Gestion de l'allocation de périphériques (tâches)

L'allocation des périphériques restreint ou empêche l'accès aux périphériques. Les restrictions sont appliquées lors de l'allocation des utilisateurs. Par défaut, les utilisateurs doivent avoir l'autorisation d'accéder aux périphériques allouables.

Gestion de l'allocation des périphériques (liste des tâches)

La liste des tâches suivante présente les procédures permettant d'activer et de configurer l'allocation de périphériques. L'allocation de périphériques n'est pas activée par défaut. Une fois l'allocation de périphériques activée, reportez-vous à la section Allocation de périphériques (tâches) pour obtenir les instructions relatives à l'allocation des périphériques.

Procédure d'activation de l'allocation de périphériques

Avant de commencer

Le profil de droits Device Security (sécurité des périphériques) doit vous avoir été attribué.

1. Endossez le rôle d'administrateur et dotez-vous des attributs de sécurité nécessaires.

   Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.

2. Activez le service d'allocation de périphériques et vérifiez qu'il est bien activé.

   # svcadm enable svc:/system/device/allocate
   # svcs -x allocate
   svc:/system/device/allocate:default (device allocation)
    State: online since September 10, 2011 01:10:11 PM PDT
      See: allocate(1)
      See: deallocate(1)
      See: list_devices(1)
      See: device_allocate(1M)
      See: mkdevalloc(1M)
      See: mkdevmaps(1M)
      See: dminfo(1M)
      See: device_maps(4)
      See: /var/svc/log/system-device-allocate:default.log
   Impact: None.

   Pour désactiver le service d'allocation de périphériques, exécutez la sous-commande disable.

   # svcadm disable device/allocate

Procédure d'autorisation des utilisateurs à allouer un périphérique

Avant de commencer

Le profil de droits User Security (sécurité des utilisateurs) doit vous avoir été attribué.

1. Endossez le rôle d'administrateur et dotez-vous des attributs de sécurité nécessaires.

   Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.

2. Créez un profil de droits contenant les commandes et l'autorisation appropriées.

   Généralement, vous créez un profil de droits qui inclut l'autorisation solaris.device.allocate. Suivez les instructions fournies à la section Procédure de création ou de modification d'un profil de droits. Donnez au profil de droits les propriétés appropriées, telles que les suivantes :

   • Nom du profil de droits : Device Allocation

   • Autorisations accordées : solaris.device.allocate

   • Commandes avec attributs de sécurité : dans la base de données exec_attr, mount avec le privilège sys_mount et umount avec le privilège sys_mount

3. Créez un rôle pour le profil de droits.

   Suivez les instructions fournies à la section Procédure de création d'un rôle. Utilisez les propriétés de rôle suivantes, données à titre d'exemple :

   • Nom de rôle : devicealloc

   • Nom de rôle complet : Device Allocator

   • Description du rôle : Allocates and mounts allocated devices

   • Profil de droits : Device Allocation

     Ce profil de droits doit figurer en tête de la liste des profils inclus dans le rôle.

4. Affectez le rôle à tous les utilisateurs autorisés à allouer un périphérique.
5. Apprenez aux utilisateurs comment utiliser l'allocation de périphériques.

   Pour consulter des exemples d'allocation de média amovible, reportez-vous à la section Procédure d'allocation des périphériques.

Procédure d'affichage d'informations d'allocation sur un périphérique

Avant de commencer

Vous avez terminé Procédure d'activation de l'allocation de périphériques.

Le profil de droits Device Security (sécurité des périphériques) doit vous avoir été attribué.

1. Endossez le rôle d'administrateur et dotez-vous des attributs de sécurité nécessaires.

   Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.

2. Affichez des informations sur les périphériques allouables sur votre système.

   # list_devices device-name

   où device-name est l'un des suivants :

   • audio[n] : microphone et haut-parleur.

   • fd[n] : unité de disquette.

   • rmdisk[n] : périphérique de média amovible.

   • sr[n] : unité de CD-ROM.

   • st[n] : lecteur de bande.

