Ignorer les liens de navigation | |
Quitter l'aperu | |
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
1. Concepts d'administration de Trusted Extensions
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
8. Administration à distance dans Trusted Extensions (tâches)
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
12. Gestion de réseaux de confiance (présentation)
13. Gestion des réseaux dans Trusted Extensions (tâches)
Gestion du réseau de confiance (liste des tâches)
Configuration des bases de données réseau de confiance (liste des tâches)
Procédure d'ouverture des outils de gestion de réseaux de confiance
Procédure de construction d'un modèle d'hôte distant
Procédure d'ajout d'hôtes au réseau connu du système
Procédure d'assignation d'un modèle de sécurité à un hôte ou à un groupe d'hôtes
Procédure de limitation des hôtes pouvant être contactés sur le réseau de confiance
Procédure de configuration de routes à l'aide d'attributs de sécurité
Procédure de vérification de la syntaxe des bases de données d'un réseau de confiance
Procédure de synchronisation du cache du noyau avec les bases de données d'un réseau de confiance
Dépannage du réseau de confiance (liste des tâches)
Procédure de vérification de l'état d'activité des interfaces d'un hôte
Débogage du réseau Trusted Extensions
Procédure de débogage d'une connexion client au serveur LDAP
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
16. Périphériques dans Trusted Extensions (présentation)
17. Gestion des périphériques pour Trusted Extensions (tâches)
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
La liste des tâches ci-dessous décrit les tâches permettant de configurer le réseau et de vérifier la configuration.
|
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.
Les adresses sont ajoutées au fichier /etc/hosts local ou à son équivalent sur le serveur LDAP. Utilisez l'outil Computers and Networks (Ordinateurs et réseaux) dans la Console de gestion Solaris. L'étendue fichiers modifie le fichier /etc/hosts. L'étendue LDAP modifie les entrées sur le serveur LDAP. Pour plus d'informations, reportez-vous à la section Procédure d'ajout d'hôtes au réseau connu du système .
Les adresses sont ajoutées au fichier /etc/security/tsol/tnrhdb local ou à son équivalent sur le serveur LDAP. Utilisez l'outil Security Templates (Modèles de sécurité) dans la Console de gestion Solaris. Pour plus d'informations, reportez-vous à la section Procédure d'assignation d'un modèle de sécurité à un hôte ou à un groupe d'hôtes.
Dans une fenêtre de terminal, utilisez la commande route add pour spécifier des routes.
La première entrée configure une route par défaut. L'entrée spécifie une adresse de passerelle, 192.168.113.1, à utiliser lorsqu'aucune route spécifique n'est définie pour la destination de l'hôte ou celle du paquet.
# route add default 192.168.113.1 -static
Pour plus d'informations, reportez-vous à la page de manuel route(1M).
Utilisez l'indicateur -secattr pour spécifier les attributs de sécurité.
Dans la liste de commandes suivante, la deuxième ligne présente une entrée de réseau. La troisième ligne présente une entrée de réseau possédant une plage d'étiquettes allant de PUBLIC à CONFIDENTIAL : INTERNAL USE ONLY.
# route add default 192.168.113.36 # route add -net 192.168.102.0 gateway-101 # route add -net 192.168.101.0 gateway-102 \ -secattr min_sl=“PUBLIC”,max_sl=”CONFIDENTIAL : INTERNAL USE ONLY”,doi=1
La nouvelle ligne (la dernière) montre une entrée d'hôte pour l'hôte à étiquette unique gateway-pub. gateway-pub a une plage d'étiquettes comprise entre PUBLIC et PUBLIC.
# route add default 192.168.113.36 # route add -net 192.168.102.0 gateway-101 # route add -net 192.168.101.0 gateway-102 \ -secattr min_sl="PUBLIC",max_sl="CONFIDENTIAL : INTERNAL USE ONLY",doi=1 # route add -host 192.168.101.3 gateway-pub \ -secattr min_sl="PUBLIC",max_sl="PUBLIC",doi=1
Exemple 13-14 Ajout d'une route possédant une plage d'étiquettes allant de CONFIDENTIAL : INTERNAL USE ONLY à CONFIDENTIAL : RESTRICTED
La commande route suivante ajoute à la table de routage les hôtes à l'adresse 192.168.115.0 utilisant 192.168.118.39 comme passerelle. La plage d'étiquettes va de CONFIDENTIAL : INTERNAL USE ONLY à CONFIDENTIAL : RESTRICTED et la valeur du DOI est 1.
