Gestion des utilisateurs et des droits (Liste des tâches)

Dans Trusted Extensions, vous assumez le rôle d'administrateur de sécurité pour administrer les utilisateurs, les autorisations, les droits et les rôles. La liste des tâches ci-dessous décrit des tâches courantes que vous effectuez pour des utilisateurs travaillant dans un environnement étiqueté.

Procédure de modification d'une plage d'étiquettes d'utilisateur

Vous pouvez souhaiter étendre la plage d'étiquettes d'un utilisateur pour lui donner les autorisations en lecture à une application d'administration. Par exemple, un utilisateur autorisé à se connecter à la zone globale peut ensuite visualiser la liste des systèmes qui s'exécutent sur une étiquette particulière. L'utilisateur peut visualiser le contenu mais pas le modifier.

Vous pouvez aussi souhaiter réduire la plage d'étiquettes de l'utilisateur. Par exemple, un utilisateur invité peut être limité à une étiquette.

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

• Effectuez l'une des opérations suivantes :
  • Pour étendre la plage d'étiquettes de l'utilisateur, assignez une autorisation de niveau supérieur.

    # usermod -K min_label=INTERNAL -K clearance=ADMIN_HIGH jdoe

    Vous pouvez également étendre la plage d'étiquettes de l'utilisateur en diminuant l'étiquette minimale.

    # usermod -K min_label=PUBLIC -K clearance=INTERNAL jdoe

    Pour plus d'informations, reportez-vous aux pages de manuel usermod(1M) et user_attr(4).

  • Pour limiter la plage d'étiquettes à une seule étiquette, l'autorisation doit être égale à l'étiquette minimale.

    # usermod -K min_label=INTERNAL -K clearance=INTERNAL jdoe

Procédure de création d'un profil de droits pour des autorisations commodes

Lorsque la stratégie de sécurité du site le permet, vous pouvez souhaiter créer un profil de droits contenant des autorisations destinées à des utilisateurs habilités à effectuer des tâches nécessitant une autorisation. Pour permettre à tous les utilisateurs d'un système particulier d'être autorisés, reportez-vous à la section Procédure de modification des valeurs par défaut de policy.conf.

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

1. Créez un profil de droits contenant une ou plusieurs des autorisations suivantes.

   Pour la procédure étape par étape, reportez-vous à la section Procédure de création ou de modification d’un profil de droits du manuel Administration d’Oracle Solaris : services de sécurité.

   Les autorisations suivantes peuvent être utiles pour les utilisateurs :

   • solaris.device.allocate : autorise un utilisateur à allouer un périphérique, tel qu'un microphone ou un CD-ROM.

     Par défaut, les utilisateurs d'Oracle Solaris peuvent lire et écrire sur un CD-ROM. Toutefois, dans Trusted Extensions, seuls les utilisateurs qui peuvent allouer un périphérique peuvent accéder à l'unité de CD-ROM. L'allocation du disque nécessite une autorisation. Par conséquent, pour lire et écrire sur un CD-ROM dans Trusted Extensions, un utilisateur a besoin de l'autorisation Allocate Device.

   • solaris.label.file.downgrade : autorise un utilisateur à diminuer le niveau de sécurité d'un fichier.

   • solaris.label.file.upgrade : autorise un utilisateur à augmenter le niveau de sécurité d'un fichier.

   • solaris.label.win.downgrade : autorise un utilisateur à sélectionner des informations dans un fichier de niveau supérieur et à les placer dans un fichier de niveau inférieur.

   • solaris.label.win.noview : autorise un utilisateur à déplacer des informations sans visualiser les informations déplacées.

   • solaris.label.win.upgrade : autorise un utilisateur à sélectionner les informations d'un fichier de niveau inférieur et à les placer dans un fichier de niveau supérieur.

   • solaris.login.remote : autorise un utilisateur à se connecter à distance.

   • solaris.system.shutdown : autorise un utilisateur à arrêter le système et à arrêter une zone.

2. Attribuez le profil de droits à un utilisateur ou à un rôle.

   Pour la procédure étape par étape, reportez-vous à la section Procédure de modification des propriétés RBAC d’un utilisateur du manuel Administration d’Oracle Solaris : services de sécurité.

Limitation d'un utilisateur à des applications de bureau

La sécurité de site peut exiger que les utilisateurs aient uniquement accès aux applications qu'ils peuvent ouvrir à partir d'une icône du bureau. Cette procédure affecte des profils de droits qui limitent l'accès des utilisateurs aux applications requises uniquement.

Pour permettre à tous les utilisateurs d'un système particulier d'être autorisés, reportez-vous à la section Procédure de modification des valeurs par défaut de policy.conf.

