Ignorer les liens de navigation | |
Quitter l'aperu | |
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
1. Concepts d'administration de Trusted Extensions
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
8. Administration à distance dans Trusted Extensions (tâches)
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
Partage et montage de fichiers dans Trusted Extensions
Montages NFS dans Trusted Extensions
Partage de fichiers à partir d'une zone étiquetée
Accès aux répertoires montés via NFS dans Trusted Extensions
Création de répertoires personnels dans Trusted Extensions
Modifications apportées à l'automonteur dans Trusted Extensions
Logiciel Trusted Extensions et versions du protocole NFS
Sauvegarde, partage et montage de fichiers étiquetés (liste des tâches)
Procédure de sauvegarde de fichiers dans Trusted Extensions
Procédure de restauration de fichiers dans Trusted Extensions
Procédure de partage de répertoires à partir d'une zone étiquetée
Procédure de montage NFS de fichiers dans une zone étiquetée
12. Gestion de réseaux de confiance (présentation)
13. Gestion des réseaux dans Trusted Extensions (tâches)
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
16. Périphériques dans Trusted Extensions (présentation)
17. Gestion des périphériques pour Trusted Extensions (tâches)
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
La liste des tâches ci-dessous décrit des tâches courantes permettant d'effectuer la sauvegarde et la restauration de données de systèmes de fichiers étiquetés, ainsi que le partage et le montage de répertoires et de fichiers étiquetés.
|
Ce rôle inclut le profil de droits Media Backup (Sauvegarde de supports).
/usr/lib/fs/ufs/ufsdump pour les sauvegardes importantes
/usr/sbin/tar cT pour les petites sauvegardes
Un script appelant l'une ou l'autre de ces commandes
Par exemple, l'application de sauvegarde Budtool appelle la commande ufsdump. Reportez-vous à la page de manuel ufsdump(1M). Pour plus d'informations sur l'option T de la commande tar, reportez-vous à la page de manuel tar(1).
/usr/lib/fs/ufs/ufsrestore pour les restaurations importantes
/usr/sbin/tar xT pour les petites restaurations
Un script appelant l'une ou l'autre de ces commandes
Pour plus d'informations sur l'option T de la commande tar, reportez-vous à la page de manuel tar(1).
Attention - Seules ces commandes préservent les étiquettes. |
Comme dans le SE Oracle Solaris, l'outil Mounts and Shares (Montages et partages) dans la Console de gestion Solaris est utilisé pour le partage et le montage de fichiers à partir de la zone globale. L'outil ne peut pas être utilisé pour monter ou partager des répertoires qui proviennent de zones étiquetées. Créez un fichier dfstab sous l'étiquette de la zone, puis redémarrez la zone pour partager les répertoires étiquetés.
Attention - N'utilisez pas de noms propriétaires pour les systèmes de fichiers partagés. Les noms des systèmes de fichiers partagés sont visibles pour tous les utilisateurs. |
Avant de commencer
Vous devez être le superutilisateur ou être dans le rôle d'administrateur système dans la zone globale sur le serveur de fichiers.
Pour plus d'informations, reportez-vous à la section Procédure d’ajout d’un espace de travail possédant une étiquette particulière du Guide de l’utilisateur Oracle Solaris Trusted Extensions.
Pour chaque zone qui partage un répertoire, répétez les étapes suivantes :
# mkdir -p /zone/zone-name/etc/dfs
Pour plus d'informations, reportez-vous à la section Modification des fichiers d'administration dans Trusted Extensions.
# /zone/zone-name/etc/dfs/dfstab
L'entrée décrit le répertoire du point de vue du chemin racine de la zone. Par exemple, l'entrée suivante partage les fichiers d'une application sous l'étiquette de la zone qui les contient :
share -F nfs -o ro /viewdir/viewfiles
Dans la zone globale, exécutez l'une des commandes suivantes pour chaque zone. Chaque zone peut partager ses répertoires de n'importe laquelle des manières décrites. Le partage devient effectif lorsque chaque zone passe à l'état ready (prêt) ou running (en cours d'exécution).
