Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
Personnalisation de l'environnement de l'utilisateur pour en assurer la sécurité (liste des tâches)
Modification des attributs d'étiquette par défaut des utilisateurs
Modification des valeurs par défaut de policy.conf
Configuration des fichiers de démarrage pour les utilisateurs dans Trusted Extensions
Gestion des utilisateurs et des droits (liste des tâches)
Modification d'une plage d'étiquettes d'utilisateur
Création d'un profil de droits pour des autorisations commodes
Limitation du jeu de privilèges d'un utilisateur
Désactivation du verrouillage du compte pour certains utilisateurs
Octroi de l'autorisation de modifier le niveau de sécurité de données à un utilisateur
Suppression d'un compte utilisateur d'un système Trusted Extensions
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions
14. Gestion et montage de fichiers dans Trusted Extensions
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
La liste des tâches ci-dessous décrit les tâches courantes que vous pouvez effectuer lorsque vous personnalisez un système pour tous les utilisateurs ou lorsque vous personnalisez un compte utilisateur. La plupart de ces tâches sont effectuées avant que les utilisateurs standard puissent se connecter.
|
Vous pouvez modifier les attributs d'étiquette par défaut des utilisateurs lors de la configuration du premier système. Les modifications doivent être copiées sur chaque système Trusted Extensions.
Attention - Vous devez terminer cette tâche afin que les utilisateurs standard puissent accéder au système. |
Avant de commencer
Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .
Pour les valeurs par défaut, reportez-vous au Tableau 1-2 in Planification de la sécurité de l'utilisateur dans Trusted Extensions.
Attention - Le fichier label_encodings doit être identique sur tous les systèmes. Pour une méthode de distribution, reportez-vous aux sections Copie de fichiers sur un média amovible dans Trusted Extensions et Copie de fichiers dans Trusted Extensions à partir d'un média amovible. |
La modification des valeurs par défaut du fichier policy.conf dans Trusted Extensions est similaire à la modification de tout fichier système lié à la sécurité dans Oracle Solaris. Utilisez cette procédure pour modifier les paramètres par défaut pour tous les utilisateurs d'un système.
Avant de commencer
Vous devez être dans le rôle root dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .
Pour les mots-clés de Trusted Extensions, reportez-vous au Tableau 10-1.
Exemple 11-1 Modification des paramètres d'inactivité du système
Dans cet exemple, l'administrateur de sécurité souhaite que les systèmes inactifs reviennent à l'écran de connexion. Par défaut, un système inactif est verrouillé. Par conséquent, le rôle root ajoute la paire IDLECMD keyword= value au fichier /etc/security/policy.conf de la façon suivante :
IDLECMD=LOGOUT
L'administrateur veut également réduire la durée d'inactivité des systèmes avant la déconnexion. Par conséquent, le rôle root ajoute la paire IDLETIME keyword=value au fichier policy.conf de la façon suivante :
IDLETIME=10
Le système déconnecte désormais l'utilisateur après 10 minutes d'inactivité du système.
Notez que si l'utilisateur de connexion prend un rôle, les valeurs IDLECMD et IDLETIME de l'utilisateur s'appliquent pour ce rôle.
Exemple 11-2 Modification du jeu de privilèges de base de chaque utilisateur
Dans cet exemple, l'administrateur de sécurité d'une installation Sun Ray de grande taille ne souhaite pas que les utilisateurs standard puissent voir les processus d'autres utilisateurs Sun Ray. Par conséquent, le rôle root supprime proc_info de l'ensemble de privilèges de base sur chaque système configuré avec Trusted Extensions. Le paramètre PRIV_DEFAULT du fichier /etc/policy.conf est modifié et ses commentaires sont annulés comme suit :
PRIV_DEFAULT=basic,!proc_info
Exemple 11-3 Affectation d'autorisations liées à l'impression à tous les utilisateurs d'un système
Dans cet exemple, la sécurité du site permet à un ordinateur de kiosque public d'imprimer sans étiquette. Sur le kiosque public, le rôle root modifie la valeur de AUTHS_GRANTED dans le fichier /etc/security/policy.conf. A la prochaine initialisation, les travaux d'impression de tous les utilisateurs de ce kiosque seront imprimés sans étiquettes de pages.
AUTHS_GRANTED=solaris.print.unlabeled
Ensuite, l'administrateur décide d'économiser du papier en supprimant les pages de garde et de fin. L'administrateur modifie en outre l'entrée policy.conf.
