Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions (tâches)
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions (tâches)
14. Gestion et montage de fichiers dans Trusted Extensions (tâches)
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
Manipulation des périphériques dans Trusted Extensions (liste des tâches)
Utilisation de périphériques dans Trusted Extensions (liste des tâches)
Gestion des périphériques dans Trusted Extensions (liste des tâches)
Procédure de configuration d'un périphérique dans Trusted Extensions
Procédure de révocation ou de récupération d'un périphérique dans Trusted Extensions
Procédure de protection des périphériques non allouables dans Trusted Extensions
Procédure d'ajout d'un script Device_Clean dans Trusted Extensions
Personnalisation des autorisations de périphériques dans Trusted Extensions (liste des tâches)
Procédure de création d'autorisations de périphériques
Procédure d'ajout d'autorisations spécifiques à un site à un périphérique dans Trusted Extensions
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions (Référence)
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
La liste des tâches ci-dessous décrit des procédures permettant de modifier les autorisations de périphériques sur votre site.
|
Si aucune autorisation n'est spécifiée lors de la création d'un périphérique, tous les utilisateurs peuvent, par défaut, utiliser le périphérique. Si une autorisation est spécifiée, seuls les utilisateurs autorisés peuvent, par défaut, utiliser le périphérique.
Pour empêcher tout accès à un périphérique allouable sans utilisation d'autorisations, reportez-vous à l'Exemple 21-1.
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.
Utilisez le nom de domaine Internet de votre organisation en ordre inverse suivi de composants quelconques facultatifs, tels que le nom de votre société. Séparez les composants par des points. Ajoutez un point après les noms d'en-tête.
domain-suffix.domain-prefix.optional.:::Company Header::help=Company.html
Ajoutez les autorisations (une autorisation par ligne). Les lignes sont fractionnées pour permettre leur affichage. Les autorisations comprennent des autorisations grant qui permettent aux administrateurs d'affecter les nouvelles autorisations.
domain-suffix.domain-prefix.grant:::Grant All Company Authorizations:: help=CompanyGrant.html domain-suffix.domain-prefix.grant.device:::Grant Company Device Authorizations:: help=CompanyGrantDevice.html domain-suffix.domain-prefix.device.allocate.tape:::Allocate Tape Device:: help=CompanyTapeAllocate.html domain-suffix.domain-prefix.device.allocate.floppy:::Allocate Floppy Device:: help=CompanyFloppyAllocate.html
Pour plus d'informations, reportez-vous à la page de manuel ldapaddent(1M).
Ajoutez les nouvelles autorisations à la liste des autorisations nécessaires dans le gestionnaire de périphériques. Pour plus d'informations sur cette procédure, reportez-vous à la section Procédure d'ajout d'autorisations spécifiques à un site à un périphérique dans Trusted Extensions.
Exemple 21-2 Création d'autorisations de périphériques détaillées
Un administrateur de sécurité de NewCo a besoin de construire des autorisations de périphériques détaillées pour la société.
Tout d'abord, l'administrateur crée les fichiers d'aide suivants et les place dans le répertoire /usr/lib/help/auths/locale/C :
Newco.html NewcoGrant.html NewcoGrantDevice.html NewcoTapeAllocate.html NewcoFloppyAllocate.html
L'administrateur ajoute ensuite un en-tête pour toutes les autorisations de newco.com dans le fichier auth_attr.
# auth_attr file com.newco.:::NewCo Header::help=Newco.html
Puis l'administrateur ajoute les entrées des autorisations au fichier :
com.newco.grant:::Grant All NewCo Authorizations:: help=NewcoGrant.html com.newco.grant.device:::Grant NewCo Device Authorizations:: help=NewcoGrantDevice.html com.newco.device.allocate.tape:::Allocate Tape Device:: help=NewcoTapeAllocate.html com.newco.device.allocate.floppy:::Allocate Floppy Device:: help=NewcoFloppyAllocate.html
Les lignes sont fractionnées pour permettre leur affichage.
Les entrées dans auth_attr créent les autorisations suivantes :
une autorisation d'accorder toutes les autorisations de NewCo ;
une autorisation d'accorder les autorisations de périphériques de NewCo ;
une autorisation d'allouer un lecteur de bande ;
une autorisation d'allouer une unité de disquette.
Exemple 21-3 Création d'autorisations de chemin de confiance et de chemin non de confiance
Par défaut, l'autorisation Allocate Devices (Allouer des périphériques) permet l'allocation de tous les périphériques depuis le chemin de confiance et depuis d'autres emplacements que le chemin de confiance.
