Ignorer les liens de navigation | |
Quitter l'aperu | |
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
1. Concepts d'administration de Trusted Extensions
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
8. Administration à distance dans Trusted Extensions (tâches)
Administration à distance sécurisée dans Trusted Extensions
Méthodes d'administration de systèmes distants dans Trusted Extensions
Connexion à distance par un rôle dans Trusted Extensions
Administration basée sur des rôles distants à partir d'hôtes sans étiquettes
Gestion des connexions à distance dans Trusted Extensions
Administration à distance de Trusted Extensions (liste des tâches)
Procédure de connexion à distance à partir de la ligne de commande dans Trusted Extensions
Procédure d'administration à distance de Trusted Extensions avec dtappsession
Procédure d'utilisation de Xvnc afin d'accéder à distance à un système Trusted Extensions
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
12. Gestion de réseaux de confiance (présentation)
13. Gestion des réseaux dans Trusted Extensions (tâches)
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
16. Périphériques dans Trusted Extensions (présentation)
17. Gestion des périphériques pour Trusted Extensions (tâches)
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
La liste ci-dessous décrit les tâches utilisées pour administrer un système Trusted Extensions à distance.
|
Remarque - La commande telnet ne peut pas être utilisée pour assumer un rôle à distance car la commande n'est pas capable de transmettre les identités primaire et de rôle au module pam_roles.
Avant de commencer
L'utilisateur et le rôle doivent être définis de façon identique sur le système local et le système distant.
Le rôle doit disposer de l'autorisation Remote Login (connexion à distance). Par défaut, cette autorisation se trouve dans les profils de droits Remote Administration (Administration à distance) et Maintenance and Repair (Maintenance et réparations).
L'administrateur de sécurité a effectué la procédure Activation de la connexion à distance par un rôle dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions sur tous les systèmes pouvant être administrés à distance. Lorsque le système peut être administré à partir d'un système sans étiquette, la procédure Activation de la connexion à distance à partir d’un système sans étiquette du Guide de configuration d’Oracle Solaris Trusted Extensions est également effectuée.
Utilisez la commande rlogin, ssh ou ftp.
Si vous utilisez la commande rlogin -l ou ssh pour vous connecter, toutes les commandes qui se trouvent dans les profils de droits du rôle sont disponibles.
Si vous utilisez la commande ftp, reportez-vous à page de manuel ftp(1) pour connaître les commandes disponibles.
Le programme dtappsession permet à un administrateur d'administrer un système distant exécutant CDE.
dtappsession est utile lorsqu'un système distant ne possède pas d'écran. Par exemple, dtappsession est souvent utilisé pour administrer les domaines sur des serveurs de grande capacité. Pour plus d'informations, reportez-vous à la page de manuel dtappsession(1).
Avant de commencer
Sur un système étiqueté, vous devez être dans un rôle d'administration dans la zone globale. Sur un système sans étiquette, vous devez assumer un rôle défini sur le système distant. Vous devez ensuite exécuter la connexion à distance à partir du shell du profil du rôle.
Afin d'éviter toute confusion entre les applications CDE distantes et les applications locales, dédiez un espace de travail de rôle d'administration à cette procédure. Pour plus d'informations, reportez-vous à la section Procédure d’ajout d’un espace de travail possédant une étiquette particulière du Guide de l’utilisateur Oracle Solaris Trusted Extensions.
Vous pouvez utiliser la commande rlogin ou la commande ssh.
$ ssh remote-host
Dans la fenêtre de terminal, saisissez la commande dtappsession suivie du nom de l'hôte local.
$ /usr/dt/bin/dtappsession local-host
Le gestionnaire d'applications (Application Manager) en cours d'exécution sur l'hôte distant s'affiche sur l'hôte local. Une boîte de dialogue Exit (Quitter) s'affiche également.
Si vous avez appelé la session à distance à partir de Trusted CDE, vous pouvez utiliser des actions du dossier Trusted_Extensions.
Attention - La fermeture du gestionnaire d'applications ne met pas fin à la session de connexion et sa fermeture est déconseillée. |
Utilisez ensuite la commande hostname pour vérifier que vous vous trouvez bien sur votre hôte local.
$ exit $ hostname local-host
La Console de gestion Solaris fournit une interface d'administration à distance pour la gestion des utilisateurs, des droits, des rôles et du réseau. Pour l'utiliser, vous devez assumer un rôle. Durant cette procédure, vous devez lancer la console sur le système local et indiquer le système distant comme serveur.
