| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
1. Concepts d'administration de Trusted Extensions
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
8. Administration à distance dans Trusted Extensions (tâches)
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
Partage et montage de fichiers dans Trusted Extensions
Montages NFS dans Trusted Extensions
Partage de fichiers à partir d'une zone étiquetée
Accès aux répertoires montés via NFS dans Trusted Extensions
Création de répertoires personnels dans Trusted Extensions
Modifications apportées à l'automonteur dans Trusted Extensions
Logiciel Trusted Extensions et versions du protocole NFS
Sauvegarde, partage et montage de fichiers étiquetés (liste des tâches)
Procédure de sauvegarde de fichiers dans Trusted Extensions
Procédure de restauration de fichiers dans Trusted Extensions
Procédure de partage de répertoires à partir d'une zone étiquetée
Procédure de montage NFS de fichiers dans une zone étiquetée
Dépannage des échecs de montage dans Trusted Extensions
12. Gestion de réseaux de confiance (présentation)
13. Gestion des réseaux dans Trusted Extensions (tâches)
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
16. Périphériques dans Trusted Extensions (présentation)
17. Gestion des périphériques pour Trusted Extensions (tâches)
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
Par défaut, les systèmes de fichiers montés via NFS sont visibles sous l'étiquette du système de fichiers exporté. Si le système de fichiers est exporté avec des autorisations en lecture/écriture, les utilisateurs travaillant sous cette étiquette peuvent accéder en écriture aux fichiers. Les montages NFS possédant une étiquette inférieure à celle de la session actuelle de l'utilisateur peuvent être visualisés par l'utilisateur, mais celui-ci ne peut pas y accéder en écriture. Même si un système de fichiers est partagé avec des autorisations en lecture/écriture, le système de montage peut uniquement y accéder en écriture sous l'étiquette du montage.
Pour rendre des répertoires de niveau inférieur montés via NFS visibles pour les utilisateurs se trouvant dans une zone de niveau supérieur, l'administrateur de la zone globale sur le serveur NFS doit exporter le répertoire parent. Le répertoire parent est exporté sous son étiquette. Du côté client, chaque zone doit posséder le privilège net_mac_aware. Par défaut, les zones étiquetées incluent le privilège net_mac_aware dans leur ensemble limitpriv.
Configuration de serveur : sur le serveur NFS, vous exportez le répertoire parent dans un fichier dfstab. Si le répertoire parent se trouve dans une zone étiquetée, le fichier dfstab doit être modifié dans la zone étiquetée du répertoire parent. Le fichier dfstab d'une zone étiquetée n'est visible qu'à partir de la zone globale. Pour plus d'informations sur cette procédure, reportez-vous à la section Procédure de partage de répertoires à partir d'une zone étiquetée.
Configuration client : le privilège net_mac_aware doit être spécifié dans le fichier de configuration de zone utilisé lors de la configuration initiale de la zone. Ainsi, un utilisateur autorisé à visualiser tous les répertoires personnels de niveau inférieur doit disposer du privilège net_mac_aware dans chaque zone, à l'exception de la zone la plus basse. Pour voir un exemple, reportez-vous à la section Procédure de montage NFS de fichiers dans une zone étiquetée.
Exemple 11-1 Fourniture d'accès à des répertoires personnels de niveau inférieur
Sur le serveur d'annuaire personnel, l'administrateur crée et modifie le fichier /zone/labeled-zone/etc/dfs/dfstab dans chaque zone étiquetée. Le fichier dfstab exporte le répertoire /export/home avec des autorisations en lecture/écriture. Par conséquent, lorsque le répertoire est monté à la même étiquette, le répertoire personnel est accessible en écriture. Pour exporter le répertoire /export/home de PUBLIC, l'administrateur crée un espace de travail sous l'étiquette PUBLIC sur le serveur d'annuaire personnel et, à partir de la zone globale, il modifie le fichier /zone/public/etc/dfs/dfstab.
