Ignorer les liens de navigation | |
Quitter l'aperu | |
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
1. Concepts d'administration de Trusted Extensions
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
8. Administration à distance dans Trusted Extensions (tâches)
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
Zones et adresses IP dans Trusted Extensions
Zones et ICMP dans Trusted Extensions
Utilitaires d'administration des zones dans Trusted Extensions
Gestion des zones (liste des tâches)
Procédure d'affichage des zones prêtes ou en cours d'exécution
Procédure d'affichage des étiquettes de fichiers montés
Procédure de désactivation du montage pour les fichiers de niveau inférieur
Procédure de partage d'un ensemble de données ZFS à partir d'une zone étiquetée
Procédure d'octroi de l'autorisation de modifier l'étiquette de fichiers à un utilisateur
Procédure de configuration d'un port multiniveau pour NFSv3 sur udp
Procédure de création d'un port multiniveau pour une zone
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
12. Gestion de réseaux de confiance (présentation)
13. Gestion des réseaux dans Trusted Extensions (tâches)
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
16. Périphériques dans Trusted Extensions (présentation)
17. Gestion des périphériques pour Trusted Extensions (tâches)
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
Dans Trusted Extensions, la stratégie MAC s'applique à tous les processus, y compris aux processus de la zone globale. Les processus de la zone globale s'exécutent sous l'étiquette ADMIN_HIGH. Lorsque des fichiers provenant d'une zone globale sont partagés, ils sont partagés avec l'étiquette ADMIN_LOW. Par conséquent, étant donné que MAC empêche le processus d'une étiquette de niveau supérieur de modifier un objet de niveau inférieur, la zone globale ne peut généralement pas écrire sur un système monté via NFS.
Toutefois, dans certains cas limités, des actions effectuées dans une zone étiquetée peuvent nécessiter qu'un processus de la zone globale modifie un fichier de la zone concernée.
Pour permettre à un processus de la zone globale de monter un système de fichiers distant avec des autorisations de lecture/écriture, le montage doit être placé sous le chemin de zone de la zone dont l'étiquette correspond à celle du système de fichiers distant. Toutefois, il ne doit pas être monté sous le chemin racine de la zone concernée.
Le système effectuant le montage doit comporter une zone possédant la même étiquette que le système de fichiers distant.
Le système doit monter le système de fichiers distant sous le chemin de zone de la zone étiquetée possédant la même étiquette.
Le système ne doit pas monter le système de fichiers distant sous le chemin racine de zone de la zone étiquetée possédant la même étiquette.
Prenons l'exemple d'une zone nommée publique possédant l'étiquette PUBLIC. Le chemin de la zone est /zone/public/. Tous les répertoires placés sous le chemin de la zone ont l'étiquette PUBLIC, comme dans :
/zone/public/dev /zone/public/etc /zone/public/home/username /zone/public/root /zone/public/usr
Parmi les fichiers placés dans les répertoires qui se trouvent sous le chemin de zone, seuls les fichiers subordonnés à /zone/public/root sont visibles depuis la zone publique. Les autres fichiers et répertoires d'étiquette PUBLIC sont uniquement accessibles à partir de la zone globale. Le chemin /zone/public/root est le chemin racine de la zone.
Pour l'administrateur de la zone publique, le chemin racine de la zone est identifié par /. De même, l'administrateur de la zone publique ne peut pas accéder au répertoire personnel d'un utilisateur dans le chemin de la zone, répertoire /zone/public/home/nom de l'utilisateur. Ce répertoire est uniquement visible depuis la zone globale. La zone publique monte ce répertoire dans le chemin racine de la zone en tant que /home/nom de l'utilisateur. Depuis la zone globale, ce montage est visible sous la forme /zone/public/root/home/nom de l'utilisateur.
L'administrateur de la zone publique peut modifier /home/nom de l'utilisateur. Lorsque les fichiers du répertoire personnel d'un utilisateur doivent être modifiés, un processus de zone globale n'utilise pas le chemin cité ci-dessus. La zone globale utilise le répertoire personnel de l'utilisateur, dans le chemin de la zone, /zone/public/Home/nom de l'utilisateur.
Les fichiers et répertoires qui se trouvent sous le chemin de la zone, /zone/nom de zone/, mais pas sous le chemin racine de la zone, le répertoire /zone/nom de la zone/root , peuvent être modifiés par un processus de la zone globale qui s'exécute sous l'étiquette ADMIN_HIGH.
Les fichiers et répertoires qui se trouvent sous le chemin racine de la zone, /zone/public/root, peuvent être modifiés par l'administrateur de la zone étiquetée.
Par exemple, lorsqu'un utilisateur alloue un périphérique dans la zone publique, un processus de la zone globale exécuté sous l'étiquette ADMIN_HIGH modifie le répertoire dev dans le chemin de la zone, /zone/public/dev. De même, lorsqu'un utilisateur enregistre une configuration du bureau, le fichier de configuration du bureau est modifié par un processus de la zone globale dans /zone/public/Home/nom de l'utilisateur. Enfin, pour partager des fichiers provenant d'une zone étiquetée, l'administrateur de la zone globale crée le fichier de configuration dfstab dans le chemin de la zone /zone/public/etc/dfs/dfstab. L'administrateur d'une zone étiquetée ne peut pas accéder à ce fichier ni partager des fichiers provenant de la zone étiquetée. Pour partager un répertoire étiqueté, reportez-vous à la section Procédure de partage de répertoires à partir d'une zone étiquetée.