'il a un environnement JumpStart à disposition.
Seules quelques opérations sont nécessaires pour intégrer le logiciel Solaris Security Toolkit dans une architecture JumpStart.
|
1. Installez la source Solaris Security Toolkit dans le répertoire racine du serveur JumpStart.
Le logiciel Solaris Security Toolkit peut être installé dans JASS_REPOSITORY, soit /jumpstart dans le cas présent, comme l'indique l'exemple suivant :
En général, le logiciel Solaris Security Toolkit est installé dans le répertoire SI_CONFIG_DIR du serveur JumpStart, qui devrait également être JASS_HOME_DIR.
2. Si vous devez modifier le fichier sysidcfg du SE Solaris 2.5.1, apportez ces modifications au fichier contenu dans le répertoire JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1.
Si vous utilisez le SE Solaris 2.5.1, le fichier sysidcfg dans JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1 ne peut pas être utilisé directement parce que cette version de Solaris ne prend en charge que les fichiers sysidcfg contenus dans SI_CONFIG_DIR et non dans des sous-directoires distincts. Pour résoudre cette restriction sous le SE Solaris 2.5.1, le logiciel Solaris Security Toolkit possède un répertoire SI_CONFIG_DIR/sysidcfg qui est relié au fichier JASS_HOME_DIR/Sysidcfg/Solaris_2.5.1/sysidcfg.
3. Copiez JASS_HOME_DIR/Drivers/user.init.SAMPLE dans JASS_HOME_DIR/Drivers/user.init à l'aide de la commande suivante :
4. Si vous souhaitez installer le package Solaris Security Toolkit sur le système cible pendant une installation JumpStart, vous devez placer ce package dans le répertoire JASS_PACKAGE_MOUNT défini dans le fichier user.init. Par exemple :
5. Si vous rencontrez des problèmes avec un serveur JumpStart à multiconnexion, modifiez les deux entrées de JASS_PACKAGE_MOUNT et JASS_PATCH_MOUNT pour corriger le chemin d'accès aux répertoires JASS_HOME_DIR/Patches et JASS_HOME_DIR/Packages.
6. Si vous voulez installer le logiciel Solaris Security Toolkit dans un sous-répertoire de SI_CONFIG_DIR, tel que SI_CONFIG_DIR/path/to/JASS, ajoutez ce qui suit au fichier user.init :
if [ -z "${JASS_HOME_DIR}" ]; then if [ "${JASS_STANDALONE}" = 0 ]; then JASS_HOME_DIR="${SI_CONFIG_DIR}/path/to/JASS" fi fi export JASS_HOME_DIR |
7. Sélectionnez ou créez un pilote Solaris Security Toolkit (par exemple, le pilote par défaut secure.driver).
8. Une fois le pilote terminé, apportez la modification correcte au fichier rules.
L'entrée ajoutée au fichier doit être similaire à la suivante :
Une autre modification peut être nécessaire pour que le logiciel Solaris Security Toolkit soit correctement intégré dans l'environnement JumpStart existant.
9. Si vous utilisez les fichiers sysidcfg inclus avec le logiciel Solaris Security Toolkit pour automatiser l'installation du client JumpStart, vérifiez d'abord l'applicabilité de ces fichiers.
Si le serveur JumpStart rencontre une erreur lors de l'analyse syntaxique du fichier sysidcfg, le contenu du fichier est ignoré dans sa totalité.
Après avoir terminé toutes les étapes de configuration décrites dans cette section, vous êtes en mesure d'utiliser la technologie JumpStart pour installer le SE Solaris sur le client, et sécuriser ou minimiser le système d'exploitation pendant le processus d'installation.
Les modèles de profils JumpStart sont des fichiers exclusivement utilisés avec le mode JumpStart. Le contenu obligatoire et facultatif des profils est décrit dans l'ouvrage Sun BluePrints JumpStart Technology: Effective Use in the Solaris Operating Environment.
Utilisez les modèles de profils JumpStart comme échantillons pour vos propres modifications sur site. Vérifiez les profils afin de déterminer, le cas échéant, les modifications nécessaires pour une utilisation dans votre environnement.
Effectuez des copies des profils, puis modifiez les copies pour votre site. Ne modifiez pas les originaux, parce que vos personnalisations pourraient être écrasées par les mises à jour du logiciel Solaris Security Toolkit.
Les profils JumpStart suivants sont inclus avec le logiciel Solaris Security Toolkit :
Ces profils sont décrits ci-après.
Ce profil JumpStart installe le plus petit cluster du SE Solaris, à savoir SUNWCreq. Il spécifie que le partitionnement du disque comprend des partitions racine et swap, sans apporter aucune autre modification à la configuration.