Sur le client, l'administrateur de la zone globale vérifie que chaque zone étiquetée, à l'exception de l'étiquette la plus basse, dispose du privilège net_mac_aware. Ce privilège permet le montage. Ce privilège peut être spécifié à l'aide de la commande zonecfg au cours de la configuration de la zone. Le répertoire personnel de niveau inférieur peut uniquement être visualisé. MAC protège les fichiers du répertoire contre toute tentative de modification.
Les répertoires personnels constituent un cas particulier dans Trusted Extensions. Vous devez vous assurer que les répertoires personnels sont créés dans chaque zone pouvant être utilisée par un utilisateur. En outre, les points de montage du répertoire personnel doivent être créés dans les zones du système de l'utilisateur. Pour que les répertoires personnels montés via NFS fonctionnent correctement, l'emplacement habituel des répertoires, /export/Home, doit être utilisé. Dans Trusted Extensions, l'automonteur a été modifié afin de gérer les répertoires personnels dans chaque zone, c'est-à-dire sous chaque étiquette. Pour plus d'informations, reportez-vous à la section Modifications apportées à l'automonteur dans Trusted Extensions.
Les répertoires personnels sont créés au moment de la création des utilisateurs. Dans Trusted Extensions, les utilisateurs sont créés à l'aide de Console de gestion Solaris (console) ; c'est donc elle qui crée les répertoires personnels. Toutefois, la console crée les répertoires personnels dans la zone globale du serveur d'annuaire personnel. Sur ce serveur, les répertoires sont montés par LOFS. Les répertoires personnels sont automatiquement créés par l'automonteur s'ils sont définis comme montages LOFS.
Remarque - Lorsque vous supprimez un utilisateur à l'aide de la console, seul le répertoire personnel de l'utilisateur dans la zone globale est supprimé. Les répertoires personnels de l'utilisateur dans les zones étiquetées ne sont pas supprimés. Vous êtes responsable de l'archivage et de la suppression des répertoires personnels dans les zones étiquetées. Pour connaître la procédure, reportez-vous à la section Procédure de suppression d'un compte utilisateur d'un système Trusted Extensions.
Cependant, l'automonteur ne peut pas créer de manière automatique des répertoires personnels sur des serveurs NFS distants. L'utilisateur doit d'abord se connecter au serveur NFS ou l'intervention d'un l'administrateur est requise. Pour créer des répertoires personnels pour les utilisateurs, reportez-vous à la section Activation de l’accès des utilisateurs à leurs répertoires personnels dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions.
Dans Trusted Extensions, chaque étiquette requiert un montage de répertoire personnel distinct. La commande automount a été modifiée pour gérer ces montages automatiques étiquetés. Pour chaque zone, l'automonteur autofs monte un fichier auto_home_ zone-name. Par exemple, l'entrée suivante est l'entrée de la zone globale dans le fichier auto_home_global :
+auto_home_global * -fstype=lofs :/export/home/&
Lorsqu'une zone qui autorise le montage des zones de niveau inférieur est démarrée, les opérations suivantes se produisent. Les répertoires personnels des zones de niveau inférieur sont montés en lecture seule sous /zone/<zone-name>/export/home . La carte auto_home_<zone-name> spécifie le chemin /zone comme répertoire source pour un remontage lofs sur /zone/< zone-name>/home/<username>.
Par exemple, l'entrée suivante est une entrée auto_home_public dans une carte auto_home_zone-at-higher-label qui est générée à partir d'une zone de niveau supérieur :
+auto_home_public * -fstype=lofs :/zone/public/export/home/&
L'entrée suivante est l'entrée correspondante dans la zone publique :
auto_home_public * -fstype=lofs :/export/home/&
Lorsqu'un répertoire personnel est référencé et que le nom ne correspond à aucune entrée de la carte auto_home_<zone-name>, cette dernière tente de trouver une correspondance pour cette spécification de montage en loopback. Le logiciel crée le répertoire personnel lorsque les deux conditions suivantes sont réunies :
La carte trouve la correspondance de la spécification de montage en loopback
Le nom du répertoire personnel correspond à un utilisateur correct dont le répertoire personnel n'existe pas encore dans zone-name
Pour plus d'informations sur les modifications apportées à l'automonteur, reportez-vous à la page de manuel automount(1M).
|