$ route add -net 192.168.115.0 192.168.118.39 \ -secattr min_sl="CONFIDENTIAL : INTERNAL USE ONLY",max_sl="CONFIDENTIAL : RESTRICTED",doi=1
La commande netstat -rR permet d'afficher le résultat des hôtes ajoutés. Dans l'extrait ci-dessous, les autres routes sont remplacées par des points de suspension (...).
$ netstat -rRn ... 192.168.115.0 192.168.118.39 UG 0 0 min_sl=CNF : INTERNAL USE ONLY,max_sl=CNF : RESTRICTED,DOI=1,CIPSO ...
La commande tnchkdb vérifie que la syntaxe de chaque base de données réseau est exacte. La Console de gestion Solaris exécute automatiquement cette commande lorsque vous utilisez l'outil Security Templates (Modèles de sécurité) ou l'outil Trusted Network Zones (Zones du réseau de confiance). En règle générale, vous exécutez cette commande pour vérifier la syntaxe des fichiers de la base de données que vous êtes en train de configurer pour une utilisation ultérieure.
Avant de commencer
Vous devez accéder à la zone globale à l'aide d'un rôle habilité à vérifier les paramètres du réseau. Les rôles d'administrateur de sécurité et d'administrateur système sont habilités à vérifier ces paramètres.
$ tnchkdb [-h tnrhdb-path] [-t tnrhtp-path] [-z tnzonecfg-path] checking /etc/security/tsol/tnrhtp ... checking /etc/security/tsol/tnrhdb ... checking /etc/security/tsol/tnzonecfg ...
Exemple 13-15 Test de la syntaxe d'une base de données réseau
Dans cet exemple, l'administrateur de sécurité teste un fichier de base de données réseau en vue d'une éventuelle utilisation. Au départ, l'administrateur utilise la mauvaise option. Les résultats de la vérification sont imprimés sur la ligne pour le fichier tnrhdb :
$ tnchkdb -h /opt/secfiles/trial.tnrhtp checking /etc/security/tsol/tnrhtp ... checking /opt/secfiles/trial.tnrhtp ... line 12: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH line 14: Illegal name: min_sl=ADMIN_LOW;max_sl=ADMIN_HIGH checking /etc/security/tsol/tnzonecfg ...
Lorsque l'administrateur de sécurité vérifie le fichier à l'aide de l'option -t, la commande confirme l'exactitude de la syntaxe de la base de données tnrhtp à l'essai :
$ tnchkdb -t /opt/secfiles/trial.tnrhtp checking /opt/secfiles/trial.tnrhtp ... checking /etc/security/tsol/tnrhdb ... checking /etc/security/tsol/tnzonecfg ...
Les bases de données du réseau peuvent contenir des informations qui ne figurent pas dans le cache du noyau. Cette procédure vérifie que les informations sont identiques. Lorsque vous utilisez la Console de gestion Solaris pour mettre à jour le réseau, le cache du noyau est mis à jour avec les informations des bases de données réseau. La commande tninfo est utile durant le test et le débogage.
Avant de commencer
Vous devez accéder à la zone globale à l'aide d'un rôle habilité à vérifier les paramètres du réseau. Les rôles d'administrateur de sécurité et d'administrateur système sont habilités à vérifier ces paramètres.
tninfo -h hostname affiche l'adresse IP et le modèle pour l'hôte spécifié.
tninfo -t templatename affiche les informations suivantes :
template: template-name host_type: either CIPSO or UNLABELED doi: 1 min_sl: minimum-label hex: minimum-hex-label max_sl: maximum-label hex:maximum-hex-label
tninfo -m zone-name affiche la configuration de port multiniveau (MLP) d'une zone.
Exemple 13-16 Affichage de ports multiniveau sur un hôte
Dans cet exemple, un système est configuré avec plusieurs zones étiquetées. Toutes les zones partagent la même adresse IP. Certaines zones sont également configurées avec des adresses spécifiques à leur zone. Dans cette configuration, le port TCP permettant de naviguer sur le Web (port 8080) est un MLP situé sur une interface partagée de la zone publique. L'administrateur a également configuré telnet, le port TCP 23, comme MLP de la zone publique. Étant donné que ces deux MLP se trouvent sur une interface partagée, aucune autre zone, pas même la zone globale, ne peut recevoir de paquets sur les ports 8080 et 23 dans l'interface partagée.
