Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide de configuration d’Oracle Solaris Trusted Extensions |
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout du logiciel Trusted Extensions au SE Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
Configuration de la zone globale dans Trusted Extensions
Vérification et installation du fichier de votre fichier label_encodings
Activation du réseau IPv6 dans Trusted Extensions
Configuration du domaine d'interprétation
Création d'un pool ZFS pour le clonage des zones
Redémarrage et connexion à Trusted Extensions
Initialisation du serveur Console de gestion Solaris dans Trusted Extensions
Établissement de la zone globale en tant que client LDAP dans Trusted Extensions
Configuration des interfaces réseau dans Trusted Extensions
Attribution de nom et étiquetage de la zone
Installation de la zone étiquetée
Démarrage de la zone étiquetée
Vérification de l'état de la zone
Personnalisation de la zone étiquetée
Copie ou clonage d'une zone dans Trusted Extensions
Ajout d'interfaces réseau et acheminement vers les zones étiquetées
Ajout d'une interface réseau pour acheminer une zone étiquetée existante
Configuration d'un cache de service de noms dans chaque zone étiquetée
Création de rôles et d'utilisateurs dans Trusted Extensions
Création de profils de droits permettant d'appliquer la séparation des tâches
Création du rôle d'administrateur de sécurité dans Trusted Extensions
Création d'un rôle d'administrateur système limité
Création d'utilisateurs pouvant assumer des rôles dans Trusted Extensions
Vérification du fonctionnement des rôles Trusted Extensions
Autorisation des utilisateurs à se connecter à une zone étiquetée
Création de répertoires personnels dans Trusted Extensions
Création du serveur d'annuaires personnel dans Trusted Extensions
Activation de l'accès des utilisateurs à leurs répertoires personnels dans Trusted Extensions
Ajout d'utilisateurs et d'hôtes à un réseau Trusted Network existant
Ajout d'un utilisateur NIS au serveur LDAP
Dépannage de votre configuration Trusted Extensions
La commande netservices limited a été exécutée après l'activation de Trusted Extensions
Impossible d'ouvrir la fenêtre de console dans une zone étiquetée
Tâches de configuration supplémentaires de Trusted Extensions
Copie de fichiers sur un support amovible dans Trusted Extensions
Copie de fichiers dans Trusted Extensions à partir d'un support amovible
Suppression de Trusted Extensions du système
5. Configuration de LDAP pour Trusted Extensions (tâches)
6. Configuration d'un écouteur avec Trusted Extensions (tâches)
A. Stratégie de sécurité du site
B. Utilisation d'actions CDE pour installer des zones dans Trusted Extensions
C. Liste de contrôle de configuration pour Trusted Extensions
Dans Trusted Extensions, les zones étiquetées communiquent avec le serveur X par l'intermédiaire de la zone globale. Par conséquent, les zones étiquetées doivent disposer de routes utilisables vers la zone globale. En outre, les options sélectionnées au cours d'une installation Solaris peuvent empêcher Trusted Extensions d'utiliser les interfaces vers la zone globale.
Au lieu d'exécuter la commande netservices limited avant d'activer Trusted Extensions, vous avez exécuté la commande dans la zone globale par la suite. Par conséquent, les zones étiquetées ne parviennent pas à se connecter au serveur X dans la zone globale.
Exécutez les commandes suivantes pour ouvrir les services dont Trusted Extensions a besoin pour communiquer entre les zones :
# svccfg -s x11-server setprop options/tcp_listen = true # svcadm enable svc:/network/rpc/rstat:default
Lorsque vous essayez d'ouvrir une fenêtre de console dans une zone étiquetée, l'erreur suivante s'affiche dans une boîte de dialogue :
Action:DttermConsole,*,*,*,0 [Error] Action not authorized.
Vérifiez que les deux lignes ci-après sont présentes dans chaque entrée de la zone dans le fichier /etc/security/exec_attr :
All Actions:solaris:act:::*;*;*;*;*: All:solaris:act:::*;*;*;*;*:
Si elles n'y sont pas, le package Trusted Extensions qui ajoute ces entrées n'a pas été installé dans les zones étiquetées. Dans ce cas, recréez les zones étiquetées. Pour plus d'informations sur cette procédure, reportez-vous à la section Création de zones étiquetées.
