Configuration des interfaces réseau dans Trusted Extensions

Le système Trusted Extensions ne nécessite pas l'exécution par un réseau d'un bureau avec un affichage directement connecté, tel qu'un ordinateur portable ou une station de travail. Toutefois, il est nécessaire de configurer le réseau pour permettre la communication avec d'autres systèmes. L'interface utilisateur graphique txzonemgr permet de configurer facilement les zones étiquetées et la zone globale afin de permettre la connexion à d'autres systèmes. Pour une description des options de configuration des zones étiquetées, reportez-vous à la section Accès aux zones étiquetées. La liste des tâches ci-dessous décrit les tâches de configuration réseau et fournit des liens vers ces tâches.

Tâche	Description	Voir
Configuration d'un système par défaut pour les utilisateurs standard	Le système dispose d'une adresse IP et utilise une interface `all-zones` pour communiquer entre les zones étiquetées et la zone globale. La même adresse IP est utilisée pour communiquer avec des systèmes distants.	Procédure de partage d'une seule adresse IP entre toutes les zones
Ajout d'une adresse IP à la zone globale	Le système dispose de plusieurs adresses IP et utilise l'adresse IP exclusive de la zone globale pour atteindre un sous-réseau privé. Les zones étiquetées ne peuvent pas atteindre ce sous-réseau.	Procédure de partage d'une seule adresse IP entre toutes les zones
Attribution d'une adresse IP à chaque zone, où les zones partagent la pile IP	Le système dispose de plusieurs adresses IP. Dans le cas le plus simple, les zones partagent une interface physique.	Procédure d'ajout d'une instance d'IP à une zone étiquetée
Ajout d'une interface `all-zones` à l'instance IP par zone	Le système peut offrir à ses zones étiquetées des services privilégiés qui sont protégés contre les attaques distantes.	Procédure d'ajout d'une instance d'IP à une zone étiquetée
Attribution d'une adresse IP à chaque zone, où la pile IP est exclusive.	Une adresse IP est attribuée à chaque zone, y compris à la zone globale. Une carte d'interface réseau virtuelle est créée pour chaque zone étiquetée.	Procédure d'ajout d'une interface réseau virtuelle à une zone étiquetée
Connexion des zones à des zones distantes	Cette tâche permet de configurer les interfaces réseau des zones étiquetées et la zone globale afin qu'elles atteignent les systèmes distants sous la même étiquette.	Procédure de connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions
Exécution d'un démon `nscd` distinct par zone	Dans un environnement où chaque sous-réseau possède son propre serveur de noms, cette tâche configure un démon `nscd` par zone.	Procédure de configuration d'un service de noms distinct pour chaque zone étiquetée

Procédure de partage d'une seule adresse IP entre toutes les zones

Cette procédure permet à chaque zone du système d'utiliser une seule adresse IP, à savoir l'adresse IP de la zone globale, pour atteindre d'autres zones ou hôtes possédant la même étiquette. Cette configuration correspond à la configuration par défaut. Vous devez effectuer cette procédure si vous avez configuré différemment les interfaces réseau et que vous voulez rétablir la configuration réseau par défaut du système.

Avant de commencer

Vous devez être dans le rôle root dans la zone globale.

Exécutez la commande txzonemgr sans aucune option.
```
# txzonemgr &
```
La liste des zones s'affiche dans le gestionnaire de zones étiquetées. Pour plus d'informations sur cette interface utilisateur graphique, reportez-vous à la section Procédure interactive de création de zones étiquetées.
Double-cliquez sur la zone globale.
Double-cliquez sur Configure Network Interfaces (Configurer les interfaces réseau).
Une liste d'interfaces s'affiche. Recherchez une interface répertoriée présentant les caractéristiques suivantes :
- Type de phys
- Adresse IP de votre nom d'hôte
- État de up
Sélectionnez l'interface correspondant à votre nom d'hôte.
Dans la liste des commandes, sélectionnez Share with Shared-IP Zones (Partager avec les zones en mode IP partagé).
Toutes les zones peuvent utiliser cette adresse IP partagée pour communiquer avec des systèmes distants possédant la même étiquette qu'elles-mêmes.
Cliquez sur Cancel (Annuler) pour revenir à la liste de commandes des zones.

Étapes suivantes

Pour configurer le réseau externe du système, reportez-vous à la section Procédure de connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions .

