Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Configuration de LDAP sur un réseau Trusted Extensions (liste des tâches)
Configuration d'un serveur proxy LDAP sur un système Trusted Extensions (liste des tâches)
Collecte d'informations pour le serveur d'annuaire pour LDAP
Installation du serveur Oracle Directory Server Enterprise Edition
Création d'un client LDAP pour le serveur d'annuaire
Configuration des journaux pour le serveur Oracle Directory Server Enterprise Edition
Configuration d'un port multiniveau pour le serveur Oracle Directory Server Enterprise Edition
Remplissage du serveur Oracle Directory Server Enterprise Edition
Création d'un serveur proxy LDAP
Création d'un client LDAP Trusted Extensions
Établissement de la zone globale en tant que client LDAP dans Trusted Extensions
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions (tâches)
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions (tâches)
14. Gestion et montage de fichiers dans Trusted Extensions (tâches)
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions (Référence)
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Le service de nommage LDAP est le service de nommage pris en charge pour Trusted Extensions. Si votre site n'exécute pas encore le service de nommage LDAP, configurez un serveur Oracle Directory Server Enterprise Edition (serveur d'annuaire) sur un système configuré avec Trusted Extensions.
Si votre site exécute déjà un serveur d'annuaire, vous devez ajouter les bases de données Trusted Extensions au serveur. Pour accéder au serveur d'annuaire, vous devez ensuite configurer un serveur proxy LDAP sur un système Trusted Extensions.
Remarque - Si vous n'utilisez pas ce serveur LDAP en tant que serveur NFS, vous n'avez pas besoin d'installer de zones étiquetées sur ce serveur.
Les éléments sont répertoriés dans l'ordre où ils apparaissent dans l'Assistant d'installation de Sun Java Enterprise System.
|
Les packages du serveur d'annuaire sont disponibles à partir du site Web Oracle pour les produits logiciels Sun.
Avant de commencer
Vous vous trouvez sur un système Trusted Extensions comportant une zone globale. Le système n'a aucune zone étiquetée. Vous devez être superutilisateur dans la zone globale.
Les serveurs LDAP Trusted Extensions sont configurés pour les clients qui utilisent pam_unix pour l'authentification auprès du référentiel LDAP. Avec pam_unix, le fonctionnement du mot de passe, et par conséquent sa stratégie, sont déterminés par le client. Plus précisément, la stratégie définie par le serveur LDAP n'est pas utilisée. Pour connaître les paramètres de mot de passe pouvant être définis sur le client, reportez-vous à la section Gestion des informations de mot de passe du manuel Administration d’Oracle Solaris : services de sécurité. Pour en savoir plus sur pam_unix, reportez-vous à la page de manuel pam.conf(4).
Remarque - L'utilisation de pam_ldap sur un client LDAP ne constitue pas une configuration évaluée pour Trusted Extensions.
FQDN (Fully Qualified Domain Name) signifie nom de domaine complet. Ce nom se compose du nom d'hôte et du domaine d'administration, par exemple :
## /etc/hosts ... 192.168.5.5 myhost myhost.example-domain.com
Sélectionnez la versions la plus récente du logiciel approprié pour votre plate-forme.
Répondez aux questions posées à l'aide des informations recueillies à l'étape Collecte d'informations pour le serveur d'annuaire pour LDAP. Pour obtenir une liste complète des questions, des valeurs par défaut et des réponses suggérées, reportez-vous au Chapitre 11, Setting Up Oracle Directory Server Enterprise Edition With LDAP Clients (Tasks) du manuel Oracle Solaris Administration: Naming and Directory Services et au Chapitre 12, Setting Up LDAP Clients (Tasks) du manuel Oracle Solaris Administration: Naming and Directory Services.
# $PATH /usr/sbin:.../opt/SUNWdsee/dsee6/bin:/opt/SUNWdsee/dscc6/bin:/opt/SUNWdsee/ds6/bin: /opt/SUNWdsee/dps6/bin
/opt/SUNWdsee/dsee6/man
# /usr/sbin/cacaoadm enable # /usr/sbin/cacaoadm start start: server (pid n) already running
Les packages Oracle Directory Server Enterprise Edition contiennent des modèles de services SMF pour le serveur d'annuaire.
# dsadm stop /export/home/ds/instances/your-instance # dsadm enable-service -T SMF /export/home/ds/instances/your-instance # dsadm start /export/home/ds/instances/your-instance
Pour plus d'informations sur la commande dsadm, reportez-vous à la page de manuel dsadm(1M).