# zoneadm -z zone-name ready
# zoneadm -z zone-name boot
# zoneadm -z zone-name reboot
# showmount -e
Exemple 11-2 Partage du répertoire /export/share sous l'étiquette PUBLIC
Pour les applications qui s'exécutent sous l'étiquette PUBLIC, l'administrateur système autorise les utilisateurs à lire la documentation se trouvant dans le répertoire /export/share de la zone public. La zone nommée public s'exécute sous l'étiquette PUBLIC.
Tout d'abord, l'administrateur crée un espace de travail public et modifie le fichier dfstab.
# mkdir -p /zone/public/etc/dfs # /usr/dt/bin/trusted_edit /zone/public/etc/dfs/dfstab
Dans le fichier, l'administrateur ajoute l'entrée suivante :
## Sharing PUBLIC user manuals share -F nfs -o ro /export/appdocs
L'administrateur quitte l'espace de travail public et retourne dans l'espace de travail Trusted Path (Chemin de confiance). Les utilisateurs n'étant pas autorisés à se connecter à ce système, l'administrateur partage les fichiers en plaçant la zone dans l'état ready :
# zoneadm -z public ready
Les utilisateurs peuvent accéder aux répertoires partagés une fois que ces derniers sont montés sur les systèmes des utilisateurs.
Dans Trusted Extensions, une zone étiquetée gère le montage de fichiers dans sa zone.
Les fichiers d'hôtes étiquetés et d'hôtes sans étiquette peuvent être montés sur un hôte étiqueté Trusted Extensions.
Pour monter les fichiers en lecture/écriture à partir d'un hôte à étiquette unique, l'étiquette assignée à l'hôte distant doit être identique à celle de la zone dans laquelle le fichier est monté.
Les fichiers qui sont montés par une zone de niveau supérieur sont en lecture seule.
Dans Trusted Extensions, le fichier de configuration auto_home est personnalisé pour chaque zone. Le nom de la zone est repris dans le nom du fichier. Par exemple, un système comportant une zone globale et une zone publique dispose de deux fichiers auto_home, auto_home_global et auto_home_public.
Trusted Extensions utilise les mêmes interfaces de montage que le SE Oracle Solaris :
Pour monter des fichiers lors du démarrage, utilisez le fichier /etc/vfstab dans la zone étiquetée.
Pour monter des fichiers dynamiquement, utilisez la commande mount dans la zone étiquetée.
Pour monter automatiquement des répertoires personnels, utilisez les fichiers auto_home_zone-name.
Pour monter automatiquement d'autres répertoires, utilisez les cartes de montage automatique standard. Si les cartes de montage automatique sont dans le protocole LDAP, utilisez les commandes LDAP pour les gérer.
Avant de commencer
Vous devez être sur le système client, dans la zone possédant l'étiquette des fichiers que vous souhaitez monter. Si vous n'utilisez pas l'automonteur, vous devez être connecté en tant que superutilisateur ou être dans le rôle d'administrateur système. Pour effectuer des montages à partir de serveurs de niveau inférieur, la zone doit être configurée avec le privilège net_mac_aware.
La plupart des procédures impliquent la création d'un espace de travail à une étiquette particulière. Pour créer un espace de travail, reportez-vous à la section Procédure d’ajout d’un espace de travail possédant une étiquette particulière du Guide de l’utilisateur Oracle Solaris Trusted Extensions.
Dans la zone étiquetée, utilisez la commande mount. Pour voir un exemple de montage dynamique de fichiers, reportez-vous à l'Exemple 11-3.
Dans la zone étiquetée, ajoutez les montages au fichier vfstab.
Pour voir des exemples de montages de fichiers lors du démarrage d'une zone étiquetée, reportez-vous à l'Exemple 11-4 et à l'Exemple 11-5.
Pour voir un exemple, reportez-vous à l'Exemple 11-6.
Pour voir un exemple, reportez-vous à l'Exemple 11-7.
Exemple 11-3 Montage de fichiers dans une zone étiquetée en utilisant la commande mount
Dans cet exemple, l'administrateur système monte un système de fichiers distant à partir d'une zone publique. La zone publique se trouve sur un serveur multiniveau.
Après avoir assumé le rôle d'administrateur système, l'administrateur crée un espace de travail sous l'étiquette PUBLIC. Dans cet espace de travail, l'administrateur exécute la commande mount.
