Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions (tâches)
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions (tâches)
14. Gestion et montage de fichiers dans Trusted Extensions (tâches)
Partage et montage de fichiers dans Trusted Extensions
Montages NFS dans Trusted Extensions
Partage de fichiers à partir d'une zone étiquetée
Accès aux systèmes de fichiers montés NFS dans Trusted Extensions
Création de répertoires personnels dans Trusted Extensions
Modifications apportées à l'automonteur dans Trusted Extensions
Logiciel Trusted Extensions et versions du protocole NFS
Montage des jeux de données ZFS étiquetés
Sauvegarde, partage et montage de fichiers étiquetés (liste des tâches)
Procédure de sauvegarde de fichiers dans Trusted Extensions
Procédure de restauration de fichiers dans Trusted Extensions
Procédure de partage de systèmes de fichiers à partir d'une zone étiquetée
Procédure de montage NFS de fichiers dans une zone étiquetée
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions (Référence)
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
La liste des tâches ci-dessous décrit les tâches courantes permettant d'effectuer la sauvegarde et la restauration de données de systèmes de fichiers étiquetés et de partager et monter des systèmes de fichiers étiquetés.
|
Avant de commencer
Le profil de droits Media Backup doit vous être attribué. Vous vous trouvez dans la zone globale.
Attention - Seules les commandes suivantes préservent les étiquettes. |
/usr/lib/fs/ufs/ufsdump pour les sauvegardes importantes
/usr/sbin/tar cT pour les petites sauvegardes
Un script appelant l'une ou l'autre de ces commandes
Reportez-vous à la page de manuel ufsdump(1M). Pour plus d'informations sur l'option T de la commande tar, reportez-vous à la page de manuel tar(1).
Avant de commencer
Vous êtes dans le rôle root dans la zone globale.
Attention - Seules les commandes suivantes préservent les étiquettes. |
/usr/lib/fs/ufs/ufsrestore pour les restaurations importantes
/usr/sbin/tar xT pour les petites restaurations
Pour plus d'informations sur l'option T de la commande tar, reportez-vous à la page de manuel tar(1).
Pour monter ou partager des répertoires qui trouvent leur origine dans les zones étiquetées, définissez les propriétés du partage ZFS appropriées dans le système de fichiers, puis redémarrez la zone afin de partager les répertoires étiquetés.
Attention - N'utilisez pas de noms propriétaires pour les systèmes de fichiers partagés. Les noms des systèmes de fichiers partagés sont visibles pour tous les utilisateurs. |
Avant de commencer
Vous devez disposer du profil de droits ZFS File System Management.
Pour plus d'informations, reportez-vous à la section Procédure d’ajout d’un espace de travail sous votre étiquette minimale du manuel Guide de l’utilisateur Oracle Solaris Trusted Extensions.
# zfs create rpool/wdocs1
Par exemple, le jeu de commandes ci-après partage un système de fichiers de documentation pour les auteurs. Le système de fichiers est partagé en lecture-écriture de sorte que les auteurs puissent modifier leurs documents sur ce serveur. Les programmes setuid sont interdits.
# zfs set share=name=wdocs1,path=/wdocs1,prot=nfs,setuid=off, exec=off,devices=off rpool/wdocs1 # zfs set sharenfs=on rpool/wdocs1
La ligne de commande est renvoyée à des fins d'affichage.
Dans la zone globale, exécutez l'une des commandes suivantes pour chaque zone. Chaque zone peut partager ses systèmes de fichiers de l'une des façons suivantes : Le partage devient effectif lorsque chaque zone passe à l'état ready (prêt) ou running (en cours d'exécution).
# zoneadm -z zone-name ready
# zoneadm -z zone-name boot
# zoneadm -z zone-name reboot
Dans le rôle root de la zone globale, exécutez la commande suivante :
# zfs get all rpool
Pour plus d'informations, reportez-vous à la section Envoi de requêtes sur les informations des systèmes de fichiers ZFS du manuel Administration d’Oracle Solaris : Systèmes de fichiers ZFS
Exemple 14-1 Partage du système de fichiers /export/share sous l'étiquette PUBLIC
Pour les applications qui s'exécutent sous l'étiquette PUBLIC, l'administrateur système autorise les utilisateurs à lire la documentation se trouvant dans le système de fichiers /export/reference de la zone public..