En outre, le port TCP de ssh, le port 22, est un MLP par zone de la zone publique. Le service ssh de la zone publique peut recevoir sur l'adresse spécifique à sa zone n'importe quel paquet correspondant à la page d'étiquettes de l'adresse.
La commande suivante indique les MLP pour la zone publique :
$ tninfo -m public private: 22/tcp shared: 23/tcp;8080/tcp
La commande suivante indique les MLP pour la zone globale. Notez que les ports 23 et 8080 ne peuvent pas être de type MLP dans la zone globale car celle-ci partage la même adresse que la zone publique :
$ tninfo -m global private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp; shared: 6000-6003/tcp
Lorsque le noyau n'a pas été mis à jour avec les informations des bases de données du réseau de confiance, vous pouvez procéder de différentes manières pour mettre à jour le cache du noyau. La Console de gestion Solaris exécute automatiquement cette commande lorsque vous utilisez les outils Security Templates (Modèles de sécurité) ou Trusted Network Zones (Zones de réseau de confiance).
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.
Attention - N'utilisez pas cette méthode sur des systèmes où les informations des bases de données du réseau de confiance sont obtenues à partir d'un serveur LDAP. Les informations de la base de données locale écraseraient les informations obtenues à partir du serveur LDAP. |
$ svcadm restart svc:/network/tnctl
Cette commande permet d'importer dans le noyau toutes les informations des bases de données locales du réseau de confiance.
$ tnctl -h hostname
Cette commande importe uniquement dans le noyau les informations de l'option sélectionnée. Pour plus d'informations sur les options, reportez-vous à l'Exemple 13-17 et à la page de manuel tnctl(1M).
Remarque - Le service tnd ne peut être exécuté que si le service ldap est en cours d'exécution.
Cette commande ne met pas à jour le cache du noyau. Cependant, vous pouvez réduire l'intervalle d'interrogation pour augmenter la fréquence de mise à jour du cache du noyau. Pour plus d'informations, reportez-vous à la page de manuel tnd(1M).
Cette commande de l'utilitaire de gestion des services (SMF) déclenche une mise à jour immédiate du noyau avec les modifications récentes apportées aux bases de données du réseau de confiance.
$ svcadm refresh svc:/network/tnd
$ svcadm restart svc:/network/tnd
Attention - Évitez d'exécuter la commande tnd pour redémarrer tnd. Cette commande peut interrompre des communications en cours. |
Exemple 13-17 Mise à jour du noyau avec vos entrées tnrhdb les plus récentes
Dans cet exemple, l'administrateur a ajouté trois adresses à la base de données locale tnrhdb. L'administrateur supprime tout d'abord l'entrée générique 0.0.0.0.
$ tnctl -d -h 0.0.0.0:admin_low
Il visualise ensuite le format des trois dernières entrées dans la base de données /etc/security/tsol/tnrhdb :
$ tail /etc/security/tsol/tnrhdb #\:\:0:admin_low 127.0.0.1:cipso #\:\:1:cipso 192.168.103.5:admin_low 192.168.103.0:cipso 0.0.0.0/32:admin_low
Puis il met à jour le cache du noyau :
$ tnctl -h 192.168.103.5 tnctl -h 192.168.103.0 tnctl -h 0.0.0.0/32
Enfin, l'administrateur vérifie que le cache du noyau a bien été mis à jour. La sortie de la première entrée se présente de la manière suivante :
$ tninfo -h 192.168.103.5 IP Address: 192.168.103.5 Template: admin_low
Exemple 13-18 Mise à jour des informations réseau dans le noyau
Dans cet exemple, l'administrateur met à jour le réseau de confiance avec un serveur d'impression public et s'assure que les paramètres du noyau sont corrects.
$ tnctl -h public-print-server $ tninfo -h public-print-server IP Address: 192.168.103.55 Template: PublicOnly $ tninfo -t PublicOnly ================================== Remote Host Template Table Entries ---------------------------------- template: PublicOnly host_type: CIPSO doi: 1 min_sl: PUBLIC hex: 0x0002-08-08 max_sl: PUBLIC hex: 0x0002-08-08