Gestion de l'allocation de périphériques (tâches)

L'allocation de périphériques est généralement implémentées sur des sites qui nécessitent un niveau supplémentaire de sécurité des périphériques. Généralement, les utilisateurs doivent avoir l'autorisation d'accéder aux périphériques allouables.

Gestion de l'allocation des périphériques (liste des tâches)

La liste des tâches suivante présente les procédures permettant d'activer, de configurer et de dépanner l'allocation de périphériques. L'allocation de périphériques n'est pas activée par défaut. Une fois l'allocation de périphériques activée, reportez-vous à la section Allocation de périphériques (tâches) pour obtenir les instructions relatives à l'allocation des périphériques.

Activation de l'allocation de périphériques

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Device Security (sécurité des périphériques). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

1. Activez le service d'allocation de périphériques et vérifiez qu'il est bien activé.

   # svcadm enable svc:/system/device/allocate
   # svcs -x allocate
   svc:/system/device/allocate:default (device allocation)
    State: online since September 10, 2011 01:10:11 PM PDT
      See: allocate(1)
      See: deallocate(1)
      See: list_devices(1)
      See: device_allocate(1M)
      See: mkdevalloc(1M)
      See: mkdevmaps(1M)
      See: dminfo(1M)
      See: device_maps(4)
      See: /var/svc/log/system-device-allocate:default.log
   Impact: None.

2. Pour désactiver le service d'allocation de périphériques, exécutez la sous-commande disable.

   # svcadm disable device/allocate

Autorisation des utilisateurs à allouer un périphérique

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits User Security (sécurité des utilisateurs). Vos profils de droits doivent inclure l'autorisation solaris.auth.delegate. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

1. Créez un profil de droits contenant les commandes et l'autorisation appropriées.

   Généralement, vous créez un profil de droits qui inclut l'autorisation solaris.device.allocate. Suivez les instructions fournies à la section Création d'un profil de droits. Donnez au profil de droits les propriétés appropriées, telles que les suivantes :

   • Nom du profil de droits : Device Allocation

   • Autorisations accordées : solaris.device.allocate

   • Commandes avec des privilèges : mount avec le privilège sys_mount et umount avec le privilège sys_mount

2. (Facultatif) Créez un rôle pour le profil de droits.

   Suivez les instructions fournies à la section Création d'un rôle. Utilisez les propriétés de rôle suivantes, données à titre d'exemple :

   • Nom de rôle : devicealloc

   • Nom de rôle complet : Device Allocator

   • Description du rôle : Allocates and mounts allocated devices

   • Profil de droits : Device Allocation

     Ce profil de droits doit figurer en tête de la liste des profils inclus dans le rôle.

3. Affectez le profil de droits aux utilisateurs autorisés ou rôles autorisés.
4. Apprenez aux utilisateurs comment utiliser l'allocation de périphériques.

   Pour consulter des exemples d'allocation de média amovible, reportez-vous à la section Allocation des périphériques.

Affichage d'informations d'allocation sur un périphérique

Avant de commencer

Vous avez terminé Activation de l'allocation de périphériques.

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Device Security (sécurité des périphériques). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

• Affichez des informations sur les périphériques allouables sur votre système.

  # list_devices device-name

  où device-name est l'un des suivants :

  • audio[n] : microphone et haut-parleur.

  • fd[n] : unité de disquette.

  • rmdisk[n] : périphérique de média amovible, tel qu'un support USB.

  • sr[n] : unité de CD-ROM.

  • st[n] : lecteur de bande.

Erreurs fréquentes

Si la commande list__devices renvoie un message d'erreur identique au suivant, soit l'allocation de périphériques n'est pas activée, soit vous ne disposez pas des autorisations suffisantes pour récupérer les informations.

list_devices: No device maps file entry for specified device.

Pour que la commande s'exécute correctement, activez l'allocation de périphériques et prenez un rôle bénéficiant de l'autorisation solaris.device.revoke.

Allocation forcée d'un périphérique

L'allocation forcée est utilisée lorsque quelqu'un a oublié de libérer un périphérique. L'allocation forcée peut également être utilisée lorsqu'un utilisateur a un besoin immédiat d'un périphérique.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant de l'autorisation solaris.device.revoke. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

1. Déterminez si vous disposez de l'autorisation appropriée dans votre rôle.

   $ auths
   solaris.device.allocate solaris.device.revoke

2. Forcez l'allocation du périphérique à l'utilisateur nécessitant le périphérique.

   Dans cet exemple, le lecteur USB est alloué de force à l'utilisateur jdoe.

   $ allocate -U jdoe

Libération forcée d'un périphérique

Les périphériques alloués à un utilisateur ne sont pas automatiquement libérés lorsque le processus se termine ou lorsque l'utilisateur se déconnecte. La libération forcée est utilisée lorsque quelqu'un a oublié de libérer un périphérique.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant de l'autorisation solaris.device.revoke. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

1. Déterminez si vous disposez de l'autorisation appropriée dans votre rôle.

   $ auths
   solaris.device.allocate solaris.device.revoke

2. Forcez la libération du périphérique.

   Dans cet exemple, la libération de l'imprimante est forcée. L'imprimante est désormais disponible pour l'allocation par un autre utilisateur.

   $ deallocate -f /dev/lp/printer-1

Modification des périphériques pouvant être alloués

Avant de commencer

L'allocation de périphériques doit être activée pour cette procédure s'exécute correctement. Pour activer l'allocation de périphériques, reportez-vous à la section Activation de l'allocation de périphériques. Vous devez prendre le rôle root.

• Spécifiez si l'autorisation est requise ou indiquez l'autorisation solaris.device.allocate.

  Modifiez le cinquième champ dans l'entrée de périphérique du fichier device__allocate.

  audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean
  fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean
  sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean

  où solaris.device.allocate indique qu'un utilisateur doit disposer de l'autorisation solaris.device.allocate pour utiliser le périphérique.

Exemple 5-2 Attribution de l'autorisation d'allouer un périphérique à n'importe quel utilisateur

Dans l'exemple suivant, tous les utilisateurs du système peuvent allouer tous les périphériques. Le cinquième champ de chaque entrée de périphérique dans le fichier device_allocate a été remplacé par un signe arobase (@).

# pfedit /etc/security/device_allocate
audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean
…

Exemple 5-3 Interdiction d'utilisation de certains périphériques

Dans l'exemple suivant, le périphérique audio ne peut pas être utilisé. Le cinquième champ de l'entrée de périphérique audio dans le fichier device_allocate a été remplacé par un astérisque (*).

# pfedit /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean
…

Exemple 5-4 Interdiction d'utilisation de tous les périphériques

Dans l'exemple ci-dessous, aucun périphérique ne peut être utilisé. Le cinquième champ de chaque entrée de périphérique dans le fichier device_allocate a été remplacé par un astérisque (*).

# pfedit /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean
…

Audit de l'allocation de périphériques

Par défaut, les commandes d'allocation de périphériques se trouvent dans la classe d'audit other.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

• Présélectionnez la classe d'audit ot.

  $ auditconfig -getflags
  current-flags
  $ auditconfig -setflags current-flags,ot

  Pour des instructions détaillées, reportez-vous à la section Présélection des classes d'audit.