JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Configuration et administration de Trusted Extensions     Oracle Solaris 11.1 Information Library (Français)
search filter icon
search icon

Informations document

Préface

Partie I Configuration initiale de Trusted Extensions

1.  Planification de la sécurité pour Trusted Extensions

2.  Déroulement de la configuration de Trusted Extensions

3.  Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)

4.  Configuration de Trusted Extensions (tâches)

Configuration de la zone globale dans Trusted Extensions

Vérification et installation du fichier Label Encodings

Configuration d'un réseau IPv6 CIPSO dans Trusted Extensions

Configuration d'un autre domaine d'interprétation

Création de zones étiquetées

Création d'un système Trusted Extensions par défaut

Création interactive de zones étiquetées

Affectation d'étiquettes à deux espaces de travail comportant des zones

Configuration des interfaces réseau dans Trusted Extensions

Partage d'une seule adresse IP entre toutes les zones

Ajout d'une instance d'IP à une zone étiquetée

Ajout d'une interface réseau virtuelle à une zone étiquetée

Connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions

Configuration d'un service de noms distinct pour chaque zone étiquetée

Création de rôles et d'utilisateurs dans Trusted Extensions

Création du rôle d'administrateur sécurité dans Trusted Extensions

Création d'un rôle d'administrateur de sécurité

Création d'utilisateurs pouvant prendre des rôles dans Trusted Extensions

Vérification du fonctionnement des rôles Trusted Extensions

Autorisation des utilisateurs à se connecter à une zone étiquetée

Création de répertoires personnels centralisés dans Trusted Extensions

Création du serveur d'annuaires personnel dans Trusted Extensions

Procédure permettant aux utilisateurs d'accéder à leurs répertoires personnels distants sous chaque étiquette en se connectant à chaque serveur NFS

Procédure permettant aux utilisateurs d'accéder à leurs répertoires personnels distants en configurant l'agent de montage automatique sur chaque serveur

Dépannage de votre configuration Trusted Extensions

Déplacement des panneaux du bureau vers le bas de l'écran

Tâches de configuration supplémentaires de Trusted Extensions

Création d'une zone étiquetée secondaire

Création et partage d'un jeu de données multiniveau

Copie de fichiers sur un média amovible dans Trusted Extensions

Copie de fichiers dans Trusted Extensions à partir d'un média amovible

Suppression de Trusted Extensions du système

5.  Configuration de LDAP pour Trusted Extensions (tâches)

Partie II Administration de Trusted Extensions

6.  Concepts d'administration de Trusted Extensions

7.  Outils d'administration de Trusted Extensions

8.  Exigences de sécurité sur un système Trusted Extensions (présentation)

9.  Exécution de tâches courantes dans Trusted Extensions

10.  Utilisateurs, droits et rôles dans Trusted Extensions (présentation)

11.  Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)

12.  Administration à distance dans Trusted Extensions (tâches)

13.  Gestion des zones dans Trusted Extensions

14.  Gestion et montage de fichiers dans Trusted Extensions

15.  Gestion de réseaux de confiance (présentation)

16.  Gestion des réseaux dans Trusted Extensions (tâches)

17.  Trusted Extensions et LDAP (présentation)

18.  Messagerie multiniveau dans Trusted Extensions (présentation)

19.  Gestion de l'impression étiquetée (tâches)

20.  Périphériques dans Trusted Extensions (présentation)

21.  Gestion des périphériques pour Trusted Extensions (tâches)

22.  Audit de Trusted Extensions (présentation)

23.  Gestion des logiciels dans Trusted Extensions

A.  Stratégie de sécurité du site

Création et gestion d'une stratégie de sécurité

Stratégie de sécurité du site et Trusted Extensions

Recommandations relatives à la sécurité informatique

Recommandations relatives à la sécurité physique

Recommandations relatives à la sécurité du personnel

Violations de sécurité courantes

Références de sécurité supplémentaires

B.  Liste de contrôle de configuration pour Trusted Extensions

Liste de contrôle de configuration de Trusted Extensions

C.  Guide de référence rapide pour l'administration de Trusted Extensions

Interfaces d'administration dans Trusted Extensions

Interfaces Oracle Solaris étendues par Trusted Extensions

Renforcement des paramètres de sécurité par défaut dans Trusted Extensions

Options limitées dans Trusted Extensions

D.  Liste des pages de manuel Trusted Extensions

Pages de manuel Trusted Extensions par ordre alphabétique

Pages de manuel Oracle Solaris modifiées par Trusted Extensions

Glossaire

Index

Création de répertoires personnels centralisés dans Trusted Extensions

Dans Trusted Extensions, les utilisateurs ont besoin d'accéder à leurs répertoires personnels sur chaque étiquette sur laquelle ils travaillent. Par défaut, les répertoires personnels sont créés automatiquement par l'agent de montage automatique qui s'exécute dans chaque zone. Toutefois, si vous utilisez un serveur NFS pour centraliser les répertoires personnels, vous devez activer l'accès au répertoire personnel sous chaque étiquette pour vos utilisateurs.