Ce profil JumpStart installe le cluster d'utilisateur final du SE Solaris, SUNWCuser, et les deux packages de SE Solaris requis pour que la comptabilisation de processus fonctionne correctement. De plus, le partitionnement du disque a été défini de manière à inclure uniquement les partitions racine et swap.
Ce profil JumpStart installe le cluster de développeur du SE Solaris, SUNWCprog, et les deux packages de SE Solaris requis pour que la comptabilisation de processus fonctionne correctement. Comme dans la définition de core.profile, les seules définitions supplémentaires apportées à la configuration, outre le cluster du SE Solaris, concernent le partitionnement du disque afin d'inclure les partitions racine et swap.
Ce profil JumpStart installe le cluster de distribution complète du SE Solaris, SUNWCall. Comme pour les autres profils, le partitionnement du disque est défini de manière à inclure les partitions racine et swap.
Ce profil JumpStart installe le cluster OEM du SE Solaris, SUNWCXall. Ce cluster est un surensemble du cluster de distribution complète ; il installe le logiciel OEM fourni.
|
Remarque - Utilisez ces profils uniquement sur des systèmes exécutant les SE Solaris 8 ou 9. |
Tous les profils suivants sont basés sur l'article Sun BluePrints en ligne Minimizing Domains for Sun Fire V1280, 12K, and 15K Systems. Les profils JumpStart suivants sont identiques à ceux mentionnés dans l'article :
Les scripts add-client et rm-client sont utilisés pour configurer un serveur afin que ce dernier puisse exécuter le logiciel JumpStart et effectuer l'installation d'un client à partir du réseau. Les scripts se trouvent dans le répertoire JASS_HOME_DIR/bin. Le mode JumpStart est contrôlé par le pilote de Solaris Security Toolkit, inséré dans le fichier rules sur le serveur JumpStart.
Si vous n'avez pas configuré votre environnement de sorte qu'il utilise le mode JumpStart, reportez-vous à la section Configuration de serveurs et d'environnements JumpStart.
Dans le cas de systèmes SPARC, la commande add-client installe le client JumpStart et les informations de configuration requises par Solaris Security Toolkit. La commande est exécutée à partir du serveur JumpStart.
Dans le cas de systèmes x86/x64, requérant des clients Dynamic Host Configuration Protocol (DHCP), vous devez utiliser le script add_install_client fourni avec le média d'installation Solaris.
Pour simplifier l'ajout de clients à partir des serveurs JumpStart, utilisez cescript qui est inclus avec le logiciel Solaris Security Toolkit. La commande et les options sont décrites dans les paragraphes suivants, mais la technologie JumpStart sous-jacente ne l'est pas. Reportez-vous à l'ouvrage Sun BluePrints JumpStart Technology: Effective Use in the Solaris Operating Environment pour de plus amples informations sur la technologie JumpStart.
Le script add-client est un wrapper autour de la commande add_install_client et accepte les arguments suivants.
Synopsis de la commande add-client :
Le TABLEAU 5-1 décrit l'entrée correcte pour la commande add-client.
Pour ajouter un client JumpStart intitulé fr à l'aide des valeurs par défaut, vous pouvez effectuer les opérations suivantes :
Pour ajouter un client JumpStart intitulé fr à un serveur JumpStart appelé serveurjump1 en utilisant le SE Solaris 9 (12/03) et l'option -s sysidcfg, vous pouvez effectuer les opérations suivantes :
# /opt/SUNWjass/bin/add-client -c fr -i serveurjump1 -m sun4u -o Solaris_9_2003-12 -s Hosts/alpha cleaning up preexisting install client "fr" removing fr from bootparams updating /etc/bootparams |
Pour simplifier la suppression de clients des serveurs JumpStart, utilisez cescript qui est inclus avec le logiciel Solaris Security Toolkit. La commande et les options sont décrites dans les paragraphes suivants, mais la technologie JumpStart sous-jacente ne l'est pas. Reportez-vous à l'ouvrage Sun BluePrints JumpStart Technology: Effective Use in the Solaris Operating Environment pour de plus amples informations sur la technologie JumpStart.
Le script rm-client est un wrapper autour de la commande rm_install_client comme le script add-client :
Exemple d'utilisation : rm-client [-c] client
Où client correspond au nom d'hôte résolvable du client JumpStart.
Le TABLEAU 5-2 décrit l'entrée correcte pour la commande rm-client.
Pour supprimer un client JumpStart intitulé fr, utilisez la commande rm-client suivante :
| Guide d'administration de Solaris Security Toolkit 4.2 | 819-3788-10 | |
Copyright © 2005, Sun Microsystems, Inc. Tous droits réservés.
Pour configurer l'environnement au mode JumpStart
