| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
Configuration de la zone globale dans Trusted Extensions
Vérification et installation du fichier Label Encodings
Configuration d'un réseau IPv6 CIPSO dans Trusted Extensions
Configuration d'un autre domaine d'interprétation
Création d'un système Trusted Extensions par défaut
Création interactive de zones étiquetées
Affectation d'étiquettes à deux espaces de travail comportant des zones
Configuration des interfaces réseau dans Trusted Extensions
Partage d'une seule adresse IP entre toutes les zones
Ajout d'une instance d'IP à une zone étiquetée
Ajout d'une interface réseau virtuelle à une zone étiquetée
Connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions
Configuration d'un service de noms distinct pour chaque zone étiquetée
Création de rôles et d'utilisateurs dans Trusted Extensions
Création du rôle d'administrateur sécurité dans Trusted Extensions
Création d'un rôle d'administrateur de sécurité
Création d'utilisateurs pouvant prendre des rôles dans Trusted Extensions
Vérification du fonctionnement des rôles Trusted Extensions
Autorisation des utilisateurs à se connecter à une zone étiquetée
Création de répertoires personnels centralisés dans Trusted Extensions
Création du serveur d'annuaires personnel dans Trusted Extensions
Dépannage de votre configuration Trusted Extensions
Déplacement des panneaux du bureau vers le bas de l'écran
Tâches de configuration supplémentaires de Trusted Extensions
Création d'une zone étiquetée secondaire
Création et partage d'un jeu de données multiniveau
Copie de fichiers sur un média amovible dans Trusted Extensions
Copie de fichiers dans Trusted Extensions à partir d'un média amovible
Suppression de Trusted Extensions du système
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions
14. Gestion et montage de fichiers dans Trusted Extensions
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Dans Trusted Extensions, les utilisateurs ont besoin d'accéder à leurs répertoires personnels sur chaque étiquette sur laquelle ils travaillent. Par défaut, les répertoires personnels sont créés automatiquement par l'agent de montage automatique qui s'exécute dans chaque zone. Toutefois, si vous utilisez un serveur NFS pour centraliser les répertoires personnels, vous devez activer l'accès au répertoire personnel sous chaque étiquette pour vos utilisateurs.
Avant de commencer
Vous êtes dans le rôle root dans la zone globale.
Etant donné que les utilisateurs requièrent un répertoire personnel sous chaque étiquette à laquelle ils peuvent se connecter, créez un serveur d'annuaires personnel sous chaque étiquette des utilisateurs. Par exemple, si vous créez une configuration par défaut, créez un serveur d'annuaires personnel pour l'étiquette PUBLIC et un serveur pour l'étiquette INTERNAL.
Cette procédure permet d'autoriser les utilisateurs à créer un répertoire personnel sous chaque étiquette en les autorisant à se connecter directement à chaque serveur d'annuaires personnel. Après avoir créé chaque répertoire personnel sur le serveur central, les utilisateurs peuvent accéder à leurs répertoires personnels à partir de n'importe quel système.
En tant qu'administrateur, vous pouvez également créer un point de montage sur chaque serveur d'annuaires personnel en exécutant un script et en modifiant ensuite l'agent de montage automatique. Pour cette méthode, reportez-vous à la section Procédure permettant aux utilisateurs d'accéder à leurs répertoires personnels distants en configurant l'agent de montage automatique sur chaque serveur.
Avant de commencer
Les serveurs d'annuaires personnels de votre domaine Trusted Extensions sont configurés.
En règle générale, vous avez créé un serveur NFS par étiquette.
Un répertoire personnel pour l'utilisateur est disponible sous l'étiquette du serveur lorsque la connexion est établie.
Le répertoire personnel correspondant à leur étiquette par défaut est disponible à partir du serveur d'annuaires personnel. Lorsqu'un utilisateur modifie l'étiquette d'une session ou ajoute un espace de travail sur une autre étiquette, le répertoire personnel de l'utilisateur pour cette étiquette est monté.
Étapes suivantes
Les utilisateurs peuvent se connecter sous une autre étiquette à partir de leur étiquette par défaut en choisissant une autre étiquette dans le générateur d'étiquettes (Label Builder) au cours de la connexion.
Au cours de cette procédure, vous exécutez un script qui crée un point de montage pour les répertoires personnels sur chaque serveur NFS. Vous modifiez ensuite l'entrée auto_home sous l'étiquette du serveur pour ajouter le point de montage. Les utilisateurs peuvent alors s'y connecter.
Avant de commencer
Les serveurs d'annuaires personnels de votre domaine Trusted Extensions sont configurés en tant que clients LDAP. Les comptes utilisateur ont été créés sur le serveur LDAP à l'aide de la commande useradd avec l'option -S ldap. Vous devez être dans le rôle root.
L'exemple de script suppose que :
Le serveur LDAP est un serveur différent du serveur d'annuaires personnel NFS.
Les systèmes client sont également des systèmes différents.
L'entrée hostname spécifie l'adresse IP externe de la zone, c'est-à-dire le serveur d'annuaires personnel NFS pour l'étiquette de celle-ci.
Le script sera exécuté sur le serveur NFS dans la zone qui sert les clients sous cette étiquette.
#!/bin/sh
hostname=$(hostname)
scope=ldap
for j in $(getent passwd|tr ' ' _); do
uid=$(echo $j|cut -d: -f3)
if [ $uid -ge 100 ]; then
home=$(echo $j|cut -d: -f6)
if [[ $home == /home/* ]]; then
user=$(echo $j|cut -d: -f1)
echo Updating home directory for $user
homedir=/export/home/$user
usermod -md ${hostname}:$homedir -S $scope $user
mp=$(mount -p|grep " $homedir zfs" )
dataset=$(echo $mp|cut -d" " -f1)
if [[ -n $dataset ]]; then
zfs set sharenfs=on $dataset
fi
fi
fi
done
|