Procédure d'ajout d'une instance d'IP à une zone étiquetée

Cette procédure est nécessaire si vous utilisez une pile IP partagée et des adresses par zone, et que vous envisagez de connecter les zones étiquetées à des zones étiquetées sur d'autres systèmes du réseau.

Dans cette procédure, vous créez une instance d'IP, c'est-à-dire une adresse spécifique à la zone, pour une ou plusieurs zones étiquetées. Les zones étiquetées utilisent leur zone par zone pour communiquer avec des zones étiquetées possédant la même étiquette sur le réseau.

Avant de commencer

Vous devez être dans le rôle root dans la zone globale.

La liste des zones s'affiche dans le gestionnaire de zones étiquetées. Pour ouvrir cette interface utilisateur graphique, reportez-vous à la section Procédure interactive de création de zones étiquetées. La zone étiquetée que vous configurez doit être arrêtée.

Dans le gestionnaire de zones étiquetées, double-cliquez sur une zone étiquetée à laquelle vous souhaitez ajouter une instance d'IP.
Double-cliquez sur Configure Network Interfaces (Configurer les interfaces réseau).
Une liste d'options de configuration s'affiche.
Sélectionnez Add an IP instance (Ajouter une instance d'IP).
Si votre système possède plus d'une adresse IP, choisissez l'entrée correspondant à l'interface souhaitée.
Fournissez une adresse IP et un nombre de préfixes pour cette zone étiquetée.
Par exemple, tapez 192.168.1.2/24. Si vous n'ajoutez pas le nombre de préfixes, vous êtes invité à spécifier un masque de réseau. Le masque de réseau équivalent pour cet exemple est 255.255.255.0.
Cliquez sur OK.
Pour ajouter un routeur par défaut, double-cliquez sur l'entrée que vous venez d'ajouter.
À l'invite, entrez l'adresse IP du routeur et cliquez sur OK.

Remarque - Pour supprimer ou modifier le routeur par défaut, supprimez l'entrée, puis recréez l'instance d'IP.
Cliquez sur Cancel (Annuler) pour revenir à la liste de commandes des zones.

Étapes suivantes

Pour configurer le réseau externe du système, reportez-vous à la section Procédure de connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions .

Procédure d'ajout d'une interface réseau virtuelle à une zone étiquetée

Cette procédure est nécessaire si vous utilisez une pile IP exclusive et des adresses par zone, et que vous souhaitez connecter les zones étiquetées à des zones étiquetées sur d'autres systèmes du réseau.

Dans cette procédure, vous créez une VNIC et vous l'affectez à une zone étiquetée.

Avant de commencer

Vous devez être dans le rôle root dans la zone globale.

Dans le gestionnaire de zones étiquetées, double-cliquez sur la zone étiquetée à laquelle vous souhaitez ajouter une interface virtuelle.
Double-cliquez sur Configure Network Interfaces (Configurer les interfaces réseau).
Une liste d'options de configuration s'affiche.
Double-cliquez sur Add a virtual interface (VNIC) (Ajouter une interface virtuelle (VNIC)).
Si votre système comporte plusieurs cartes VNIC, plusieurs choix s'affichent. Choisissez l'entrée correspondant à l'interface souhaitée.
Affectez un nom d'hôte, ou attribuez une adresse IP et un nombre de préfixes.
Par exemple, tapez 192.168.1.2/24. Si vous n'ajoutez pas le nombre de préfixes, vous êtes invité à spécifier un masque de réseau. Le masque de réseau équivalent pour cet exemple est 255.255.255.0.
Pour ajouter un routeur par défaut, double-cliquez sur l'entrée que vous venez d'ajouter.
À l'invite, entrez l'adresse IP du routeur et cliquez sur OK.

Remarque - Pour supprimer ou modifier le routeur par défaut, supprimez l'entrée, puis recréez la VNIC.
Cliquez sur Cancel (Annuler) pour revenir à la liste de commandes des zones.
L'entrée VNIC s'affiche. Le système attribue le nom zonename _n, par exemple internal_0.

Étapes suivantes

Pour configurer le réseau externe du système, reportez-vous à la section Procédure de connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions .

Procédure de connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions

Dans cette procédure, vous définissez votre réseau Trusted Extensions en ajoutant des hôtes distants auxquels votre système Trusted Extensions peut se connecter.

Avant de commencer

Le gestionnaire de zones étiquetées est affiché. Pour ouvrir cette interface utilisateur graphique, reportez-vous à la section Procédure interactive de création de zones étiquetées. Vous êtes dans le rôle root dans la zone globale.