# zonename public # mount -F nfs remote-sys:/zone/public/root/opt/docs /opt/docs
Un serveur de fichiers à étiquette unique possédant l'étiquette PUBLIC contient également des documents à monter :
# mount -F nfs public-sys:/publicdocs /opt/publicdocs
Lorsque la zone publique du serveur de fichiers remote-sys est dans l'état ready (prêt) ou running (en cours d'exécution), les fichiers remote-sys sont montés avec succès sur ce système. Lorsque le serveur de fichiers public-sys est en cours d'exécution, les fichiers sont montés avec succès.
Exemple 11-4 Montage de fichiers en lecture/écriture dans une zone étiquetée en modifiant le fichier vfstab
Dans cet exemple, l'administrateur système monte deux systèmes de fichiers distants sous l'étiquette PUBLIC dans la zone publique du système local lorsque la zone publique démarre. Un montage de système de fichiers provient d'un système multiniveau, et l'autre provient d'un système à étiquette unique.
Après avoir assumé le rôle d'administrateur système, l'administrateur crée un espace de travail sous l'étiquette PUBLIC. Dans cet espace de travail, l'administrateur modifie le fichier vfstab de cette zone.
## Writable books directories at PUBLIC remote-sys:/zone/public/root/opt/docs - /opt/docs nfs no yes rw public-sys:/publicdocs - /opt/publicdocs nfs no yes rw
Pour accéder aux fichiers de la zone étiquetée distante du système multiniveau, l'entrée vfstab utilise le chemin racine de la zone publique du système distant, /zone/public/root, comme chemin d'accès des répertoires à monter. Le chemin d'accès au système à étiquette unique est identique au chemin d'accès qui serait utilisé sur un système Oracle Solaris.
Dans une fenêtre de terminal sous l'étiquette PUBLIC, l'administrateur monte les fichiers.
# mountall
Exemple 11-5 Montage de fichiers de niveau inférieur dans une zone étiquetée en modifiant le fichier vfstab
Dans cet exemple, l'administrateur système monte un système de fichiers distant à partir d'une zone publique dans la zone internal du système local. Après avoir assumé le rôle d'administrateur système, l'administrateur crée un espace de travail sous l'étiquette INTERNAL, puis modifie le fichier vfstab dans cette zone.
## Readable books directory at PUBLIC ## ro entry indicates that PUBLIC docs can never be mounted rw in internal zone remote-sys:/zone/public/root/opt/docs - /opt/docs nfs no yes ro
Pour accéder aux fichiers de la zone étiquetée distante, l'entrée vfstab utilise le chemin racine de la zone publique du système distant, /zone/public/root, comme chemin d'accès des répertoires à monter.
Du point de vue d'un utilisateur dans la zone internal, les fichiers sont accessibles dans /opt/docs.
Dans une fenêtre de terminal sous l'étiquette INTERNAL, l'administrateur monte les fichiers.
# mountall
Exemple 11-6 Montage de répertoires personnels étiquetés dans un réseau administré à l'aide du protocole LDAP
Dans cet exemple, l'administrateur système permet à un nouvel utilisateur, ikuk, d'accéder à son répertoire personnel à chaque étiquette. Ce site utilise deux serveurs d'annuaire personnel et est géré à l'aide du protocole LDAP. Le second serveur contient les répertoires personnels des utilisateurs jdoe et pkai. Le nouvel utilisateur est ajouté à cette liste.
Après avoir assumé le rôle d'administrateur système, l'administrateur modifie tout d'abord les fichiers auto_home_zone-name dans le répertoire /etc de la zone globale pour inclure le nouvel utilisateur sur le second serveur d'annuaire personnel.
## auto_home_global file jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
## auto_home_internal file ## Mount the home directory from the internal zone of the NFS server jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
## auto_home_public ## Mount the home directory from the public zone of the NFS server jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
Ensuite, pour permettre aux utilisateurs de se connecter à toutes les étiquettes, l'administrateur répète ces modifications pour les fichiers auto_home_zone-name à chaque étiquette.