Dans l'exemple suivant, la stratégie de sécurité du site exige la limitation de l'allocation de CD-ROM distant. L'administrateur de sécurité crée l'autorisation com.someco.device.cdrom.local. Cette autorisation concerne les unités de CD-ROM qui sont allouées via le chemin de confiance. L'autorisation com.someco.device.cdrom.remote est destinée aux rares utilisateurs autorisés à allouer des unités de CD-ROM depuis un emplacement autre que le chemin de confiance.
L'administrateur de sécurité crée les fichiers d'aide, ajoute les autorisations à la base de données auth_attr, ajoute les autorisations aux périphériques, puis place les autorisations dans des profils de droits. Les profils sont affectés aux utilisateurs autorisés à allouer des périphériques.
Entrées de la base de données auth_attr :
com.someco.:::SomeCo Header::help=Someco.html com.someco.grant:::Grant All SomeCo Authorizations:: help=SomecoGrant.html com.someco.grant.device:::Grant SomeCo Device Authorizations:: help=SomecoGrantDevice.html com.someco.device.cdrom.local:::Allocate Local CD-ROM Device:: help=SomecoCDAllocateLocal.html com.someco.device.cdrom.remote:::Allocate Remote CD-ROM Device:: help=SomecoCDAllocateRemote.html
L'assignation du gestionnaire de périphériques est présentée ci-dessous :
Le chemin de confiance permet aux utilisateurs autorisés d'utiliser le gestionnaire de périphériques lors de l'allocation de l'unité de CD-ROM locale.
Device Name: cdrom_0 For Allocations From: Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.local
Le chemin non de confiance permet aux utilisateurs d'allouer un périphérique à distance à l'aide de la commande allocate.
Device Name: cdrom_0 For Allocations From: Non-Trusted Path Allocatable By: Authorized Users Authorizations: com.someco.device.cdrom.remote
Entrées du profil de droits :
# Local Allocator profile com.someco.device.cdrom.local # Remote Allocator profile com.someco.device.cdrom.remote
Profils de droits des utilisateurs autorisés :
# List of profiles for regular authorized user Local Allocator Profile ... # List of profiles for role or authorized user Remote Allocator Profile ...
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité ou dans un rôle qui inclut l'autorisation Configure Device Attributes (Configurer les attributs des périphériques). Vous devez avoir créé des autorisations spécifiques à un site, comme décrit à la section Procédure de création d'autorisations de périphériques.
Les nouvelles autorisations s'affichent dans la liste Not Required (Non requis).
L'autorisation Allocate Device (Allouer un périphérique) permet aux utilisateurs d'allouer un périphérique. Les autorisations Allocate Device et Revoke or Reclaim Device (Révoquer ou récupérer un périphérique) sont appropriées pour les rôles d'administration.
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.
Si les profils existants ne sont pas appropriés, l'administrateur de sécurité peut créer un nouveau profil. Pour obtenir un exemple, reportez-vous à la section Procédure de création d'un profil de droits pour des autorisations commodes.
Pour la procédure étape par étape, reportez-vous à la section Procédure de modification des propriétés RBAC d’un utilisateur du manuel Administration d’Oracle Solaris : services de sécurité.
Les profils de droits suivants permettent à un rôle d'allouer des périphériques :
All Authorizations (Toutes les autorisations) ;
Device Management (Gestion des périphériques) ;
Media Backup (Sauvegarde des médias) ;
Media Restore (Restauration des médias) ;
Object Label Management (Gestion de l'étiquette des objets) ;
Software Installation (Installation de logiciels).
Les profils de droits suivants permettent à un rôle de révoquer ou récupérer des périphériques :
All Authorizations (Toutes les autorisations) ;
Device Management (Gestion des périphériques) ;
Les profils de droits suivants permettent à un rôle de créer ou de configurer des périphériques :
All Authorizations (Toutes les autorisations) ;
Device Security (Sécurité des périphériques).
Exemple 21-4 Affectation de nouvelles autorisations de périphériques
Dans cet exemple, l'administrateur de sécurité configure les nouvelles autorisations de périphériques pour le système et affecte le profil de droits incluant les nouvelles autorisations à des utilisateurs dignes de confiance. L'administrateur de sécurité effectue les opérations suivantes :
Il crée de nouvelles autorisations de périphériques, comme décrit à la section Procédure de création d'autorisations de périphériques.
Dans le gestionnaire de périphériques (Device Manager), il ajoute les nouvelles autorisations de périphérique aux unités de bande et de disquette.
Il place les nouvelles autorisations dans le profil de droits NewCo Allocation.
Il ajoute le profil de droits NewCo Allocation aux profils des utilisateurs et des rôles qui sont autorisés à allouer des lecteurs de bande et des unités de disquette.
Les utilisateurs et les rôles autorisés peuvent maintenant utiliser les lecteurs de bande et les unités de disquette sur ce système.