Ignorer les liens de navigation | |
Quitter l'aperu | |
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
1. Concepts d'administration de Trusted Extensions
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
8. Administration à distance dans Trusted Extensions (tâches)
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
Processus de zone globale et zones étiquetées
Utilitaires d'administration des zones dans Trusted Extensions
Gestion des zones (liste des tâches)
Procédure d'affichage des zones prêtes ou en cours d'exécution
Procédure d'affichage des étiquettes de fichiers montés
Procédure de désactivation du montage pour les fichiers de niveau inférieur
Procédure de partage d'un ensemble de données ZFS à partir d'une zone étiquetée
Procédure d'octroi de l'autorisation de modifier l'étiquette de fichiers à un utilisateur
Procédure de configuration d'un port multiniveau pour NFSv3 sur udp
Procédure de création d'un port multiniveau pour une zone
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
12. Gestion de réseaux de confiance (présentation)
13. Gestion des réseaux dans Trusted Extensions (tâches)
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
16. Périphériques dans Trusted Extensions (présentation)
17. Gestion des périphériques pour Trusted Extensions (tâches)
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
Un système Trusted Extensions correctement configuré comprend une zone globale, qui correspond à l'instance du système d'exploitation, et une ou plusieurs zones étiquetées non globales. Lors de la configuration, Trusted Extensions joint une étiquette unique à chaque zone et crée ainsi des zones étiquetées. Les étiquettes proviennent du fichier label_encodings. Les administrateurs peuvent créer une zone pour chaque étiquette, mais cela n'est pas obligatoire. Un système peut comporter plus d'étiquettes que de zones étiquetées. Il n'est pas possible d'avoir plus de zones étiquetées que d'étiquettes.
Sur un système Trusted Extensions, les systèmes de fichiers d'une zone sont généralement montés en tant que systèmes de fichiers en loopback (LOFS). Tous les fichiers et répertoires accessibles en écriture d'une zone étiquetée ont l'étiquette de la zone. Par défaut, un utilisateur peut visualiser les fichiers appartenant à une zone dont le niveau d'étiquette est inférieur à celui de l'étiquette actuelle de l'utilisateur. Cette configuration permet aux utilisateurs de visualiser leurs répertoires personnels correspondant à des étiquettes de niveau inférieur par rapport à celle de l'espace de travail actuel. Bien que les utilisateurs puissent visualiser les fichiers correspondant à un niveau inférieur, ils ne peuvent pas les modifier. Les utilisateurs peuvent uniquement modifier les fichiers à partir d'un processus de même étiquette que les fichiers concernés.
Dans Trusted Extensions, la zone globale est une zone d'administration. Les zones étiquetées sont destinées aux utilisateurs standard. Les utilisateurs peuvent travailler dans une zone dont l'étiquette est comprise dans la plage d'accréditations de l'utilisateur.
Chaque zone est associée à une adresse IP et à des attributs de sécurité. Une zone peut être configurée avec des ports multiniveau (les MLP). En outre, une zone peut être configurée avec une stratégie relative aux diffusions ICMP (Internet Control Message Protocol), telles que ping.
Pour plus d'informations sur le partage de répertoires d'une zone étiquetée et sur le montage à distance de répertoires depuis des zones étiquetées, reportez-vous au Chapitre 11Gestion et montage de fichiers dans Trusted Extensions (tâches).
Les zones de Trusted Extensions sont basées sur le produit de zones d'Oracle Solaris. Pour plus d'informations, reportez-vous à la section Partie II, Zones du System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones. Trusted Extensions est notamment concerné par les problèmes liés à l'installation de packages et de correctifs. Pour plus d'informations, reportez-vous à la section Chapitre 25, About Packages and Patches on a Solaris System With Zones Installed (Overview) du System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones et au Chapitre 30, Troubleshooting Miscellaneous Solaris Zones Problems du System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones.
Votre équipe de configuration initiale a assigné des adresses IP à la zone globale et aux zones étiquetées. Trois types de configurations sont décrits à la section Création de zones étiquetées du Guide de configuration d’Oracle Solaris Trusted Extensions :
Le système dispose d'une adresse IP pour la zone globale et toutes les zones étiquetées.
Cette configuration est utile sur un système qui utilise le logiciel DHCP pour déterminer son adresse IP. Un serveur LDAP peut avoir cette configuration si aucun utilisateur ne doit s'y connecte.
Le système dispose d'une adresse IP pour la zone globale et d'une adresse IP partagée par toutes les zones, y compris par la zone globale. N'importe quelle zone peut combiner une adresse unique et une adresse partagée.
Cette configuration est utile sur des systèmes auxquels des utilisateurs standard se connectent. Elle peut également être utilisée pour une imprimante ou un serveur NFS. Cette configuration conserve les adresses IP.