Avant de commencer
Vous avez effectué les procédures suivantes :
Sur les deux systèmes : Initialisation du serveur Console de gestion Solaris dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions
Sur le système distant : Activation de la connexion à distance par un rôle dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions et Activation de la Console de gestion Solaris afin qu’elle accepte les communications réseau du Guide de configuration d’Oracle Solaris Trusted Extensions
Sur le système distant utilisé en tant que serveur LDAP : Configuration de la Console de gestion Solaris pour LDAP (liste des tâches) du Guide de configuration d’Oracle Solaris Trusted Extensions
Pour plus d'informations, reportez-vous à la section Initialisation du serveur Console de gestion Solaris dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions.
Choisissez ensuite l'une des étendues suivantes.
Cet ordinateur (ldap-server : Scope=LDAP, Policy=TSOL)
Cet ordinateur (ldap-server : Scope=Files, Policy=TSOL)
Choisissez ensuite la boîte à outils Scope=Files.
Cet ordinateur (remote-system : Scope=Files, Policy=TSOL)
Lorsque vous sélectionnez un outil tel que User (Utilisateur), une boîte de dialogue affiche le nom de serveur de la Console de gestion Solaris, votre nom d'utilisateur, votre nom de rôle ainsi qu'un espace pour la saisie du mot de passe du rôle. Assurez-vous que les entrées sont correctes.
Saisissez le mot de passe du rôle, puis appuyez sur Login as Role (Connexion à l'aide d'un rôle). Vous pouvez maintenant utiliser la Console de gestion Solaris pour gérer le système.
Remarque - Bien qu'il soit possible d'utiliser la Console de gestion Solaris pour exécuter dtappsession, le moyen le plus simple d'utiliser dtappsession est décrit dans la section Procédure d'administration à distance de Trusted Extensions avec dtappsession.
Dans le cadre de cette procédure, vous exécutez le client et le serveur de la Console de gestion Solaris sur le système distant et vous affichez la console sur le système local.
Avant de commencer
Le système Trusted Extensions doit avoir assigné l'étiquette ADMIN_LOW au système local.
Remarque - Un système qui n'exécute pas le protocole CIPSO, tel qu'un système Trusted Solaris, est considéré comme un système sans étiquette pour le système Trusted Extensions.
Le serveur de la Console de gestion Solaris du système distant doit être configuré pour accepter la connexion à distance. Pour connaître la procédure, reportez-vous à la section Activation de la Console de gestion Solaris afin qu’elle accepte les communications réseau du Guide de configuration d’Oracle Solaris Trusted Extensions.
Les deux systèmes doivent avoir le même utilisateur, auquel le même rôle permettant d'utiliser la Console de gestion Solaris doit être assigné. La plage d'étiquettes de l'utilisateur peut être celle d'un utilisateur standard mais son rôle doit posséder la plage allant de ADMIN_LOW à ADMIN_HIGH.
Vous devez être dans un rôle d'administration dans la zone globale.
# xhost + TX-SMC-Server # echo $DISPLAY :n.n
# su - same-username-on-both-systems
$ rlogin -l same-rolename-on-both-systems TX-SMC-Server
$ DISPLAY=local:n.n $ export DISPLAY=local:n.n
$ LOGNAME=same-username-on-both-systems $ export LOGNAME=same-username-on-both-systems
$ USER=same-rolename-on-both-systems $ export USER=same-rolename-on-both-systems
$ /usr/sbin/smc &
Lorsque vous sélectionnez un outil tel que User (Utilisateur), une boîte de dialogue affiche le nom de serveur de la Console de gestion Solaris, votre nom d'utilisateur, votre nom de rôle ainsi qu'un espace pour la saisie du mot de passe du rôle. Assurez-vous que les entrées sont correctes.
Saisissez le mot de passe du rôle, puis appuyez sur Login as Role (Connexion à l'aide d'un rôle). Vous pouvez maintenant utiliser la Console de gestion Solaris pour gérer le système.
Remarque - Lorsque vous tentez d'accéder à des informations de base de données réseau à partir d'un système autre que le serveur LDAP, l'opération échoue. La console vous permet de vous connecter à l'hôte distant et d'ouvrir la boîte à outils. Cependant, lorsque vous tentez d'accéder aux informations ou de les modifier, le message d'erreur suivant indique que vous avez sélectionné Scope=LDAP sur un système qui n'est pas le serveur LDAP :
Management server cannot perform the operation requested. ... Error extracting the value-from-tool. The keys received from the client were machine, domain, Scope. Problem with Scope.
