Gestion de l'allocation de périphériques

L'allocation des périphériques restreint ou empêche l'accès aux périphériques. Les restrictions sont appliquées lors de l'allocation des utilisateurs. Par défaut, les utilisateurs doivent avoir l'autorisation d'accéder aux périphériques allouables.

Procédure permettant de rendre un périphérique allouable

Si vous avez déjà exécuté la commande bsmconv pour activer l'audit, l'allocation de périphériques est déjà activée sur votre système. Pour plus d'informations, reportez-vous à la page de manuel bsmconv(1M).

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil de droits Audit Control.

   Le rôle d'administrateur principal inclut le profil de droits Audit Control (Contrôle d'audit). Vous pouvez créer un rôle et lui attribuer le profil de droits Audit Control. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à l'Exemple 9-3.

2. Activation de l'allocation de périphériques

   # bsmconv
   This script is used to enable the Basic Security Module (BSM).
   Shall we continue with the conversion now? [y/n] y
   bsmconv: INFO: checking startup file.
   bsmconv: INFO: move aside /etc/rc3.d/S81volmgt.
   bsmconv: INFO: turning on audit module.
   bsmconv: INFO: initializing device allocation files.
   
   The Basic Security Module is ready.
   If there were any errors, please fix them now.
   Configure BSM by editing files located in /etc/security.
   Reboot this system now to come up with BSM enabled.

   ---

   Remarque - Le démon de gestion du volume (/etc/rc3.d/S81volmgt) est désactivé par cette commande.

   ---

Procédure d'autorisation des utilisateurs à allouer un périphérique

1. Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.

2. Créez un profil de droits contenant les commandes et l'autorisation appropriées.

   Généralement, vous créez un profil de droits qui inclut l'autorisation solaris.device.allocate. Suivez les instructions fournies à la section Procédure de création ou de modification d'un profil de droits. Donnez au profil de droits les propriétés appropriées, telles que les suivantes :

   • Nom du profil de droits : Device Allocation

   • Autorisations accordées : solaris.device.allocate

   • Commandes avec attributs de sécurité : mount avec le privilège sys_mount et umount avec le privilège sys_mount

3. Créez un rôle pour le profil de droits.

   Suivez les instructions fournies à la section Procédure de création et d'attribution d'un rôle à l'aide de l'interface graphique. Utilisez les propriétés de rôle suivantes, données à titre d'exemple :

   • Nom de rôle : devicealloc

   • Nom de rôle complet : Device Allocator

   • Description du rôle : Allocates and mounts allocated devices

   • Profil de droits : Device Allocation

     Ce profil de droits doit s'afficher en haut de la liste des profils inclus dans le rôle.

4. Affectez le rôle à tous les utilisateurs autorisés à allouer un périphérique.
5. Apprenez aux utilisateurs comment utiliser l'allocation de périphériques.

   Pour consulter des exemples d'allocation de support amovible, reportez-vous à la section Procédure d'allocation des périphériques.

   Étant donné que le démon de gestion du volume (vold) n'est pas en cours d'exécution, les supports amovibles ne sont pas montés automatiquement. Pour consulter des exemples de montage d'un périphérique alloué, reportez-vous à la section Procédure de montage d'un périphérique alloué .

Procédure d'affichage d'informations d'allocation sur un périphérique

Avant de commencer

L'allocation de périphériques doit être activée pour cette procédure s'exécute correctement. Pour activer l'allocation de périphériques, reportez-vous à la section Procédure permettant de rendre un périphérique allouable.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil de droits Device Security.

   Le rôle d'administrateur principal inclut le profil de droits Device Security (Sécurité des périphériques). Vous pouvez créer un rôle et lui attribuer le profil de droits Device Security. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à l'Exemple 9-3.

2. Affichez des informations sur les périphériques allouables sur votre système.

   # list_devices device-name

   où device-name est l'un des suivants :

   • audio[n]  : microphone et haut-parleur.

   • fd[n] : unité de disquette.

   • sr[n] : unité de CD-ROM.

   • st[n] : lecteur de bande.

