Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
Configuration de la zone globale dans Trusted Extensions
Procédure de vérification et d'installation du fichier Label Encodings
Procédure d'activation du réseau IPv6 dans Trusted Extensions
Procédure de configuration du domaine d'interpretation
Procédure de création d'un système Trusted Extensions par défaut
Procédure interactive de création de zones étiquetées
Procédure d'affectation d'étiquettes à deux espaces de travail comportant des zones
Configuration des interfaces réseau dans Trusted Extensions
Procédure de partage d'une seule adresse IP entre toutes les zones
Procédure d'ajout d'une instance d'IP à une zone étiquetée
Procédure d'ajout d'une interface réseau virtuelle à une zone étiquetée
Procédure de connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions
Procédure de configuration d'un service de noms distinct pour chaque zone étiquetée
Création de rôles et d'utilisateurs dans Trusted Extensions
Procédure de création du rôle d'administrateur sécurité dans Trusted Extensions
Procédure de création d'un rôle d'administrateur de sécurité
Procédure de création d'utilisateurs pouvant assumer des rôles dans Trusted Extensions
Procédure de vérification du fonctionnement des rôles Trusted Extensions
Procédure d'autorisation des utilisateurs à se connecter à une zone étiquetée
Création de répertoires personnels centralisés dans Trusted Extensions
Procédure de création du serveur d'annuaires personnel dans Trusted Extensions
Dépannage de votre configuration Trusted Extensions
Procédure de déplacement des panneaux du bureau vers le bas de l'écran
Tâches de configuration supplémentaires de Trusted Extensions
Copie de fichiers sur un média amovible dans Trusted Extensions
Copie de fichiers dans Trusted Extensions à partir d'un média amovible
Suppression de Trusted Extensions du système
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions (tâches)
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions (tâches)
14. Gestion et montage de fichiers dans Trusted Extensions (tâches)
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions (Référence)
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Les instructions de cette section configurent des zones étiquetées. Vous avez la possibilité de créer deux zones étiquetées de manière automatique ou de créer des zones manuellement.
Remarque - Si vous avez l'intention d'utiliser LDAP, reportez-vous au Chapitre 5, Configuration de LDAP pour Trusted Extensions (tâches). Vous devez configurer LDAP avant de créer des zones étiquetées.
|
Cette procédure crée un système Trusted Extensions opérationnel comportant deux zones étiquetées. Aucun hôte distant n'a été affecté aux modèles de sécurité du système, si bien que ce système ne peut pas communiquer avec des hôtes distants.
Avant de commencer
Vous avez effectué l'étape Connexion à Trusted Extensions. Vous avez assumé le rôle root.
# man txzonemgr
# /usr/sbin/txzonemgr -c
Cette commande copie le SE Oracle Solaris et le logiciel Trusted Extensions dans une zone, crée un instantané de la zone, applique une étiquette à la zone originale, puis utilise l'instantané pour créer une seconde zone étiquetée. Les zones sont initialisées.
La première zone étiquetée est basée sur la valeur Default User Sensitivity Label du fichier label_encodings.
La deuxième zone étiquetée est basée sur la valeur Default User Clearance du fichier label_encodings.
Cette étape peut prendre environ 20 minutes. Pour installer les zones, le script utilise pour les zones étiquetées le mot de passe root de la zone globale.
Étapes suivantes
Pour utiliser votre configuration Trusted Extensions, passez à l'étape Procédure d'affectation d'étiquettes à deux espaces de travail comportant des zones.
Vous n'êtes pas obligé de créer une zone pour chaque étiquette de votre fichier label_encodings, mais vous pouvez le faire. Les interfaces utilisateur graphiques d'administration énumèrent les étiquettes pour lesquelles des zones peuvent être créées sur ce système. Au cours de cette procédure, vous créez deux zones étiquetées. Si vous utilisez le fichier label_encodings de Trusted Extensions, vous créez la configuration Trusted Extensions par défaut.
Avant de commencer
Vous avez effectué l'étape Connexion à Trusted Extensions. Vous avez assumé le rôle root.
Vous n'avez pas encore créé de zone.
# txzonemgr &
Le script ouvre la boîte de dialogue Labeled Zone Manager (Gestionnaire de zones étiquetées). Cette boîte de dialogue zenity vous invite à effectuer les tâches appropriées, selon l'état actuel de votre configuration.