Erreurs fréquentes

Si la commande list__devices renvoie un message d'erreur identique au suivant, soit l'allocation de périphériques n'est pas activée, soit vous ne disposez pas des autorisations suffisantes pour récupérer les informations.

list_devices: No device maps file entry for specified device.

Pour que la commande s'exécute correctement, activez l'allocation de périphériques et prenez un rôle bénéficiant de l'autorisation solaris.device.revoke.

Allocation forcée d'un périphérique

L'allocation forcée est utilisée lorsque quelqu'un a oublié de libérer un périphérique. L'allocation forcée peut également être utilisée lorsqu'un utilisateur a un besoin immédiat d'un périphérique.

Avant de commencer

L'autorisation solaris.device.revoke doit vous avoir été attribuée.

1. Déterminez si vous disposez de l'autorisation appropriée dans votre rôle.

   $ auths
   solaris.device.allocate solaris.device.revoke

2. Forcez l'allocation du périphérique à l'utilisateur nécessitant le périphérique.

   Dans cet exemple, le lecteur de bande est alloué de force à l'utilisateur jdoe.

   $ allocate -U jdoe

Libération forcée d'un périphérique

Les périphériques alloués à un utilisateur ne sont pas automatiquement libérés lorsque le processus se termine ou lorsque l'utilisateur se déconnecte. La libération forcée est utilisée lorsque quelqu'un a oublié de libérer un périphérique.

Avant de commencer

L'autorisation solaris.device.revoke doit vous avoir été attribuée.

1. Déterminez si vous disposez de l'autorisation appropriée dans votre rôle.

   $ auths
   solaris.device.allocate solaris.device.revoke

2. Forcez la libération du périphérique.

   Dans cet exemple, la libération de l'imprimante est forcée. L'imprimante est désormais disponible pour l'allocation par un autre utilisateur.

   $ deallocate -f /dev/lp/printer-1

Procédure de modification des périphériques pouvant être alloués

Avant de commencer

L'allocation de périphériques doit être activée pour cette procédure s'exécute correctement. Pour activer l'allocation de périphériques, reportez-vous à la section Procédure d'activation de l'allocation de périphériques. Vous devez être connecté en tant que superutilisateur.

• Spécifiez si l'autorisation est requise ou indiquez l'autorisation solaris.device.allocate.

  Modifiez le cinquième champ dans l'entrée de périphérique du fichier device__allocate.

  audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean
  fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean
  sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean

  où solaris.device.allocate indique qu'un utilisateur doit disposer de l'autorisation solaris.device.allocate pour utiliser le périphérique.

Exemple 5-4 Attribution de l'autorisation d'allouer un périphérique à n'importe quel utilisateur

Dans l'exemple suivant, tous les utilisateurs du système peuvent allouer tous les périphériques. Le cinquième champ de chaque entrée de périphérique dans le fichier device_allocate a été remplacé par un signe arobase (@).

# vi /etc/security/device_allocate
audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean
…

Exemple 5-5 Interdiction d'utilisation de certains périphériques

Dans l'exemple suivant, le périphérique audio ne peut pas être utilisé. Le cinquième champ de l'entrée de périphérique audio dans le fichier device_allocate a été remplacé par un astérisque (*).

# vi /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean
…

Exemple 5-6 Interdiction d'utilisation de tous les périphériques

Dans l'exemple ci-dessous, aucun périphérique ne peut être utilisé. Le cinquième champ de chaque entrée de périphérique dans le fichier device_allocate a été remplacé par un astérisque (*).

# vi /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean
…

Procédure d'audit de l'allocation de périphériques

Par défaut, les commandes d'allocation de périphériques se trouvent dans la classe d'audit other.

Avant de commencer

Le profil de droits Audit Configuration (configuration d'audit) doit vous avoir été attribué.

1. Endossez le rôle d'administrateur et dotez-vous des attributs de sécurité nécessaires.

   Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.

2. Présélectionnez la classe d'audit ot.

   # auditconfig -getflags
   current-flags
   # auditconfig -setflags current-flags,ot

   Pour des instructions détaillées, reportez-vous à la section Procédure de présélection des classes d'audit.