AUTHS_GRANTED=solaris.print.unlabeled,solaris.print.nobanner
Après la réinitialisation du kiosque public, tous les travaux d'impression sont sans étiquette et n'ont ni page de garde, ni page de fin.
Les utilisateurs peuvent placer un fichier .copy_files et un fichier .link_files dans leur répertoire personnel sous l'étiquette correspondant à leur étiquette de sensibilité minimale. Les utilisateurs peuvent également modifier les fichiers .copy_files et .link_files existants sous l'étiquette minimale des utilisateurs. Cette procédure permet au rôle d'administrateur d'automatiser la configuration pour un site.
Avant de commencer
Vous devez être dans le rôle d'administrateur système dans la zone globale. Pour plus d'informations, reportez-vous à la section Accès à la zone globale dans Trusted Extensions .
Vous allez ajouter .copy_files et .link_files à votre liste de fichiers de démarrage.
# cd /etc/skel # touch .copy_files .link_files
# pfedit /etc/skel/.copy_files
Reportez-vous à la section Fichiers .copy_files et .link_files si vous avez besoin de suggestions. Pour des exemples de fichiers, reportez-vous à l'Exemple 11-4.
Pour une description des fichiers à inclure dans les fichiers de démarrage, reportez-vous à la section Personnalisation de l’environnement de travail d’un utilisateur du manuel Gestion des compte et environnements utilisateur dans Oracle Solaris 11.1.
Pour plus de détails, reportez-vous à la section Personnalisation des fichiers d’initialisation utilisateur du manuel Gestion des compte et environnements utilisateur dans Oracle Solaris 11.1.
Le caractère P représente le shell de profil.
Le caractère X représente la première lettre du nom du shell, tel que B pour Bourne, K pour Korn, C pour un shell C et P pour un shell de profil.
Exemple 11-4 Personnalisation des fichiers de démarrage pour les utilisateurs
Dans cet exemple, l'administrateur système configure des fichiers pour le répertoire personnel de chaque utilisateur. Les fichiers sont en place avant la connexion du premier utilisateur. Les fichiers sont sous l'étiquette minimale de l'utilisateur. Sur ce site, le shell par défaut des utilisateurs est le shell C.
L'administrateur système crée un fichier .copy_files et un fichier .link_files avec les contenus suivants :
## .copy_files for regular users ## Copy these files to my home directory in every zone .mailrc .mozilla .soffice :wq
## .link_files for regular users with C shells ## Link these files to my home directory in every zone .bashrc .bashrc.user .cshrc .login :wq
## .link_files for regular users with Korn shells # Link these files to my home directory in every zone .ksh .profile :wq
Dans les fichiers d'initialisation du shell, l'administrateur s'assure que les travaux d'impression des utilisateurs sont envoyés vers une imprimante étiquetée.
## .cshrc file setenv PRINTER conf-printer1 setenv LPDEST conf-printer1
## .ksh file export PRINTER conf-printer1 export LPDEST conf-printer1
Les fichiers personnalisés sont copiés dans le répertoire squelette approprié.
$ cp .copy_files .link_files .bashrc .bashrc.user .cshrc \ .login .profile .mailrc /etc/skelC $ cp .copy_files .link_files .ksh .profile .mailrc \ /etc/skelK
Erreurs fréquentes
Si vous créez un fichier .copy_files à votre étiquette la plus basse, que vous vous connectez ensuite à une zone supérieure afin d'exécuter la commande updatehome et que l'exécution de cette commande échoue avec une erreur d'accès, vérifiez les points suivants :
Vérifiez que vous pouvez visualiser le répertoire de niveau inférieur à partir de la zone supérieure.
higher-level zone# ls /zone/lower-level-zone/home/username ACCESS ERROR: there are no files under that directory
Si vous ne pouvez pas visualiser le répertoire, redémarrez le service de montage automatique dans la zone de niveau supérieur :
higher-level zone# svcadm restart autofs
A moins que vous n'utilisiez des montages NFS pour les répertoires personnels, le montage automatique dans la zone supérieure doit être en loopback de /zone/lower-level-zone/export/home/username à /zone/lower-level-zone/home/username.
Dans Trusted Extensions, la connexion de secours est protégée. Si un utilisateur standard a des fichiers d'initialisation du shell personnalisés et ne peut pas se connecter, vous pouvez utiliser la connexion de secours pour corriger les fichiers de l'utilisateur.
Avant de commencer
Vous devez connaître le mot de passe root.
Vous pouvez ensuite déboguer les fichiers d'initialisation de l'utilisateur.