Configuration d'un rôle pour la sécurité réseau

Si vous administrez vos systèmes selon le modèle RBAC (Role-Based Access Control, contrôle d'accès à base de rôles), suivez cette procédure pour générer un rôle de gestion ou de sécurité du réseau.

1. Recherchez les profils de droit réseau dans la base de données prof_attr.

   Dans la version actuelle, le résultat est semblable à ce qui suit :

   % cd /etc/security % grep Network prof_attr Network IPsec Management:::Manage IPsec and IKE... Network Link Security:::Manage network link security... Network Management:::Manage the host and network configuration... Network Security:::Manage network and host security... Network Wifi Management:::Manage wifi network configuration... Network Wifi Security:::Manage wifi network security...

   Si vous exécutez une version antérieure à la version Solaris 10 4/09, la sortie est semblable à ce qui suit :

   % cd /etc/security % grep Network prof_attr Network Management:::Manage the host and network configuration   Network Security:::Manage network and host security   System Administrator::: Network Management

   Le profil de gestion du réseau est un profil supplémentaire inclus dans le profil d'administrateur système. Si vous avez attribué le profil de droits d'administrateur système à un rôle, alors ce dernier permet d'exécuter les commandes définies dans le profil de gestion du réseau.

2. Déterminez les commandes incluses dans le profil de droits de gestion du réseau.

   % grep "Network Management" /etc/security/exec_attr Network Management:solaris:cmd:::/usr/sbin/ifconfig:privs=sys_net_config … Network Management:suser:cmd:::/usr/sbin/snoop:uid=0

   Les commandes de stratégie solaris s'exécutent avec un privilège ( privs=sys_net_config). Les commandes de stratégie suser s'exécutent en tant que superutilisateur (uid=0).

3. Choisissez l'étendue des rôles de sécurité réseau sur votre site.

   Basez votre choix sur les profils de droits définis lors de l'Étape 1.

   • Pour créer un rôle qui gère l'ensemble de la sécurité du réseau, utilisez le profil de droits Network Security.

   • Dans la version actuelle, pour créer un rôle qui gère IPsec et IKE uniquement, utilisez le profil de droits Network IPsec Management.

4. Créez un rôle de sécurité réseau incluant le profil de droits Network Management.

   Un rôle auquel est appliqué le profil de droits Network Security ou Network IPsec Management, en plus du profil Network Management, peut exécuter les commandes ifconfig, snoop, ipsecconf et ipseckey, entre autres, avec les privilèges appropriés.

   Pour créer un rôle et l'attribuer à un utilisateur, ainsi que pour enregistrer les modifications avec le service de noms, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services .

Exemple 20–5 Répartition des responsabilités de sécurité réseau entre les rôles

Dans cet exemple, l'administrateur répartit les responsabilités de sécurité réseau entre deux rôles. Un rôle peut administrer la sécurité des connexions Wi-Fi et des liens et un autre rôle administrer IPsec et IKE. Chaque rôle est assigné à trois personnes, une personne par période de travail.

Ces rôles sont créés par l'administrateur comme suit :

• L'administrateur nomme le premier rôle LinkWifi.

  • L'administrateur attribue au rôle les profils de droits Network Wifi, Network Link Security et Network Management.

  • Ensuite, l'administrateur attribue le rôle LinkWifi aux utilisateurs appropriés.

• L'administrateur nomme le deuxième rôle Administrateur IPsec.

  • L'administrateur attribue au rôle les profils de droits Network IPsec Management et Network Management.

  • Ensuite, l'administrateur attribue le rôle d'administrateur IPsec aux utilisateurs appropriés.