Dans le gestionnaire de zones étiquetées, double-cliquez sur la zone globale.
Sélectionnez Add Multilevel Access to Remote Host (Ajouter l'accès multiniveau à un hôte distant).
1. Saisissez l'adresse IP d'un autre système Trusted Extensions.
2. Exécutez les commandes correspondantes sur l'autre système Trusted Extensions.
Cliquez sur Cancel (Annuler) pour revenir à la liste de commandes des zones.
Dans le gestionnaire de zones étiquetées, double-cliquez sur une zone étiquetée.
Sélectionnez Add Access to Remote Host (Ajouter l'accès à un hôte distant).
1. Entrez l'adresse IP de la zone étiquetée de même étiquette sur un autre système Trusted Extensions.
2. Exécutez les commandes correspondantes dans la zone de l'autre système Trusted Extensions.

Voir aussi

Procédure de configuration d'un service de noms distinct pour chaque zone étiquetée

Cette procédure permet de configurer séparément un démon du service de noms (nscd) dans chaque zone étiquetée. Cette configuration ne satisfait pas les critères pour une configuration évaluée. Dans une configuration évaluée, le démon nscd s'exécute uniquement dans la zone globale. Les portes dans chaque zone étiquetée connectent la zone au démon nscd global.

Cette configuration prend en charge les environnements dans lesquels chaque zone est connectée à un sous-réseau s'exécutant à l'étiquette de la zone, et le sous-réseau possède son propre serveur de noms pour cette étiquette.

Remarque - Pour procéder à cette configuration, vous devez posséder des compétences avancées en matière de gestion de réseaux.

Avant de commencer

Dans le gestionnaire de zones étiquetées, sélectionnez Configure per-zone name service (Configurer un service de noms par zone) et cliquez sur OK.
Remarque - Cette option est destinée à être utilisée une fois, pendant la configuration initiale du système.
Configurez le service nscd de chaque zone.
Pour obtenir de l'aide, reportez-vous à la page de manuel nscd(1M).
Réinitialisez le système.
```
# /usr/sbin/reboot
```

Pour chaque zone, vérifiez la route et le démon du service de noms.

Dans la console de la zone, répertoriez les services nscd.

zone-name # svcs -x name-service/cache
svc:/system/name-service/cache:default (name service cache)
 State: online since September 10, 2011  10:10:11 AM PDT
   See: nscd(1M)
   See: /var/svc/log/system-name-service-cache:default.log
Impact: None.

Vérifiez la route vers le sous-réseau.
```
zone-name # netstat -rn
```

Exemple 4-3 Suppression d'un cache de service de noms de chaque zone étiquetée

Après avoir testé un démon de service de noms par zone, l'administrateur système décide de supprimer les démons de services de noms des zones étiquetées et d'exécuter uniquement le démon dans la zone globale. Pour rétablir la configuration de service de noms par défaut du système, l'administrateur ouvre l'interface utilisateur graphique txzonemgr, sélectionne la zone globale, puis sélectionne Unconfigure per-zone name service (Annuler la configuration service de noms par zone) et OK. Cette sélection supprime le démon nscd de toutes les zones étiquetées. Ensuite, l'administrateur réinitialise le système.

Étapes suivantes

Lors de la configuration des comptes utilisateur et des rôles de chaque zone, vous disposez de trois options.

Vous pouvez créer les comptes LDAP dans un serveur d'annuaire LDAP multiniveau.
Vous pouvez créer les comptes LDAP dans des serveurs d'annuaire LDAP distincts, à savoir un serveur par étiquette.
Vous pouvez créer des comptes locaux.

La configuration d'un démon de service de noms par zone a des conséquences relatives au mot de passe pour tous les utilisateurs. Les utilisateurs doivent s'authentifier pour pouvoir accéder à n'importe laquelle de leurs zones étiquetées, y compris à la zone correspondant à leur étiquette par défaut. En outre, l'administrateur doit créer les comptes localement dans chaque zone, ou les comptes doivent exister dans un annuaire LDAP où la zone est client LDAP.

Dans le cas particulier où un compte de la zone globale exécute le gestionnaire de zones étiquetées, txzonemgr, les informations du compte sont copiées dans les zones étiquetées de manière à ce que ce compte au moins soit capable de se connecter à chaque zone. Par défaut, ce compte est le compte utilisateur initial.

Ignorer les liens de navigation
Quitter l'aperu
	Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français)