Si une zone étiquetée ne peut accéder au serveur X, des messages tels que les suivants s'affichent :
Action failed. Reconnect to Solaris Zone?
No route available
Cannot reach globalzone-hostname :0
Les zones étiquetées peuvent ne pas être en mesure d'accéder au serveur X pour l'une des raisons suivantes :
La zone n'est pas initialisée et attend que le processus sysidcfg s'achève.
Le nom d'hôte de la zone étiquetée n'est pas reconnu par le service de nommage qui s'exécute dans la zone globale.
Aucune interface n'est spécifiée comme all-zones.
L'interface réseau de la zone étiquetée est en panne.
La recherche de nom LDAP a échoué.
Les montages NFS ne fonctionnent pas.
Effectuez les opérations suivantes :
Connectez-vous à la zone.
Vous pouvez utiliser la commande zlogin ou l'action Zone Terminal Console (Console de terminal de zone).
# zlogin -z zone-name
Si vous ne pouvez pas vous connecter en tant que superutilisateur, utilisez la commande zlogin -S pour contourner l'authentification.
Vérifiez que la zone est en cours d'exécution.
# zoneadm list
Si une zone a un statut running, elle exécute au moins un processus.
Résolvez tout problème empêchant les zones étiquetées d'accéder au serveur X.
Initialisez la zone en exécutant le processus sysidcfg.
Exécutez le programme sysidcfg de manière interactive. Répondez aux invites dans la console de terminal de zone ou dans la fenêtre de terminal dans laquelle vous avez exécuté la commande zlogin.
Pour exécuter le processus sysidcfg de manière non interactive, vous pouvez effectuer l'une des opérations suivantes :
Spécifiez l'option Initialize (Initialiser) pour le script /usr/sbin/txzonemgr.
L'option Initialize (Initialiser) vous permet de fournir des valeurs par défaut aux questions sysidcfg.
Écrivez votre propre script sysidcfg.
Pour plus d'informations, reportez-vous à la page de manuel sysidcfg(4).
Vérifiez que le serveur X est disponible pour la zone.
Connectez-vous à la zone étiquetée. Définissez la variable DISPLAY de sorte qu'elle pointe vers le serveur X, puis ouvrez une fenêtre.
# DISPLAY=global-zone-hostname:n.n # export DISPLAY # /usr/openwin/bin/xclock
Si aucune fenêtre étiquetée n'apparaît, le réseau de la zone n'a pas été correctement configuré pour cette zone étiquetée.
Remarque - Si vous exécutez une version ultérieure à la version Solaris 10 5/09 de Trusted CDE, reportez-vous à la section Résolution de l'acheminement zone locale-zone globale dans Trusted CDE.
Configurez le nom d'hôte de la zone avec le service de nommage.
Le fichier /etc/hosts local de la zone n'est pas utilisé. Au lieu de cela, les informations équivalentes doivent être spécifiées dans la zone globale ou sur le serveur LDAP. Ces informations doivent inclure l'adresse IP du nom de l'hôte affecté à la zone.
Aucune interface n'est spécifiée comme all-zones.
À moins que toutes les zones aient des adresses IP sur le même sous-réseau que la zone globale, il peut être nécessaire de configurer une interface all-zones (partagée). Cette configuration permet la connexion d'une zone étiquetée au serveur X de la zone globale. Si vous souhaitez limiter les connexions à distance au serveur X de la zone globale, vous pouvez utilisez vni0 comme adresse all-zones.
Si vous ne souhaitez pas configurer d'interface all-zones, vous devez fournir une route au serveur X de la zone globale pour chaque zone. Ces routes doivent être configurées dans la zone globale.
L'interface réseau de la zone étiquetée est en panne.
# ifconfig -a
Utilisez la commande ifconfig pour vérifier que l'interface réseau de la zone étiquetée est à la fois UP et RUNNING.
La recherche de nom LDAP a échoué.
Utilisez la commande ldaplist pour vérifier que chaque zone peut communiquer avec le serveur LDAP ou le serveur proxy LDAP. Sur le serveur LDAP, vérifiez que la zone est répertoriée dans la base de données tnrhdb.
Les montages NFS ne fonctionnent pas.
En tant que superutilisateur, redémarrez automount dans la zone ou ajoutez une entrée crontab pour exécuter la commande automount toutes les cinq minutes.