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

1. Créez un profil de droits appelé Desktop applets (Applets de bureau) permettant aux utilisateurs d'Oracle Solaris d'exécuter les applets de base sur leur bureau.

   Pour plus d'informations sur cette procédure, reportez-vous à la section Procédure de limitation d’un utilisateur aux applications de bureau du manuel Administration d’Oracle Solaris : services de sécurité.

2. Créez un autre profil de droits d'accès permettant aux utilisateurs Trusted Extensions d'exécuter les applets de confiance requis sur leur bureau.

   Les lignes sont renvoyées à des fins d'affichage.

   # profiles -p "Trusted Desktop Applets"
   profiles:Trusted Desktop Applets> 
   set desc="Can use trusted desktop applications except terminal"
   profiles:Trusted Desktop Applets> add cmd=/usr/dt/config/tsoljds-migration;end
   profiles:Trusted Desktop Applets> add cmd=/usr/bin/tsoljds-xagent;end
   profiles:Trusted Desktop Applets> commit

3. Ajoutez le profil Desktop Applets en tant que profil de droits supplémentaire au profil Trusted Desktop Applets (Applets de bureau de confiance).

   Vous avez créé ce profil de droits à l'Étape 2.

   profiles:Trusted Desktop Applets> add profiles="Desktop Applets"
   profiles:Trusted Desktop Applets> commit
   profiles:Trusted Desktop Applets> exit

4. Assurez-vous que les entrées du profil de droits Trusted Desktop Applets sont correctes.

   Contrôlez les entrées à la recherche d'erreurs, de fautes de frappe, d'omissions ou de répétitions.

   # profiles -p "Trusted Desktop Applets" info
   Found profile in files repository.
   name=Trusted Desktop Applets
   desc=Can use trusted desktop applications except terminal
   profiles=Desktop Applets
   cmd=/usr/dt/config/tsoljds-migration
   cmd=/usr/bin/tsoljds-xagent

   ---

   Astuce - Vous pouvez créer un profil de droits pour une application ou une classe d'applications contenant des icônes de bureau. Ajoutez ensuite le profil de droits Trusted Desktop Applets en tant que profil de droits supplémentaire pour l'accès au bureau.

   ---

5. Affectez à l'utilisateur les profils de droit Trusted Desktop applets et Stop.

   # usermod -P "Trusted Desktop Applets,Stop" username

   Cet utilisateur peut utiliser le bureau de confiance, mais il ne peut ni lancer de fenêtre de terminal, ni agir en tant que Console User (Utilisateur de la console), ni bénéficier des droits inclus dans le profil de droits Basic Solaris User (Utilisateur Solaris de base).

Exemple 11-4 Autorisation d'un utilisateur de bureau à ouvrir une fenêtre de terminal

Dans cet exemple, l'administrateur permet à un utilisateur de bureau d'ouvrir une fenêtre de terminal. L'administrateur a déjà créé le profil de droits Desktop Applets pour les utilisateurs du bureau Oracle Solaris et le profil de droits Trusted Desktop Applets pour les utilisateurs de bureau Trusted Extensions dans le référentiel LDAP.

Tout d'abord, l'administrateur crée le profil de droits Terminal Window (Fenêtre de terminal) et vérifie son contenu.

# profiles -p "Terminal Window" -S ldap
profiles:Terminal Window> set desc="Can open a terminal window"
profiles:Terminal Window> add cmd=/usr/bin/gnome-terminal;end
profiles:Terminal Window> commit
profiles:Terminal Window> exit
# profiles -p "Terminal Window" info
Found profile in ldap repository.
name=Terminal Window
desc=Can open a terminal window
cmd=/usr/bin/gnome-terminal

Ensuite, il attribue ce profil de droits ainsi que le profil de droits All (Tout) à tous les utilisateurs du bureau nécessitant des fenêtres de terminal pour effectuer leurs tâches. Sans le profil de droits All, les utilisateurs ne pourraient pas exécuter les commandes UNIX qui ne requièrent pas de privilège, telles que ls et cat.

# usermod -P "Trusted Desktop Applets,Terminal Window,All,Stop" -S ldap jdoe

Grâce à cet ensemble de profils de droits, l'utilisateur jdoe peut utiliser le bureau et les fenêtres de terminal, mais ne peut pas agir en tant que Console User ni bénéficier des droits contenus dans le profil de droits Basic Solaris User.

Procédure de limitation du jeu de privilèges d'un utilisateur

La sécurité du site peut exiger que les utilisateurs aient moins de privilèges que ceux qui leur sont assignés par défaut.

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

• Supprimez un ou plusieurs privilèges dans le jeu basic.

  ---

  Attention - Ne supprimez pas le privilège proc_fork ou proc_exec. Sans ces privilèges, un utilisateur ne peut pas utiliser le système.