Enfin, après avoir modifié chaque fichier auto_home_zone-name sur ce système, l'administrateur utilise ces fichiers pour ajouter des entrées à la base de données LDAP.
Comme dans le SE Oracle Solaris, l'entrée +auto_home_public des fichiers /etc/auto_home_zone-name dirige l'automonteur vers les entrées LDAP. Les fichiers auto_home_zone-name sur d'autres systèmes du réseau sont mis à jour à partir de la base de données LDAP.
Exemple 11-7 Montage d'un répertoire personnel de niveau inférieur sur un système administré à l'aide de fichiers
Dans cet exemple, l'administrateur système permet aux utilisateurs d'accéder à leurs répertoires personnels à chaque étiquette. Les étiquettes utilisées sur le site sont PUBLIC, INTERNAL et NEEDTOKNOW. Ce site a recours à deux serveurs d'annuaire personnel et est administré à l'aide de fichiers. Le second serveur contient les répertoires personnels des utilisateurs jdoe et pkai.
Pour accomplir cette tâche, l'administrateur système définit les répertoires personnels NFS de la zone publique dans cette dernière, et partage cette configuration avec les zones internal et needtoknow.
Après avoir assumé le rôle d'administrateur système, l'administrateur crée tout d'abord un espace de travail sous l'étiquette PUBLIC. Dans cet espace de travail, l'administrateur crée un nouveau fichier, /export/home/auto_home_public. Ce fichier contient toutes les entrées de spécifications NFS par utilisateur personnalisées.
## /export/home/auto_home_public file at PUBLIC label jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai * homedir-server:/export/home/&
Ensuite, l'administrateur modifie le fichier /etc/auto_home_public afin qu'il désigne ce nouveau fichier.
## /etc/auto_home_public file in the public zone ## Use /export/home/auto_home_public for the user entries ## +auto_home_public + /export/home/auto_home_public
Cette entrée indique à l'automonteur d'utiliser le contenu du fichier local.
Enfin, l'administrateur modifie de la même façon le fichier /etc/auto_home_public dans les zones internal et needtoknow. L'administrateur utilise le nom du chemin d'accès à la zone publique qui est visible pour les zones internal et needtoknow.
## /etc/auto_home_public file in the internal zone ## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs ## +auto_home_public + /zone/public/export/home/auto_home_public
## /etc/auto_home_public file in the needtoknow zone ## Use /zone/public/export/home/auto_home_public for PUBLIC user home dirs ## +auto_home_public + /zone/public/export/home/auto_home_public
Lorsque l'administrateur ajoute le nouvel utilisateur ikuk, l'ajout est effectué dans le fichier /export/home/auto_home_public sous l'étiquette PUBLIC.
## /export/home/auto_home_public file at PUBLIC label jdoe homedir2-server:/export/home/jdoe pkai homedir2-server:/export/home/pkai ikuk homedir2-server:/export/home/ikuk * homedir-server:/export/home/&
Les zones de niveau supérieur lisent vers le bas afin d'obtenir les répertoires personnels par utilisateur de la zone publique de niveau inférieur.
Avant de commencer
Vous devez être dans la zone possédant l'étiquette des fichiers que vous souhaitez monter. Vous devez être connecté en tant que superutilisateur ou être dans le rôle d'administrateur système.
Utilisez l'outil Security Templates (Modèles de sécurité) dans la Console de gestion Solaris à l'étendue appropriée. Pour plus d'informations, reportez-vous à la section Initialisation du serveur Console de gestion Solaris dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions.
L'adresse peut être assignée directement, ou indirectement par le biais d'un mécanisme de caractère générique. L'adresse peut être dans un modèle étiqueté ou sans étiquette.
L'étiquette doit être compatible avec l'étiquette à laquelle vous essayez de monter les fichiers.
Si l'étiquette est plus élevée que l'étiquette du système de fichiers montés, vous ne pouvez pas effectuer d'opération d'écriture dans le montage même si le système de fichiers distant est exporté avec des autorisations en lecture/écriture. Vous pouvez uniquement effectuer des opérations d'écriture sur le système de fichiers monté sous l'étiquette du montage.
Pour monter des systèmes de fichiers à partir d'un de ces serveurs, le serveur doit être assigné à un modèle sans étiquette.