Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions (tâches)
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
Administration à distance dans Trusted Extensions
Méthodes d'administration de systèmes distants dans Trusted Extensions
Configuration et administration à distance de systèmes dans Trusted Extensions (liste des tâches)
Activation de l'administration à distance sur un système Trusted Extensions distant
Procédure de configuration d'un système Trusted Extensions à l'aide de Xvnc pour un accès à distance
Procédure de connexion et d'administration d'un système Trusted Extensions distant
13. Gestion des zones dans Trusted Extensions (tâches)
14. Gestion et montage de fichiers dans Trusted Extensions (tâches)
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions (Référence)
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Après l'activation de l'administration à distance et avant la réinitialisation du système distant sur Trusted Extensions, vous pouvez configurer le système à l'aide de la technologie VNC ou du protocole ssh.
|
Remarque - Consultez votre stratégie de sécurité pour déterminer les méthodes d'administration à distance possibles sur votre site.
Dans cette procédure, vous autorisez l'authentification basée sur des hôtes sur un système distant Oracle Solaris avant d'y ajouter la fonction Trusted Extensions. Le système distant est le serveur ssh.
Avant de commencer
Le système distant est installé avec Oracle Solaris, et vous pouvez accéder à ce système.
Pour connaître la procédure, reportez-vous à la section Procédure de configuration de l’authentification basée sur l’hôte pour Secure Shell du manuel Administration d’Oracle Solaris : services de sécurité.
Remarque - N'utilisez pas la commande cat. Copiez et collez la clé publique via une connexion ssh. Si votre client ssh n'est pas un système Oracle Solaris, suivez les instructions de votre plate-forme permettant de configurer un client ssh avec l'authentification basée sur des hôtes.
Une fois cette étape terminée, vous disposez d'un compte d'utilisateur sur les deux systèmes qui est habilité à assumer le rôle root. Les comptes reçoivent un UID, un GID et une assignation de rôle identiques. Vous avez également généré des paires de clé publique ou privée et partagé des clés publiques.
# vi /etc/ssh/sshd_config ## Permit remote login by root PermitRootLogin yes
Une étape ultérieure limite la connexion de root à un système et un utilisateur particulier.
Remarque - Étant donné que·l'administrateur assumera le rôle root, vous n'avez pas besoin d'assouplir la stratégie de connexion qui empêche la connexion à distance de root.
# svcadm restart ssh
# cd # vi .shosts client-host username
Le fichier .shosts autorise username du système client-host à assumer le rôle root sur le serveur, lorsque une clé publique ou privée est partagée.
# vi /etc/pam.conf ... # Default definition for Account management # Used when service name is not explicitly mentioned for account management # # other account requisite pam_roles.so.1 # Enable remote role assumption other account requisite pam_roles.so.1 allow_remote ...
Cette stratégie autorise username du système client-host à assumer un rôle sur le serveur.
# vi /etc/pam.conf # Default definition for Account management # Used when service name is not explicitly mentioned for account management # # other account requisite pam_roles.so.1 # Enable remote role assumption other account requisite pam_roles.so.1 allow_remote # other account required pam_unix_account.so.1 # other account required pam_tsol_account.so.1 # Enable unlabeled access to TX system other account required pam_tsol_account.so.1 allow_unlabeled
# cp /etc/pam.conf /etc/pam.conf.site
% ssh -l root remote-system
# svcadm enable -s labeld # /usr/sbin/reboot
Exemple 12-1 Affectation d'un type d'hôte CIPSO pour l'administration à distance
Dans cet exemple, l'administrateur utilise un système Trusted Extensions pour configurer un hôte Trusted Extensions distant. Pour ce faire, l'administrateur utilise la commande tncfg sur chaque système distant pour définir le type d'hôte du système homologue.
remote-system # tncfg -t cipso add host=192.168.1.12 Client-host
client-host # tncfg -t cipso add host=192.168.1.22 Remote system
Étant donné qu'un système sans étiquette peut également configurer l'hôte Trusted Extensions distant, l'administrateur conserve l'option allow_unlabeled dans le fichier pam.conf de l'hôte distant.
Erreurs fréquentes
Lorsque l'administrateur effectue une mise à niveau vers une nouvelle version du SE Oracle Solaris, aucun nouveau fichier pam.conf n'est installé. Pour une description de l'action du fichier preserve=true sur la mise à niveau, reportez-vous à la page de manuel pkg(5).
La technologie VNC (Virtual Network Computing) connecte un client à un serveur distant et affiche le bureau du serveur distant dans une fenêtre sur le client. Xvnc est la version UNIX de VNC, laquelle est basée sur un serveur X standard. Dans Trusted Extensions, les clients de n'importe quelle plate-forme peuvent se connecter à un serveur Xvnc exécutant Trusted Extensions accéder au serveur Xvnc, puis visualiser et travailler dans un bureau multiniveau.
Pour plus d'informations, reportez-vous aux pages de manuel Xvnc(1) et vncconfig(1).
Avant de commencer
Vous avez installé et configuré Trusted Extensions sur ce système qui sera utilisé en tant que serveur Xvnc. La zone globale de ce système possède une adresse IP fixe, c'est-à-dire qu'elle n'utilise pas le profil de configuration du réseau automatique, comme décrit dans la page de manuel netcfg(1M).
