Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions
14. Gestion et montage de fichiers dans Trusted Extensions
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
Etiquettes, imprimantes et impression
Différences entre l'impression Trusted Extensions dans Oracle Solaris 10 et dans Oracle Solaris 11
Sorties d'imprimante étiquetées
Pages de garde et de fin étiquetées
Pages de corps de texte étiquetées
Fichier de configuration tsol_separator.ps
Gestion de l'impression dans Trusted Extensions (tâches)
Configuration de l'impression étiquetée (liste des tâches)
Configuration d'un serveur d'impression multiniveau et des imprimantes correspondantes
Configuration d'une imprimante réseau
Configuration d'une zone en tant que serveur d'impression à niveau unique
Octroi de l'autorisation d'accéder à une imprimante à un client Trusted Extensions
Configuration d'une plage d'étiquettes restreinte pour une imprimante
Réduction des restrictions d'impression dans Trusted Extensions (liste des tâches)
Suppression des pages de garde et de fin
Assignation d'une étiquette à un serveur d'impression non étiqueté
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Trusted Extensions utilise des étiquettes pour contrôler l'accès aux imprimantes. Les étiquettes permettent de contrôler l'accès aux imprimantes et aux informations relatives aux travaux d'impression de la file d'attente. Le logiciel permet également d'étiqueter les impressions. Des étiquettes sont appliquées aux pages de corps de texte ainsi qu'aux pages de garde et de fin. Les pages de garde et de fin peuvent également inclure des instructions de traitement.
L'administrateur système assure la gestion courante de l'imprimante. Le rôle de l'administrateur de sécurité gère la sécurité de l'imprimante, notamment les étiquettes et la manière dont les sorties étiquetées sont gérées. Les administrateurs suivent les procédures d'administration des imprimantes Oracle Solaris de base. La configuration est nécessaire pour appliquer les étiquettes, pour limiter la plage d'étiquettes des travaux d'impression, pour configurer les zones étiquetées à imprimer et pour assouplir les restrictions d'impression.
Trusted Extensions prend en charge à la fois l'impression à niveau unique et multiniveau. Par défaut, un serveur d'impression configuré dans la zone globale d'un système Trusted Extensions peut imprimer la gamme complète d'étiquettes, c'est-à-dire que le serveur d'impression est multiniveau. Toute zone ou tout système étiqueté(e) pouvant accéder à ce serveur d'impression peut imprimer sur l'imprimante connectée. Une zone étiquetée peut prendre en charge l'impression à niveau unique. La zone peut se connecter à l'imprimante par le biais de la zone globale ou la zone peut être configurée en tant que serveur d'impression. N'importe quelle zone sous cette étiquette pouvant atteindre la zone étiquetée, par conséquent son serveur d'impression, peut imprimer sur l'imprimante connectée. L'impression à niveau unique est également possible à l'aide du serveur d'impression sur un système sans étiquette auquel une étiquette arbitraire a été assignée. Ces travaux d'impression impriment sans étiquette.
Le protocole d'impression par défaut pour Oracle Solaris 10 est le service d'impression LP. Le protocole par défaut pour Oracle Solaris 11 est le CUPS (Common UNIX Printing System). Pour un guide complet relatif au CUPS dans Oracle Solaris, reportez-vous à la section Configuration et gestion de l’impression dans Oracle Solaris 11.1. Le tableau suivant répertorie les principales différences entre les protocoles d'impression CUPS et LP.
Tableau 19-1 Différences entre CUPS et LP
|
Les utilisateurs et les rôles des systèmes configurés avec Trusted Extensions créent des travaux d'impression sous l'étiquette de leur session. Les travaux d'impression sont acceptés uniquement par les serveurs d'impression qui reconnaissent cette étiquette. L'étiquette doit se trouver dans la plage d'étiquettes du serveur d'impression.
Les utilisateurs et les rôles peuvent afficher les travaux d'impression dont l'étiquette est identique à l'étiquette de la session. Dans la zone globale, un rôle peut visualiser les travaux dont l'étiquette est dominée par l'étiquette de la zone.
Trusted Extensions imprime les informations de sécurité sur les pages de corps de texte et les pages de garde et de fin. Les informations proviennent du fichier /etc/security/tsol/label_encodings et du fichier /usr/lib/cups/filter/tsol_separator.ps. Les étiquettes d'une longueur supérieure à 80 caractères sont imprimées tronquées en haut et en bas de toutes les pages. La coupure est indiquée par une flèche (->). Les étiquettes d'en-tête et de pied de page sont imprimées en mode portrait même si les pages de corps de texte sont imprimées en mode paysage. Pour obtenir un exemple, reportez-vous à la Figure 19-4.
Le texte, les étiquettes et les avertissements qui s'affichent sur les travaux d'impression sont configurables. Le texte peut également être remplacé par un texte dans une autre langue pour la localisation. L'administrateur de sécurité peut également configurer les éléments suivants :
Localisation ou personnalisation du texte des pages de garde et de fin
Spécification d'autres étiquettes à imprimer sur les pages de corps de texte ou dans les différents champs des pages de garde et de fin
Modification ou omission du texte ou des étiquettes
Les utilisateurs qui sont dirigés vers une imprimante sans étiquette peuvent imprimer sans étiquette. Les utilisateurs d'une zone étiquetée avec son propre serveur d'impression peuvent imprimer sans étiquette si l'autorisation solaris.print.unlabeled leur est assignée. Les rôles peuvent être configurés pour la sortie d'impression sans étiquette sur une imprimante locale qui est contrôlée par un serveur d'impression Trusted Extensions. Pour obtenir de l'aide, reportez-vous à la section Réduction des restrictions d'impression dans Trusted Extensions (liste des tâches).