Erreurs fréquentes

Si la commande list__devices renvoie un message d'erreur identique au suivant, soit l'allocation de périphériques n'est pas activée, soit vous ne disposez pas des autorisations suffisantes pour récupérer les informations.

list_devices: No device maps file entry for specified device.

Pour que la commande s'exécute correctement, activez l'allocation de périphériques et prenez un rôle bénéficiant de l'autorisation solaris.device.revoke.

Allocation forcée d'un périphérique

L'allocation forcée est utilisée lorsque quelqu'un a oublié de libérer un périphérique. L'allocation forcée peut également être utilisée lorsqu'un utilisateur a un besoin immédiat d'un périphérique.

Avant de commencer

L'utilisateur ou le rôle doit bénéficier de l'autorisation solaris.device.revoke.

1. Déterminez si vous disposez de l'autorisation appropriée dans votre rôle.

   $ auths
   solaris.device.allocate solaris.device.revoke

2. Forcez l'allocation du périphérique à l'utilisateur nécessitant le périphérique.

   Dans cet exemple, le lecteur de bande est alloué de force à l'utilisateur jdoe.

   $ allocate -U jdoe

Forcez la libération d'un périphérique

Les périphériques alloués à un utilisateur ne sont pas automatiquement libérés lorsque le processus se termine ou lorsque l'utilisateur se déconnecte. La libération forcée est utilisée lorsque quelqu'un a oublié de libérer un périphérique.

Avant de commencer

L'utilisateur ou le rôle doit bénéficier de l'autorisation solaris.device.revoke.

1. Déterminez si vous disposez de l'autorisation appropriée dans votre rôle.

   $ auths
   solaris.device.allocate solaris.device.revoke

2. Forcez la libération du périphérique.

   Dans cet exemple, la libération de l'imprimante est forcée. L'imprimante est désormais disponible pour l'allocation par un autre utilisateur.

   $ deallocate -f /dev/lp/printer-1

Procédure de modification des périphériques pouvant être alloués

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil de droits Device Security.

   Le rôle d'administrateur principal inclut le profil de droits Device Security (Sécurité des périphériques). Vous pouvez créer un rôle et lui attribuer le profil de droits Device Security. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à l'Exemple 9-3.

2. Spécifiez si l'autorisation est requise ou indiquez l'autorisation solaris.device.allocate.

   Modifiez le cinquième champ dans l'entrée de périphérique du fichier device__allocate.

   audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean
   fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean
   sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean

   où solaris.device.allocate indique qu'un utilisateur doit disposer de l'autorisation solaris.device.allocate pour utiliser le périphérique.

Exemple 4-4 Attribution de l'autorisation d'allouer un périphérique à n'importe quel utilisateur

Dans l'exemple suivant, tous les utilisateurs du système peuvent allouer tous les périphériques. Le cinquième champ de chaque entrée de périphérique dans le fichier device_allocate a été remplacé par un signe arobase (@).

$ whoami
devicesec
$ vi /etc/security/device_allocate
audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean
…

Exemple 4-5 Interdiction d'utilisation de certains périphériques

Dans l'exemple suivant, le périphérique audio ne peut pas être utilisé. Le cinquième champ de l'entrée de périphérique audio dans le fichier device_allocate a été remplacé par un astérisque (*).

$ whoami
devicesec
$ vi /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean
…

Exemple 4-6 Interdiction d'utilisation de tous les périphériques

Dans l'exemple ci-dessous, aucun périphérique ne peut être utilisé. Le cinquième champ de chaque entrée de périphérique dans le fichier device_allocate a été remplacé par un astérisque (*).

$ whoami
devicesec
$ vi /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean
…

Procédure d'audit de l'allocation de périphériques

Par défaut, les commandes d'allocation de périphériques se trouvent dans la classe d'audit other.

1. Endossez le rôle de d'administrateur principal ou connectez-vous en tant que superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.

2. Présélectionnez la classe ot pour l'audit.

   Ajoutez la classe ot à la ligne flags du fichier audit_control. Le fichier ressemble à ce qui suit :

   # audit_control file
   dir:/var/audit
   flags:lo,ot
   minfree:20
   naflags:lo

   Pour des instructions détaillées, reportez-vous à la section Modification du fichier audit_control .