Création du serveur d'annuaires personnel dans Trusted Extensions

Avant de commencer

Vous êtes dans le rôle root dans la zone globale.

  1. Ajoutez le logiciel Trusted Extensions au serveur d'annuaires personnel et configurez ses zones étiquetées.

    Etant donné que les utilisateurs requièrent un répertoire personnel sous chaque étiquette à laquelle ils peuvent se connecter, créez un serveur d'annuaires personnel sous chaque étiquette des utilisateurs. Par exemple, si vous créez une configuration par défaut, créez un serveur d'annuaires personnel pour l'étiquette PUBLIC et un serveur pour l'étiquette INTERNAL.

  2. Pour chaque zone étiquetée, suivez la procédure de montage automatique décrite à la section Montage NFS de fichiers dans une zone étiquetée. Revenez ensuite à cette procédure.
  3. Vérifiez que les répertoires personnels ont été créés.
    1. Déconnectez-vous du serveur d'annuaires personnel.
    2. En tant qu'utilisateur standard, connectez-vous au serveur d'annuaires personnel.
    3. Dans la zone de connexion, ouvrez un terminal.
    4. Dans la fenêtre de terminal, vérifiez que le répertoire personnel de l'utilisateur existe.
    5. Créez des espaces de travail pour chaque zone dans laquelle l'utilisateur peut travailler.
    6. Dans chaque zone, ouvrez une fenêtre de terminal afin de vérifier que le répertoire personnel de l'utilisateur existe.
  4. Déconnectez-vous du serveur d'annuaires personnel.

Procédure permettant aux utilisateurs d'accéder à leurs répertoires personnels distants sous chaque étiquette en se connectant à chaque serveur NFS

Cette procédure permet d'autoriser les utilisateurs à créer un répertoire personnel sous chaque étiquette en les autorisant à se connecter directement à chaque serveur d'annuaires personnel. Après avoir créé chaque répertoire personnel sur le serveur central, les utilisateurs peuvent accéder à leurs répertoires personnels à partir de n'importe quel système.

En tant qu'administrateur, vous pouvez également créer un point de montage sur chaque serveur d'annuaires personnel en exécutant un script et en modifiant ensuite l'agent de montage automatique. Pour cette méthode, reportez-vous à la section Procédure permettant aux utilisateurs d'accéder à leurs répertoires personnels distants en configurant l'agent de montage automatique sur chaque serveur.

Avant de commencer

Les serveurs d'annuaires personnels de votre domaine Trusted Extensions sont configurés.

Étapes suivantes

Les utilisateurs peuvent se connecter sous une autre étiquette à partir de leur étiquette par défaut en choisissant une autre étiquette dans le générateur d'étiquettes (Label Builder) au cours de la connexion.

Procédure permettant aux utilisateurs d'accéder à leurs répertoires personnels distants en configurant l'agent de montage automatique sur chaque serveur

Au cours de cette procédure, vous exécutez un script qui crée un point de montage pour les répertoires personnels sur chaque serveur NFS. Vous modifiez ensuite l'entrée auto_home sous l'étiquette du serveur pour ajouter le point de montage. Les utilisateurs peuvent alors s'y connecter.

Avant de commencer

Les serveurs d'annuaires personnels de votre domaine Trusted Extensions sont configurés en tant que clients LDAP. Les comptes utilisateur ont été créés sur le serveur LDAP à l'aide de la commande useradd avec l'option -S ldap. Vous devez être dans le rôle root.

  1. Ecrivez un script qui crée un point de montage de répertoire personnel pour chaque utilisateur.

    L'exemple de script suppose que :

    • Le serveur LDAP est un serveur différent du serveur d'annuaires personnel NFS.

    • Les systèmes client sont également des systèmes différents.

    • L'entrée hostname spécifie l'adresse IP externe de la zone, c'est-à-dire le serveur d'annuaires personnel NFS pour l'étiquette de celle-ci.

    • Le script sera exécuté sur le serveur NFS dans la zone qui sert les clients sous cette étiquette.

    #!/bin/sh
    hostname=$(hostname)
    scope=ldap
    
    for j in $(getent passwd|tr ' ' _); do
        uid=$(echo $j|cut -d: -f3)
        if [ $uid -ge 100 ]; then
            home=$(echo $j|cut -d: -f6)
            if [[ $home == /home/* ]]; then
                user=$(echo $j|cut -d: -f1)
                echo Updating home directory for $user
                homedir=/export/home/$user
                usermod -md ${hostname}:$homedir -S $scope $user
                mp=$(mount -p|grep  " $homedir zfs" )
                dataset=$(echo $mp|cut -d" " -f1)
                if [[ -n $dataset ]]; then
                    zfs set sharenfs=on $dataset
                fi
            fi
        fi
    done
  2. Sur chaque serveur NFS, exécutez le script précédent dans la zone étiquetée qui sert les clients sous cette étiquette.