Pour exécuter une tâche, sélectionnez l'option de menu, puis appuyez sur la touche Entrée ou cliquez sur OK. Lorsque vous êtes invité à saisir du texte, saisissez-le, puis appuyez sur la touche Entrée ou cliquez sur OK.
Astuce - Pour afficher l'état actuel d'achèvement de la zone, cliquez sur Return to Main Menu (Retourner au menu principal) dans le gestionnaire de zones étiquetées. Vous pouvez également cliquer sur le bouton Cancel (Annuler).
La première zone étiquetée est basée sur la valeur Default User Sensitivity Label du fichier label_encodings.
La deuxième zone étiquetée est basée sur la valeur Default User Clearance du fichier label_encodings.
Si la zone public utilise une pile IP exclusive ou si elle a une adresse IP définie dans le DNS, utilisez le nom d'hôte tel que défini dans le DNS. Dans le cas contraire, utilisez le nom du système.
Le mot de passe root a été défini à l'installation du système. Toute réponse à cette invite échouera.
Vérifiez ensuite que tous les services sont configurés en exécutant la commande svcs -x. Si aucun message ne s'affiche, tous les services sont configurés.
Entrez exit à l'invite, puis choisissez Close window (Fermer la fenêtre) dans la console de la zone.
Dans une autre fenêtre, l'installation de la deuxième zone se termine. Cette zone est construite à partir d'un instantané, si bien qu'elle se construit rapidement.
# svcs -x #
Si aucun message ne s'affiche, tous les services sont configurés. Le gestionnaire de zones étiquetées s'affiche.
Sélectionnez Reboot (Réinitialiser), puis cliquez sur le bouton Cancel (Annuler) pour revenir à l'écran principal. Toutes les zones sont en cours d'exécution. L'instantané non étiqueté n'est pas en cours d'exécution.
Suivez les invites à l'écran. L'interface utilisateur graphique vous guide étape par étape au cours de la création d'une zone.
Une fois la zone créée et initialisée, vous pouvez revenir à la zone globale pour créer d'autres zones. Ces zones sont créées à partir d'un instantané.
Exemple 4-2 Création d'une autre zone étiquetée
Dans cet exemple, l'administrateur crée une zone restreinte à partir du fichier label_encodings par défaut.
Pour commencer, l'administrateur ouvre le script txzonemgr en mode interactif.
# txzonemgr &
Il accède ensuite à la zone globale et crée une zone portant le nom restricted (restreinte).
Create a new zone:restricted
Puis il applique l'étiquette appropriée.
Select label:CNF : RESTRICTED
L'administrateur sélectionne l'option Clone dans la liste, puis il sélectionne snapshot (instantané) en tant que modèle pour la nouvelle zone.
Une fois que la zone restricted est disponible, l'administrateur clique sur Boot (Init) pour initialiser la seconde zone.
Pour activer l'accès à la zone restricted, l'administrateur modifie la valeur Default User Clearance dans le fichier label_encodings et la définit sur CNF RESTRICTED.
Cette procédure crée deux espaces de travail étiquetés et ouvre une fenêtre étiquetée dans chaque espace de travail étiqueté. Lorsque cette tâche est terminée, vous disposez d'un système Trusted Extensions opérationnel mais non connecté à un réseau.
Avant de commencer
Vous avez effectué l'étape Procédure de création d'un système Trusted Extensions par défaut ou l'étape Procédure interactive de création de zones étiquetées.
Vous êtes l'utilisateur initial.
L'étiquette de l'espace de travail PUBLIC à Default User Sensitivity Label.
Vous vous trouvez dans un espace de travail PUBLIC.
La fenêtre est étiquetée PUBLIC.
Si vous utilisez un fichier label_encodings, vous créez un espace de travail à partir de la valeur Default User Clearance.
Vous vous trouvez dans un espace de travail INTERNAL.
La fenêtre est étiquetée CONFIDENTIAL : INTERNAL USE ONLY.
Votre système est prêt à être utilisé. Vous avez deux espaces de travail d'utilisateur et un espace de travail de rôle. Dans cette configuration, les zones étiquetées utilisent la même adresse IP que la zone globale pour communiquer avec d'autres systèmes. Elles peuvent le faire car, par défaut, elles partagent la même adresse IP en tant qu'interface all-zones.
Étapes suivantes
Si vous prévoyez de faire communiquer votre système Trusted Extensions avec d'autres systèmes, accédez à Configuration des interfaces réseau dans Trusted Extensions.