JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Configuration et administration de Trusted Extensions     Oracle Solaris 11.1 Information Library (Français)
search filter icon
search icon

Informations document

Préface

Partie I Configuration initiale de Trusted Extensions

1.  Planification de la sécurité pour Trusted Extensions

2.  Déroulement de la configuration de Trusted Extensions

3.  Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)

4.  Configuration de Trusted Extensions (tâches)

5.  Configuration de LDAP pour Trusted Extensions (tâches)

Partie II Administration de Trusted Extensions

6.  Concepts d'administration de Trusted Extensions

7.  Outils d'administration de Trusted Extensions

8.  Exigences de sécurité sur un système Trusted Extensions (présentation)

9.  Exécution de tâches courantes dans Trusted Extensions

10.  Utilisateurs, droits et rôles dans Trusted Extensions (présentation)

11.  Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)

12.  Administration à distance dans Trusted Extensions (tâches)

13.  Gestion des zones dans Trusted Extensions

Zones dans Trusted Extensions

Zones et adresses IP dans Trusted Extensions

Zones et ports multiniveau

Zones et ICMP dans Trusted Extensions

Processus de zone globale et zones étiquetées

Zones étiquetées principales et secondaires

Utilitaires d'administration des zones dans Trusted Extensions

Gestion des zones (liste des tâches)

Affichage des zones prêtes ou en cours d'exécution

Affichage des étiquettes de fichiers montés

Montage en loopback d'un fichier qui n'est généralement pas visible dans une zone étiquetée

Désactivation du montage pour les fichiers de niveau inférieur

Partage d'un ensemble de données ZFS à partir d'une zone étiquetée

Octroi de l'autorisation à modifier l'étiquette de fichiers à un utilisateur

14.  Gestion et montage de fichiers dans Trusted Extensions

15.  Gestion de réseaux de confiance (présentation)

16.  Gestion des réseaux dans Trusted Extensions (tâches)

17.  Trusted Extensions et LDAP (présentation)

18.  Messagerie multiniveau dans Trusted Extensions (présentation)

19.  Gestion de l'impression étiquetée (tâches)

20.  Périphériques dans Trusted Extensions (présentation)

21.  Gestion des périphériques pour Trusted Extensions (tâches)

22.  Audit de Trusted Extensions (présentation)

23.  Gestion des logiciels dans Trusted Extensions

A.  Stratégie de sécurité du site

Création et gestion d'une stratégie de sécurité

Stratégie de sécurité du site et Trusted Extensions

Recommandations relatives à la sécurité informatique

Recommandations relatives à la sécurité physique

Recommandations relatives à la sécurité du personnel

Violations de sécurité courantes

Références de sécurité supplémentaires

B.  Liste de contrôle de configuration pour Trusted Extensions

Liste de contrôle de configuration de Trusted Extensions

C.  Guide de référence rapide pour l'administration de Trusted Extensions

Interfaces d'administration dans Trusted Extensions

Interfaces Oracle Solaris étendues par Trusted Extensions

Renforcement des paramètres de sécurité par défaut dans Trusted Extensions

Options limitées dans Trusted Extensions

D.  Liste des pages de manuel Trusted Extensions

Pages de manuel Trusted Extensions par ordre alphabétique

Pages de manuel Oracle Solaris modifiées par Trusted Extensions

Glossaire

Index

Zones dans Trusted Extensions

Un système Trusted Extensions correctement configuré comprend une zone globale, qui correspond à l'instance du système d'exploitation, et une ou plusieurs zones étiquetées non globales. Lors de la configuration, Trusted Extensions joint une étiquette à chaque zone et crée ainsi des zones étiquetées. Les étiquettes proviennent du fichier label_encodings. Vous pouvez créer une ou plusieurs zones pour chaque étiquette, mais cela n'est pas obligatoire. Un système peut comporter plus d'étiquettes que de zones étiquetées.

Sur un système Trusted Extensions, la zone globale est uniquement une zone administrative. Les zones étiquetées sont destinées aux utilisateurs standard. Les utilisateurs peuvent travailler dans une zone dont l'étiquette est comprise dans la plage d'accréditations de l'utilisateur.