Tout d'abord, l'administrateur modifie l'étiquette de l'espace de travail sur espace de travail public, puis ouvre une fenêtre de terminal. Dans la fenêtre, l'administrateur définit les propriétés share sélectionnées sur le système de fichiers /reference. La commande suivante est renvoyée à des fins d'affichage.
# zfs set share=name=reference,path=/reference,prot=nfs, setuid=off,exec=off,devices=off,rdonly=on rpool/wdocs1
L'administrateur partage ensuite le système de fichiers.
# zfs set sharenfs=on rpool/reference
L'administrateur quitte l'espace de travail public et retourne dans l'espace de travail Trusted Path (Chemin de confiance). Étant donné que les utilisateurs ne sont pas autorisés à se connecter à ce serveur de fichiers, l'administrateur partage le système de fichiers en modifiant l'état de la zone sur prêt :
# zoneadm -z public ready
Les utilisateurs peuvent accéder au système de fichiers partagé une fois que celui-ci est monté sur les systèmes des utilisateurs.
Dans Trusted Extensions, une zone étiquetée gère le montage de fichiers dans sa zone. Les systèmes de fichiers provenant d'hôtes étiquetés et sans étiquette peuvent être montés sur un système étiqueté Trusted Extensions. Le système doit posséder une route vers le serveur de fichiers sous l'étiquette de la zone montage.
Pour monter les fichiers en lecture-écriture à partir d'un hôte à étiquette unique, l'étiquette affectée à l'hôte distant doit correspondre à l'étiquette de la zone de montage. Deux configurations d'hôte distants sont possibles.
L'hôte distant se voit affecter la même étiquette que la zone de montage.
L'hôte distant est un serveur multiniveau qui inclut l'étiquette de la zone montage.
Les systèmes de fichiers qui sont montés par une zone de niveau supérieur sont en lecture seule.
Dans Trusted Extensions, le fichier de configuration auto_home est personnalisé pour chaque zone. Le nom de la zone est repris dans le nom du fichier. Par exemple, un système comportant une zone globale et une zone publique dispose de deux fichiers auto_home, auto_home_global et auto_home_public.
Trusted Extensions utilise les mêmes interfaces de montage qu'Oracle Solaris :
Par défaut, les systèmes de fichiers sont montés lors de l'initialisation.
Pour monter des systèmes de fichiers de façon dynamique, utilisez la commande mount dans la zone étiquetée.
Pour monter automatiquement des répertoires personnels, utilisez les fichiers auto_home_zone-name.
Pour monter automatiquement d'autres répertoires, utilisez les cartes de montage automatique standard.
Avant de commencer
Vous devez être sur le système client, dans la zone possédant l'étiquette des fichiers que vous souhaitez monter. Vérifiez que le système de fichiers que vous souhaitez monter est partagé. Si vous n'utilisez pas l'agent de montage automatique, vous devez disposer du profil de droits File System Management. Pour effectuer des montages à partir de serveurs de niveau inférieur, la zone de ce client doit être configurée avec le droit net_mac_aware.
La plupart des procédures impliquent la création d'un espace de travail à une étiquette particulière. Pour créer un espace de travail, reportez-vous à la section Procédure d’ajout d’un espace de travail sous votre étiquette minimale du manuel Guide de l’utilisateur Oracle Solaris Trusted Extensions.
Dans la zone étiquetée, utilisez la commande mount.
Avant de commencer
Vous devez être dans la zone possédant l'étiquette du système de fichiers que vous souhaitez monter. Vous devez posséder le rôle root.
L'adresse peut être assignée directement, ou indirectement par le biais d'un mécanisme de caractère générique. L'adresse peut se trouver dans un modèle étiqueté ou sans étiquette.
L'étiquette doit être compatible avec l'étiquette à laquelle vous essayez de monter les fichiers.
Si l'étiquette est plus élevée que l'étiquette du système de fichiers montés, vous ne pouvez pas effectuer d'opération d'écriture dans le montage même si le système de fichiers distant est exporté avec des autorisations en lecture/écriture. Vous pouvez uniquement effectuer des opérations d'écriture sur le système de fichiers monté sous l'étiquette du montage.
Pour monter des systèmes de fichiers à partir d'un de ces serveurs, le serveur doit être assigné à un modèle sans étiquette.