  ---

  # usermod -K defaultpriv=basic,!proc_info,!proc_session,!file_link_any

  En supprimant le privilège proc_info, vous empêchez l'utilisateur d'examiner les processus qui n'émanent pas de l'utilisateur. En supprimant le privilège proc_session, vous empêchez l'utilisateur d'examiner les processus à l'extérieur de sa session en cours. En supprimant le privilège file_link_any, vous empêchez l'utilisateur de créer des liens physiques vers des fichiers n'appartenant pas à l'utilisateur.

Voir aussi

Pour obtenir un exemple de collecte des restrictions de privilège dans un profil de droits, reportez-vous aux exemples suivants : Procédure de création ou de modification d’un profil de droits du manuel Administration d’Oracle Solaris : services de sécurité.

Pour restreindre les privilèges de tous les utilisateurs sur un système, reportez-vous à l'Exemple 11-2.

Procédure de désactivation du verrouillage du compte pour certains utilisateurs

Effectuez cette procédure pour tous les utilisateurs pouvant assumer un rôle.

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

• Désactivez le verrouillage de comptes pour un utilisateur local.

  # usermod -K lock_after_retries=no jdoe

  Pour désactiver le verrouillage de comptes pour un utilisateur LDAP, spécifiez le référentiel LDAP.

  # usermod -S ldap -K lock_after_retries=no jdoe

Procédure d'octroi de l'autorisation de modifier le niveau de sécurité de données à un utilisateur

Un utilisateur standard ou un rôle peut être autorisé à modifier le niveau de sécurité ou les étiquettes de fichiers, de répertoires ou de textes sélectionnés. L'utilisateur ou le rôle, en plus d'avoir l'autorisation, doit être configuré pour pouvoir travailler à plus d'une étiquette. Aussi, les zones étiquetées doivent être configurées de façon à autoriser la modification de leur étiquette. Pour connaître la procédure, reportez-vous à la section Procédure d'octroi de l'autorisation à modifier l'étiquette de fichiers à un utilisateur.

---

Attention - La modification du niveau de sécurité des données est une opération qui nécessite des privilèges. Cette tâche ne peut être effectuée que par des utilisateurs dignes de confiance.

---

Avant de commencer

Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

1. Suivez la procédure décrite dans la sectionProcédure de création d'un profil de droits pour des autorisations commodes pour créer un profil de droits.

   Les autorisations suivantes permettent à un utilisateur de modifier l'étiquette d'un fichier :

   • Downgrade File Label (Rétrograder l'étiquette d'un fichier)

   • Upgrade File Label (Mettre à niveau l'étiquette d'un fichier)

   Les autorisations suivantes permettent à un utilisateur de modifier l'étiquette d'informations contenues dans un fichier :

   • Downgrade DragNDrop or CutPaste Info (Rétrograder des informations par glisser-déposer ou couper-coller)

   • DragNDrop or CutPaste Info Without Viewing (Glisser-déposer ou couper-coller sans visualiser le contenu)

   • Upgrade DragNDrop or CutPaste Info (Mettre à niveau des informations par glisser-déposer ou couper-coller)

2. Affectez le profil à des utilisateurs et des rôles appropriés.

   Pour une procédure pas à pas, reportez-vous à la section Procédure de modification des propriétés RBAC d’un utilisateur du manuel Administration d’Oracle Solaris : services de sécurité.

Procédure de suppression d'un compte utilisateur d'un système Trusted Extensions

Lorsqu'un utilisateur est supprimé du système, vous devez vous assurer que le répertoire personnel de l'utilisateur et tous les objets qui lui appartiennent sont également supprimés. Comme alternative à la suppression d'objets appartenant à l'utilisateur, vous pouvez transférer la propriété de ces objets à un utilisateur valide.

Vous devez aussi vous assurer que tous les traitements par lots associés à l'utilisateur sont également supprimés. Aucun objet ou processus appartenant à un utilisateur supprimé ne peut rester sur le système.

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale.

1. Archivez le répertoire personnel de l'utilisateur sous chaque étiquette.
2. Archivez les fichiers de courrier de l'utilisateur sous chaque étiquette.
3. Supprimez le compte utilisateur.

   # userdel -r jdoe

4. Dans chaque zone étiquetée, supprimez manuellement les répertoires et fichiers de courrier de l'utilisateur.

   ---

   Remarque - Vous êtes chargé de rechercher et supprimer les fichiers temporaires de l'utilisateur sous toutes les étiquettes, tels que les fichiers dans les répertoires /tmp.

   ---

   Pour plus d'informations, reportez-vous à la section Pratiques de suppression d'un utilisateur.