Les figures suivantes montrent une page de garde par défaut et ses différences avec une page de fin par défaut. Les légendes identifient les différentes sections. Pour obtenir une explication sur la source du texte dans ces sections, reportez-vous au Chapitre 4, Labeling Printer Output (Tasks) du manuel Trusted Extensions Label Administration. Notez que la page de fin utilise une ligne de contour différente.
Figure 19-1 Page de garde standard d'un travail d'impression étiqueté
Figure 19-2 Différences sur une page de fin
Par défaut, la classification “Protect as” est imprimée en haut et en bas de chaque page de corps de texte. “Protect as” est la classification dominante lorsque la classification de l'étiquette du travail est comparée à la classification minimum protect as. La classification minimum protect as est définie dans le fichier label_encodings .
Par exemple, si l'utilisateur est connecté à une session Internal Use Only, les travaux d'impression de l'utilisateur sont sous cette étiquette. Si la classification minimum protect as du fichier label_encodings est Public, l'étiquette Internal Use Only est imprimée sur les pages de corps de texte.
Figure 19-3 Etiquette d'un travail imprimée en haut et en bas d'une page de corps de texte
Lorsque les pages de corps de texte sont imprimées en mode paysage, l'étiquette imprime en mode portrait. La figure suivante illustre une page de corps de texte, imprimée en mode paysage, dont l'étiquette Protect As s'étend au-delà des limites de page. L'étiquette est tronquée à 80 caractères.
Figure 19-4 L'étiquette d'un travail imprime en mode portrait lorsque la page de corps de texte est imprimée en mode paysage
Le tableau suivant présente les aspects de l'impression de confiance que l'administrateur de sécurité peut changer en modifiant le fichier /usr/lib/cups/filter/tsol_separator.ps .
Tableau 19-2 Valeurs configurables dans le fichier tsol_separator.ps
|
L'impression étiquetée dans Trusted Extensions repose sur les fonctions d'impression d'Oracle Solaris Comme dans le SE Oracle Solaris, l'option job-sheets gère la création de la page de garde. Pour implémenter l'étiquetage, un filtre convertit le travail d'impression en un fichier PostScript. Le fichier PostScript est ensuite manipulé pour insérer des étiquettes sur les pages de corps de texte et créer des pages de garde et de fin.
Remarque - CUPS empêche toute modification des fichiers PostScript. Par conséquent, un programmeur PostScript expérimenté ne peut pas créer un fichier PostScript qui modifie les étiquettes sur l'impression.
Trusted Extensions ajoute les autorisations d'impression suivantes pour appliquer la stratégie de sécurité Trusted Extensions. Ces autorisations sont contrôlées sur le serveur d'impression. Par conséquent, les utilisateurs distants, tels que les utilisateurs des zones étiquetées, ne peuvent pas transmettre la vérification d'autorisation.
solaris.print.admin : permet à un rôle de gérer l'impression
solaris.print.list : permet à un rôle de visualiser les travaux d'impression qui n'appartiennent pas au rôle
solaris.print.nobanner : permet à un rôle d'imprimer des travaux sans page de garde ni page de fin à partir de la zone globale
solaris.print.unlabeled : permet à un rôle d'imprimer des travaux sans étiquette de page à partir de la zone globale
Les commandes utilisateur suivantes sont étendues pour être conformes à la stratégie de sécurité Trusted Extensions :
cancel : l'appelant doit disposer d'une étiquette égale à l'étiquette du travail d'impression pour annuler une tâche. Les utilisateurs standard peuvent uniquement annuler leurs propres travaux.
lp : l'option -o nolabel, qui imprime les pages de corps de texte sans étiquette, nécessite l'autorisation solaris.print.unlabeled. L'option -o job-sheets=none , qui imprime le travail sans page de garde ni page de fin, nécessite l'autorisation solaris.print.nobanner.
lpstat : l'appelant doit disposer d'une étiquette égale à l'étiquette du travail d'impression pour obtenir l'état du travail. Les utilisateurs standard peuvent uniquement afficher leurs propres travaux d'impression.
Les commandes administratives suivantes sont étendues pour être conformes à la stratégie de sécurité Trusted Extensions. Comme dans le SE Oracle Solaris, ces commandes ne peuvent être exécutées que par un rôle comprenant le profil de droits Printer Management (gestion des imprimantes).
lpmove : l'appelant doit disposer d'une étiquette égale à l'étiquette du travail d'impression pour modifier un travail. Par défaut, les utilisateurs standard peuvent déplacer leurs propres travaux d'impression.
lpadmin : dans la zone globale, cette commande fonctionne pour tous les travaux. Dans une zone étiquetée, l'appelant doit dominer l'étiquette du travail d'impression pour visualiser un travail, et disposer d'une étiquette égale pour modifier un travail.
lpsched : dans la zone globale, cette commande aboutit toujours. Comme dans le SE Oracle Solaris, utilisez la commande svcadm pour activer, désactiver, démarrer ou redémarrer le service d'impression. Dans une zone étiquetée, l'appelant doit avoir une étiquette égale à celle du service d'impression pour modifier ce dernier. Pour plus d'informations sur l'utilitaire de gestion des services, reportez-vous aux pages de manuel smf(5), svcadm(1M) et svcs(1).