# dpadm stop /export/home/ds/instances/your-instance # dpadm enable-service -T SMF /export/home/ds/instances/your-instance # dpadm start /export/home/ds/instances/your-instance
Pour plus d'informations sur la commande dpadm, reportez-vous à la page de manuel dpadm(1M).
# dsadm info /export/home/ds/instances/your-instance Instance Path: /export/home/ds/instances/your-instance Owner: root(root) Non-secure port: 389 Secure port: 636 Bit format: 32-bit State: Running Server PID: 298 DSCC url: - SMF application name: ds--export-home-ds-instances-your-instance Instance version: D-A00
Erreurs fréquentes
Pour connaître les stratégies de résolution des problèmes de configuration LDAP, reportez-vous au Chapitre 13, LDAP Troubleshooting (Reference) du manuel Oracle Solaris Administration: Naming and Directory Services.
Vous utilisez ce client pour remplir votre serveur d'annuaire pour LDAP. Vous devez exécuter cette tâche avant de remplir le serveur d'annuaire.
Vous pouvez créer le client temporairement sur le serveur d'annuaire Trusted Extensions, puis supprimer le client du serveur, ou vous pouvez créer un client indépendant.
Avant de commencer
Vous êtes dans le rôle root dans la zone globale.
Vous pouvez utiliser le serveur d'annuaire Trusted Extensions ou ajouter Trusted Extensions sur un système séparé.
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring "files ldap" config/host astring "files dns" config/netgroup astring ldap config/printer astring "user files ldap"
# svccfg -s name-service/switch setprop config/host = astring: "files ldap dns"
Dans cet exemple, le client LDAP se trouve dans le domaine example-domain.com. L'adresse IP du serveur est 192.168.5.5.
# ldapclient init -a domainName=example-domain.com -a profileName=default \ > -a proxyDN=cn=proxyagent,ou=profile,dc=example-domain,dc=com \ > -a proxyDN=cn=proxyPassword={NS1}ecc423aad0 192.168.5.5 System successfully configured
# ldapclient -v mod -a enableShadowUpdate=TRUE \ > -a adminDN=cn=admin,ou=profile,dc=example-domain,dc=com System successfully configured
Pour plus d'informations sur le paramètre enableShadowUpdate, reportez-vous à la section enableShadowUpdate Switch du manuel Oracle Solaris Administration: Naming and Directory Services et à la page de manuel ldapclient(1M).
Cette procédure configure trois types de journaux : les journaux d'accès, les journaux d'audit et les journaux des erreurs. Les paramètres par défaut suivants n'ont pas été modifiés :
Tous les journaux sont activés et mis en tampon.
Les journaux sont placés dans le répertoire /export/home/ds/instances/your-instance/logs/LOG_TYPE approprié.
Les événements sont enregistrés au niveau de journal 256.
Les journaux sont protégés par des autorisations de fichier 600.
Les journaux d'accès sont permutés quotidiennement.
Les journaux des erreurs sont permutés hebdomadairement.
Les paramètres dans cette procédure satisfont aux exigences suivantes :
Les journaux d'audit sont permutés quotidiennement.
Les fichiers journaux plus anciens que 3 mois expirent.
Tous les fichiers journaux utilisent un maximum de 20 000 Mo d'espace disque.
100 fichiers journaux maximum sont conservés, et chaque fichier pèse au maximum 500 Mo.
Les journaux les plus anciens sont supprimés si l'espace disque disponible est inférieur à 500 Mo.
Des informations supplémentaires sont collectées dans les journaux des erreurs.
Avant de commencer
Vous devez être superutilisateur dans la zone globale.
Le LOG_TYPE pour l'accès est ACCESS. La syntaxe de configuration des journaux est la suivante :
dsconf set-log-prop LOG_TYPE property:value
# dsconf set-log-prop ACCESS max-age:3M # dsconf set-log-prop ACCESS max-disk-space-size:20000M # dsconf set-log-prop ACCESS max-file-count:100 # dsconf set-log-prop ACCESS max-size:500M # dsconf set-log-prop ACCESS min-free-disk-space:500M
# dsconf set-log-prop AUDIT max-age:3M # dsconf set-log-prop AUDIT max-disk-space-size:20000M # dsconf set-log-prop AUDIT max-file-count:100 # dsconf set-log-prop AUDIT max-size:500M # dsconf set-log-prop AUDIT min-free-disk-space:500M # dsconf set-log-prop AUDIT rotation-interval:1d
Par défaut, l'intervalle de permutation des journaux d'audit est une semaine.
