Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Profil de droits de l'administrateur principal
Profil de droits de l'administrateur système
Profil de droits de l'opérateur
Profil de droits de gestion d'imprimantes
Profil de droits de l'utilisateur Solaris de base
Affichage du contenu des profils de droits
Délégation et nommage des autorisations
Conventions de nommage des autorisations
Bases de données prenant en charge RBAC
Relations avec la base de données RBAC
Bases de données RBAC et services de nommage
Commandes pour la gestion de RBAC
Commandes nécessitant des autorisations
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Une autorisation RBAC est un droit discret qui peut être accordé à un rôle ou à un utilisateur. Les autorisations sont vérifiées par les applications conformes aux normes RBAC avant qu'un utilisateur n'ait accès à l'application ou aux opérations spécifiques au sein de l'application. Cette vérification remplace les tests dans les applications UNIX conventionnelles pour UID=0.
Une autorisation a un nom qui est utilisé en interne et dans des fichiers. Par exemple, solaris.admin.usermgr.pswd est le nom d'une autorisation. Une autorisation est accompagnée d'une description courte, qui s'affiche dans les interfaces graphiques. Par exemple, Change Passwords est la description de l'autorisation solaris.admin.usermgr.pswd.
Par convention, les noms d'autorisations sont construits dans l'ordre inverse suivant : nom du fournisseur Internet, partie de l'objet, toutes sous-parties et fonction. Les parties du nom d'autorisation sont séparées par des points. Un exemple serait com.xyzcorp.device.access. Les exceptions à cette convention sont les autorisations de Sun Microsystems, Inc., qui utilisent le préfixe solaris au lieu d'un nom Internet. La convention de nommage permet aux administrateurs d'appliquer des autorisations de manière hiérarchique. Un caractère générique (*) peut représenter des chaînes à droite d'un point.
Exemple d'utilisation des autorisations : un utilisateur dans le rôle d'opérateur peut être limité à l'autorisation solaris.admin.usermgr.read qui fournit un accès en lecture, mais non en écriture aux fichiers de configuration utilisateur. Le rôle d'administrateur système dispose naturellement des autorisations solaris.admin.usermgr.read et solaris.admin.usermgr.write lui permettant d'apporter des modifications aux fichiers utilisateur. Toutefois, sans l'autorisation solaris.admin.usermgr.pswd, l'administrateur système ne peut pas changer les mots de passe. L'administrateur principal possède ces trois autorisations.
L'autorisation solaris.admin.usermgr.pswd est nécessaire pour effectuer des modifications de mot de passe dans l'outil utilisateur de la console de gestion Solaris. Cette autorisation est également requise pour l'utilisation des options de modification de mot de passe dans les commandes smuser, smmultiuser et smrole.
Une autorisation se terminant par le suffixe grant permet à un utilisateur ou à un rôle de déléguer à d'autres utilisateurs des autorisations attribuées commençant par le même préfixe.
Par exemple, un rôle avec les autorisations solaris.admin.usermgr.grant et solaris.admin.usermgr.read peut déléguer l'autorisation solaris.admin.usermgr.read à un autre utilisateur. Un rôle avec les autorisations solaris.admin.usermgr.grant et solaris.admin.usermgr.* peut déléguer toutes les autorisations portant le préfixe solaris.admin.usermgr à d'autres utilisateurs.