Le système dispose d'une adresse IP pour la zone globale et chaque zone étiquetée possède une adresse IP unique.
Cette configuration est utile pour permettre l'accès à des réseaux physiques distincts sur des systèmes à niveau unique. En règle générale, chaque zone possède une adresse IP sur un réseau physique distinct de celui des autres zones étiquetées. Dans la mesure où cette configuration est mise en œuvre avec une instance IP unique, la zone globale contrôle les interfaces physiques et gère les ressources globales, telles que la table de routage.
Avec l'introduction d'instances IP exclusives pour une zone non globale, un quatrième type de configuration est disponible dans le SE Oracle Solaris. À partir de la version Solaris 10 8/07 une zone non globale peut se voir attribuer sa propre instance IP et gérer ses propres interfaces physiques. Dans cette configuration, chaque zone fonctionne comme si elle constituait un système distinct. Pour plus d'informations, reportez-vous à la section Zone Network Interfaces du System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones.
Cependant, dans une telle configuration, chaque zone étiquetée fonctionne comme si elle constituait un système à étiquette unique distinct. Les fonctions de mise en réseau multiniveau de Trusted Extensions s'appuient sur les fonctions d'une pile IP partagée. Les procédures d'administration dans Trusted Extensions supposent que la gestion de réseaux soit entièrement contrôlée par la zone globale. Par conséquent, si votre équipe de configuration initiale a installé des zones étiquetées avec des instances IP exclusives, vous devez fournir ou vous reporter à la documentation spécifique du site.
Par défaut, une zone ne peut pas envoyer ni recevoir des paquet vers ni depuis une autre zone. Les ports multiniveau (les MLP) permettent à certains services particuliers sur un port d'accepter des demandes correspondant à une plage d'étiquettes ou à un jeu d'étiquettes donné. Ces services privilégiés peuvent répondre sous l'étiquette de la demande. Vous pouvez par exemple souhaiter créer un port de navigateur Web privilégié capable d'écouter sur toutes les étiquettes, mais dont les réponses sont limitées en fonction de l'étiquette. Par défaut, les zones étiquetées n'ont pas de MLP.
La plage d'étiquettes ou l'ensemble d'étiquettes qui limite les paquets pouvant être acceptés par le MLP dépend de l'adresse IP de la zone. Un modèle d'hôte distant est assigné à l'adresse IP dans la base de données tnrhdb. La plage d'étiquettes ou l'ensemble d'étiquettes du modèle d'hôte distant limite les paquets que le MLP peut accepter.
Les contraintes qui s'appliquent aux MPL pour les différentes configurations d'adresse IP sont les suivantes :
Sur un système sur lequel la zone globale a une adresse IP et chacune des zones étiquetées une adresse IP unique, un MLP pour un service particulier peut être ajouté à chaque zone. Par exemple, le système peut être configuré de manière à ce que le service ssh soit, par le biais du port TCP 22, un MLP dans la zone globale et dans chaque zone étiquetée.
Dans une configuration standard, une adresse IP est attribuée à la zone globale et les zones étiquetées partagent une seconde adresse IP avec la zone globale. Lorsqu'un MLP est ajouté à une interface partagée, le paquet du service est acheminé vers la zone étiquetée où le MLP est défini. Le paquet n'est accepté que si le modèle de l'hôte distant pour la zone étiquetée inclut l'étiquette du paquet. Lorsque la plage est comprise entre ADMIN_LOW et ADMIN_HIGH, tous les paquets sont acceptés. Lorsque la plage d'étiquettes est plus restreinte, les paquets dont l'étiquette n'est pas comprise dans la plage sont rejetés.
Au mieux, une zone peut définir un port particulier en tant que MLP sur une interface partagée. Dans le scénario précédent, où le port ssh était configuré en tant que MLP partagé dans une zone non globale, aucune autre zone ne peut recevoir de connexions ssh sur l'adresse partagée. Toutefois, la zone globale pourrait définir le port ssh en tant que MLP privé pour la réception de connexions sur son adresse spécifique de zone.
Sur un système où la zone globale et les zones étiquetées partagent une adresse IP, un MLP pour le service ssh pourrait être ajouté à une zone. Si le programme MLP pour ssh est ajouté à la zone globale, aucune zone étiquetée ne peut ajouter de MLP pour le service ssh. De même, si le MLP du service ssh est ajouté à une zone étiquetée, la zone globale ne peut pas être configurée avec un MLP ssh.
Pour voir un exemple d'ajout de MLP aux zones étiquetées, consultez l'Exemple 13-16.
Les réseaux transmettent des messages de diffusion et envoient des paquets ICMP aux systèmes du réseau. Sur un système multiniveau, ces transmissions risquent d'inonder le système sous chaque étiquette. Par défaut, la stratégie réseau des zones étiquetées exige que les paquets ICMP soient uniquement reçus sous l'étiquette correspondante.