Dans cette configuration, vous pouvez spécifier d'autres données à collecter dans le journal des erreurs.
# dsconf set-log-prop ERROR max-age:3M # dsconf set-log-prop ERROR max-disk-space-size:20000M # dsconf set-log-prop ERROR max-file-count:30 # dsconf set-log-prop ERROR max-size:500M # dsconf set-log-prop ERROR min-free-disk-space:500M # dsconf set-log-prop ERROR verbose-enabled:on
Vous pouvez également configurer les paramètres suivants pour chaque journal :
# dsconf set-log-prop LOG_TYPE rotation-min-file-size:undefined # dsconf set-log-prop LOG_TYPE rotation-time:undefined
Pour plus d'informations sur la commande dsconf, reportez-vous à la page de manuel dsconf(1M).
Pour fonctionner dans Trusted Extensions, le port du serveur d'annuaire doit être configuré en tant que port multiniveau (MLP) dans la zone globale.
Avant de commencer
Vous devez être superutilisateur dans la zone globale.
# /usr/sbin/txzonemgr &
Le numéro de port est 389.
Le numéro de port est 389.
Plusieurs bases de données LDAP ont été créées ou modifiées afin de contenir les données Trusted Extensions relatives à la configuration de l'étiquette, aux utilisateurs et aux systèmes distants. Dans cette procédure, vous remplissez les bases de données du serveur d'annuaire avec des informations Trusted Extensions.
Avant de commencer
Vous devez être superutilisateur dans la zone globale. Vous êtes sur un client LDAP où la mise à jour en double est activée. Pour connaître les conditions requises, reportez-vous à la section Création d'un client LDAP pour le serveur d'annuaire.
# mkdir -p /setup/files
# cd /etc # cp aliases group networks netmasks protocols /setup/files # cp rpc services auto_master /setup/files # cd /etc/security/tsol # cp tnrhdb tnrhtp /setup/files
Attention - Ne copiez pas les fichiers *attr. Associez plutôt l'option -S ldap aux commandes permettant d'ajouter des utilisateurs, des rôles et des profils de droits au référentiel LDAP. Ces commandes ajoutent des entrées pour les bases de données user_attr, auth_attr, exec_attr , et prof_attr. Pour plus d'informations, reportez-vous aux pages de manuel user_attr(4) et useradd(1M). |
# cp /zone/public/root/etc/auto_home_public /setup/files # cp /zone/internal/root/etc/auto_home_internal /setup/files # cp /zone/needtoknow/root/etc/auto_home_needtoknow /setup/files # cp /zone/restricted/root/etc/auto_home_restricted /setup/files
Dans la liste de mappages automatiques suivante, la première ligne de chaque paire indique le nom du fichier. La deuxième ligne de chaque paire montre le contenu du fichier. Les noms de zones identifient les étiquettes sur la base du fichier label_encodings par défaut fourni avec le logiciel Trusted Extensions.
Remplacez vos noms de zones par ceux qui apparaissent dans ces lignes.
myNFSserver identifie le serveur NFS pour les répertoires personnels.
/setup/files/auto_home_public * myNFSserver_FQDN:/zone/public/root/export/home/& /setup/files/auto_home_internal * myNFSserver_FQDN:/zone/internal/root/export/home/& /setup/files/auto_home_needtoknow * myNFSserver_FQDN:/zone/needtoknow/root/export/home/& /setup/files/auto_home_restricted * myNFSserver_FQDN:/zone/restricted/root/export/home/&
Par exemple, la commande suivante permet de remplir le serveur à partir du fichier hosts de la zone de préparation.
# /usr/sbin/ldapaddent -D "cn=directory manager" \ -w dirmgr123 -a simple -f /setup/files/hosts hosts
Dans la zone globale, exécutez la commande ldapclient l. Utilisez la sortie détaillée pour vérifier que le système n'est plus un client LDAP.
# ldapclient -v uninit
Pour plus d'informations, reportez-vous à la page de manuel ldapclient(1M).
Pour plus d'instructions, reportez-vous à la section Étiquetage d'hôtes et de réseaux (liste des tâches).