Ce système reconnaît les clients VNC par nom d'hôte ou par adresse IP. Plus précisément, le modèle de sécurité admin_low identifie explicitement ou à l'aide d'un caractère générique les systèmes susceptibles d'être des clients VNC de ce serveur. Pour plus d'informations sur la configuration de la connexion sécurisée, reportez-vous à la section Procédure de limitation des hôtes pouvant être contactés sur le réseau de confiance.
Si une session GNOME est en cours d'exécution sur la console du futur serveur Xvnc de Trusted Extensions, l'option Desktop Sharing (Partage du bureau) n'est pas activée.
Vous endossez le rôle root dans la zone globale du futur serveur Xvnc de Trusted Extensions.
# packagemanager &
Dans l'interface graphique du gestionnaire de packages, (Package Manager) recherchez les" vnc" et choisissez parmi les serveurs disponibles. Une première option est le logiciel du serveur TigerVNC X11/VNC.
Modifiez le fichier de configuration personnalisée GNOME Display Manager (gdm). Dans le fichier /etc/gdm/custom.conf , saisissez Enable=true sous le titre [xdmcp],
[xdmcp] Enable=true
DISPLAY=unix:$(echo $DISPLAY|sed -e s/::ffff://|cut -d: -f2)
## /usr/X11/lib/X11/xserver/TrustedExtensionsPolicy file #extension XTEST extension XTEST
# svcadm enable xvnc-inetd
# svcadm restart gdm
Attendez environ une minute que le gestionnaire de bureau redémarre. Il est ensuite possible pour un client VNC de se connecter.
# svcs | grep vnc
Pour le système client, vous disposez d'un choix de logiciels. Vous pouvez utiliser le logiciel VNC à partir du référentiel Oracle Solaris.
% /usr/bin/vncviewer Xvnc-server-hostname
Pour les options de commande, reportez-vous à la page de manuel vncviewer(1).
Poursuivez la procédure de connexion. Pour une description des étapes restantes, reportez-vous à la section Connexion à Trusted Extensions du manuel Guide de l’utilisateur Oracle Solaris Trusted Extensions.
Cette procédure vous permet d'utiliser la ligne de commande et l'interface graphique txzonemgr permettant d'administrer un système Trusted Extensions distant.
Avant de commencer
L'utilisateur, le rôle et l'assignation de rôles sont définis de façon identique dans les systèmes locaux et distants, comme décrit dans la section Activation de l'administration à distance sur un système Trusted Extensions distant.
desktop $ xhost + remote-sys
Utilisez la commande ssh pour vous connecter.
desktop $ ssh -X -l identical-username remote-sys Password: Type the user's password remote-sys $
L'option -X permet d'afficher les interfaces graphiques.
Par exemple, assumez le rôle root.
remote-sys $ su - root Password: Type the root password
Vous êtes à présent dans la zone globale. Vous pouvez maintenant utiliser cette fenêtre de terminal pour administrer le système distant à partir de la ligne de commande. Les interfaces graphiques s'affichent sur votre écran. Voir l'Exemple 12-2.
Exemple 12-2 Configuration des zones étiquetées sur un système distant
Dans cet exemple, l'administrateur utilise l'interface graphique txzonemgr pour configurer des zones étiquetées sur un système distant étiqueté à partir d'un système de bureau étiqueté. Comme dans Oracle Solaris, l'administrateur autorise le serveur X à accéder au système du bureau à l'aide de l'option -X de la commande ssh. L'utilisateur jandoe est défini à l'identique sur les deux systèmes et peut assumer le rôle remoterole.
TXdesk1 $ xhost + TXnohead4
TXdesk1 $ ssh -X -l jandoe TXnohead4 Password: Ins1PwD1 TXnohead4 $
Pour atteindre la zone globale, l'administrateur utilise le compte jandoe afin d'assumer le rôle remoterole. Ce rôle est défini à l'identique sur les deux systèmes.
TXnohead4 # su - remoterole Password: abcd1EFG
Dans le même terminal, l'administrateur dans le rôle remoterole démarre l'interface graphique txzonemgr.
TXnohead4 $ /usr/sbin/txzonemgr &
Le gestionnaire de zones étiquetées (Labeled Zone Manager) s'exécute sur le système distant et s'affiche sur le système local.
Exemple 12-3 Connexion à une zone étiquetée distante
L'administrateur souhaite modifier un fichier de configuration sur un système distant sous l'étiquette PUBLIC.
L'administrateur dispose de deux options.
Soit il se connecte à distance à la zone globale, affiche la zone globale distante, modifie l'étiquette PUBLIC, puis ouvre une fenêtre de terminal et modifie le fichier.
Soit il se connecte à la zone PUBLIC à l'aide de la commande ssh à partir d'une fenêtre de terminal PUBLIC, puis modifie le fichier.
Notez que si le système distant exécute un démon de service de nommage (nscd) pour toutes les zones, et si le système distant utilise le service de nommage de fichiers; le mot de passe de la zone distante est le mot de passe qui était en vigueur lors de la dernière réinitialisation de la zone. Si le mot de passe pour la zone PUBLIC distante a été modifié et si la zone n'a pas été réinitialisée après la modification, le mot de passe d'origine permet l'accès.
Erreurs fréquentes
Si l'option -X ne fonctionne pas, l'installation d'un package peut être nécessaire. Le transfert X11 est désactivé lorsque le binaire xauth n'est pas installé. La commande suivante permet de charger le fichier binaire : pkg install pkg:/x11/session/xauth.