Sur un système Trusted Extensions, toutes les zones ont une marque étiquetée et tous les fichiers et répertoires accessibles en écriture d'une zone étiquetée sont sous l'étiquette de la zone. Par défaut, un utilisateur peut visualiser les fichiers appartenant à une zone dont le niveau d'étiquette est inférieur à celui de l'étiquette actuelle de l'utilisateur. Cette configuration permet aux utilisateurs de visualiser leurs répertoires personnels correspondant à des étiquettes de niveau inférieur par rapport à celle de l'espace de travail actuel. Bien que les utilisateurs puissent visualiser les fichiers correspondant à un niveau inférieur, ils ne peuvent pas les modifier. Les utilisateurs peuvent uniquement modifier les fichiers à partir d'un processus de même étiquette que les fichiers concernés.

Chaque zone est un système de fichiers ZFS discrets. Chaque zone peut être associée à une adresse IP et à des attributs de sécurité. Une zone peut être configurée avec des ports multiniveau (les MLP). En outre, une zone peut être configurée avec une stratégie relative aux diffusions ICMP (Internet Control Message Protocol), telles que ping.

Pour plus d'informations sur le partage de répertoires d'une zone étiquetée et sur le montage à distance de répertoires depuis des zones étiquetées, reportez-vous au Chapitre 14, Gestion et montage de fichiers dans Trusted Extensions et à la section Propriété mlslabel et montage de systèmes de fichiers à niveau unique.

Les zones de Trusted Extensions sont basées sur le produit de zones d'Oracle Solaris Pour obtenir des informations de référence, reportez-vous à la section Partie II, Oracle Solaris Zones du manuel Administration d’Oracle Solaris 11.1 : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources.

Zones et adresses IP dans Trusted Extensions

Votre équipe de configuration initiale a assigné des adresses IP à la zone globale et aux zones étiquetées. Elle a considéré trois types de configurations comme indiqué dans la section Accès aux zones étiquetées qu'il est possible de résumer comme suit :

Un quatrième type de configuration pour une zone non globale est disponible dans les instances IP exclusives d'Oracle Solaris. Dans cette configuration, une zone non globale se voit attribuer sa propre instance d'IP et gère ses propres interfaces physiques. Chaque zone fonctionne comme si elle constituait un système distinct. Pour obtenir une description, reportez-vous à la section Interfaces réseau de zones du manuel Administration d’Oracle Solaris 11.1 : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources.

Si vous configurez des instances IP exclusives dans Trusted Extensions, chaque zone étiquetée fonctionne comme si elle est constituait un système à niveau unique distinct. Les fonctions de mise en réseau multiniveau de Trusted Extensions s'appuient sur les fonctions d'une pile IP partagée. Ce guide suppose que la mise en réseau est entièrement contrôlée par la zone globale. Par conséquent, si votre équipe de configuration initiale a installé des zones étiquetées avec des instances IP exclusives, vous devez fournir ou vous reporter à la documentation spécifique du site.

Zones et ports multiniveau

Par défaut, une zone ne peut pas envoyer ni recevoir des paquet vers ni depuis une autre zone. Les ports multiniveau (les MLP) permettent à certains services particuliers sur un port d'accepter des demandes correspondant à une plage d'étiquettes ou à un jeu d'étiquettes donné. Ces services privilégiés peuvent répondre sous l'étiquette de la demande. Vous pouvez par exemple souhaiter créer un port de navigateur Web privilégié capable d'écouter sur toutes les étiquettes, mais dont les réponses sont limitées en fonction de l'étiquette. Par défaut, les zones étiquetées n'ont pas de MLP.

La plage d'étiquettes ou l'ensemble d'étiquettes qui limite les paquets pouvant être acceptés par le MLP dépend de l'adresse IP de la zone. Un modèle de sécurité est affecté à l'adresse IP en communiquant des systèmes Trusted Extensions. La plage d'étiquettes ou l'ensemble d'étiquettes du modèle de sécurité limite les paquets que le MLP peut accepter.

Les contraintes qui s'appliquent aux MPL pour les différentes configurations d'adresse IP sont les suivantes :

Pour un exemple, reportez-vous à la section Création d'un port multiniveau pour une zone.

Zones et ICMP dans Trusted Extensions

Les réseaux transmettent des messages de diffusion et envoient des paquets ICMP aux systèmes du réseau. Sur un système multiniveau, ces transmissions risquent d'inonder le système sous chaque étiquette. Par défaut, la stratégie réseau des zones étiquetées exige que les paquets ICMP soient uniquement reçus sous l'étiquette correspondante.