La plage d'étiquettes par défaut de l'utilisateur et le comportement par défaut de la zone sont modifiés pour permettre la connexion à distance d'un utilisateur sans rôle. Vous pouvez être amené à effectuer cette procédure pour un testeur utilisant un système étiqueté distant. Pour des raisons de sécurité, le système du testeur doit exécuter une étiquette disjointe de celle des autres utilisateurs.
Avant de commencer
Vous devez avoir une très bonne raison de laisser cet utilisateur se connecter à la zone globale.
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.
Utilisez la Console de gestion Solaris pour assigner une autorisation ADMIN_HIGH et une étiquette minimale de ADMIN_LOW à chaque utilisateur. Pour plus d'informations, reportez-vous à la section Procédure de modification de la plage d'étiquettes d'un utilisateur dans la Console de gestion Solaris .
Les zones étiquetées de l'utilisateur doivent elles aussi permettre la connexion.
Utilisez la Console de gestion Solaris. Le port 513 sur le protocole TCP permet la connexion à distance. Pour un exemple, reportez-vous à la section Procédure de création d'un port multiniveau pour une zone.
# tnctl -fz /etc/security/tsol/tnzonecfg
# svcadm restart svc:/network/login:rlogin
La technologie VNC (Virtual Network Computing) connecte un client à un serveur distant et affiche le bureau du serveur distant dans une fenêtre sur le client. Xvnc est la version UNIX de VNC, laquelle est basée sur un serveur X standard. Trusted Extensions, permet aux clients de n'importe quelle plate-forme de se connecter à un programme Xvnc exécutant le logiciel Trusted Extensions d'accéder au serveur Xvnc et de visualiser et travailler dans un bureau multiniveau.
Avant de commencer
Vous avez installé et configuré le logiciel Trusted Extensions sur le système qui sera utilisé en tant que serveur Xvnc. Vous avez créé et initialisé les zones étiquetées. Votre serveur Xvnc reconnaît les clients VNC par nom d'hôte ou adresse IP.
Vous êtes superutilisateur dans la zone globale du système qui sera utilisé en tant que serveur Xvnc.
Pour plus d'informations, reportez-vous aux pages de manuel Xvnc(1) et vncconfig(1).
Attention - Si vous exécutez la version Solaris 10 10/08 ou Solaris 10 5/08, vous devez mettre à niveau votre système avant de configurer le serveur. Pour un système SPARC, installez la dernière version du patch 125719. Pour un système x86, installez la dernière version du patch 125720. |
# mkdir -p /etc/dt/config
# cp /usr/dt/config/Xservers /etc/dt/config/Xservers
Dans cet exemple, l'entrée est configurée pour permettre la connexion au serveur sans mot de passe. Pour réussir à se connecter au bureau, l'UID local doit être none au lieu de console.
L'entrée est fractionnée pour permettre son affichage. L'entrée doit être sur une seule ligne.
# :0 Local local_uid@console root /usr/X11/bin/Xserver :0 -nobanner :0 Local local_uid@none root /usr/X11/bin/Xvnc :0 -nobanner -AlwaysShared -SecurityTypes None -geometry 1024x768x24 -depth 24
Remarque - Une configuration plus sûre consiste à exiger un mot de passe à l'aide du paramètre -SecurityTypes VncAuth. La page de manuel Xvnc(1) décrit les exigences de mot de passe.
# reboot
Après le redémarrage, assurez-vous que le programme Xvnc est en cours d'exécution.
# ps -ef | grep Xvnc root 2145 932 0 Jan 18 ? 6:15 /usr/X11/bin/Xvnc :0 -nobanner -AlwaysShared -SecurityTypes None -geometry 1024
Pour le système client, vous disposez d'un choix de logiciels. Cet exemple utilise le logiciel Sun VNC.
# cd SUNW-pkg-directory # pkgadd -d . SUNWvncviewer
% /usr/bin/vncviewer Xvnc-server-hostname
Poursuivez la procédure de connexion. Pour une description des étapes restantes, reportez-vous à la section Connexion à Trusted Extensions du Guide de l’utilisateur Oracle Solaris Trusted Extensions.
Si vous vous êtes connecté au serveur en tant que superutilisateur, vous pouvez l'administrer directement. Si vous vous êtes connecté au serveur en tant qu'utilisateur, vous devez assumer un rôle pour administrer le système.