Configuration de la zone globale dans Trusted Extensions

Pour personnaliser la configuration de Trusted Extensions, effectuez les procédures décrites dans la liste des tâches ci-dessous. Pour installer la configuration par défaut, reportez-vous à la section Création de zones étiquetées.

Tâche	Description	Voir
Protection du matériel	Protège le matériel en exigeant un mot de passe pour toute modification de paramètres matériels.	Contrôle de l’accès au matériel du système (tâches) du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité
Configuration des étiquettes	Des étiquettes doivent être configurées pour votre site. Si vous envisagez d'utiliser le fichier `label_encodings` par défaut, vous pouvez ignorer cette étape.	Vérification et installation du fichier Label Encodings
Configuration d'un réseau IPv6	Active la compatibilité avec un réseau IPv6 CIPSO de Trusted Extensions.	Configuration d'un réseau IPv6 CIPSO dans Trusted Extensions
Modification du DOI	Spécifie un domaine d'interprétation (DOI) qui n'est pas `1`.	Configuration d'un autre domaine d'interprétation
Configuration du serveur LDAP	Configure un serveur d'annuaire LDAP Trusted Extensions.	Chapitre 5, Configuration de LDAP pour Trusted Extensions (tâches)
Configuration de clients LDAP	Fait de ce système un client du serveur d'annuaire LDAP de Trusted Extensions.	Etablissement de la zone globale en tant que client LDAP dans Trusted Extensions

Vérification et installation du fichier Label Encodings

Votre fichier de codage doit être compatible avec l'hôte Trusted Extensions avec lequel vous communiquez.

Remarque - Trusted Extensions installe un fichier label_encodings par défaut. Ce fichier par défaut est utile pour les démonstrations. Toutefois, ce fichier peut ne pas être le bon choix pour votre utilisation particulière. Si vous prévoyez d'utiliser le fichier par défaut, vous pouvez ignorer cette procédure.

Si vous êtes déjà familiarisé avec les fichiers de codage, vous pouvez utiliser la procédure suivante.
Si vous n'êtes pas familiarisé avec les fichiers de codage, consultez le manuel Trusted Extensions Label Administration pour connaître la configuration requise, les procédures et des exemples.

Attention - Vous devez installer les étiquettes avant de poursuivre ou la configuration échouera.

Avant de commencer

Vous êtes l'administrateur de sécurité. L'administrateur de sécurité est responsable de la modification, la vérification et la maintenance du fichier label_encodings. Si vous prévoyez de modifier le fichier label_encodings, assurez-vous que le fichier lui-même est accessible en écriture. Pour plus d'informations, reportez-vous à la page de manuel label_encodings(4).

Pour modifier le fichier label_encodings, vous devez être dans le rôle root.

Copiez le fichier label_encodings sur le disque.
Pour copier à partir d'un média amovible, reportez-vous à la section Copie de fichiers dans Trusted Extensions à partir d'un média amovible.
Dans une fenêtre de terminal, vérifiez la syntaxe du fichier.
1. Exécutez la commande chk_encodings.
```
# /usr/sbin/chk_encodings /full-pathname-of-label-encodings-file
```
2. Lisez la sortie et effectuez l'une des opérations suivantes :
  - Résolvez les erreurs.
    Si la commande signale la présence d'erreurs, celles-ci doivent être résolues avant de continuer. Pour obtenir de l'aide, reportez-vous au Chapitre 3, Creating a Label Encodings File (Tasks) du manuel Trusted Extensions Label Administration
  - Faites du fichier le fichier label_encodings actif.
```
# cp /full-pathname-of-label-encodings-file \
 /etc/security/tsol/label.encodings.site
# cd /etc/security/tsol
# cp label_encodings label_encodings.tx.orig
# cp label.encodings.site label_encodings
```
Attention - Votre fichier label_encodings doit réussir le test de vérification du fichier de codage (Check Encodings) avant de pouvoir continuer.

Exemple 4-1 Vérification de la syntaxe label_encodings sur la ligne de commande

Dans cet exemple, l'administrateur teste plusieurs fichiers label_encodings à l'aide de la ligne de commande.

# /usr/sbin/chk_encodings /var/encodings/label_encodings1
No errors found in /var/encodings/label_encodings1
# /usr/sbin/chk_encodings /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

Lorsque la direction décide d'utiliser le fichier label_encodings2, l'administrateur exécute une analyse sémantique du fichier.

# /usr/sbin/chk_encodings -a /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2010

---> CLASSIFICATIONS <---

   Classification 1: PUBLIC
   Initial Compartment bits: 10
   Initial Markings bits: NONE

---> COMPARTMENTS AND MARKINGS USAGE ANALYSIS <---
...
---> SENSITIVITY LABEL to COLOR MAPPING <---
...

L'administrateur imprime une copie de l'analyse sémantique pour ses archives, puis déplace le fichier dans le répertoire /etc/security/tsol.

# cp /var/encodings/label_encodings2 /etc/security/tsol/label.encodings.10.10.10
# cd /etc/security/tsol
# cp label_encodings label_encodings.tx.orig
# cp label.encodings.10.10.10 label_encodings

Enfin, l'administrateur vérifie que le fichier label_encodings est le fichier de l'entreprise.

# /usr/sbin/chk_encodings -a /etc/security/tsol/label_encodings | head -4
No errors found in /etc/security/tsol/label_encodings

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2010

Étapes suivantes

Vous devez réinitialiser le système avant de créer des zones étiquetées.

Configuration d'un réseau IPv6 CIPSO dans Trusted Extensions

Pour IPv6, Trusted Extensions utilise l'option CALIPSO (Common Architecture Label IPv6 Security Option) en tant que protocole d'étiquetage de sécurité. Aucune configuration n'est nécessaire. Si vous devez communiquer avec des systèmes qui exécutent le protocole obsolète IPv6 CIPSO de Trusted Extensions, effectuez cette procédure. Pour communiquer avec d'autres systèmes CALIPSO, n'effectuez pas cette procédure.

Attention - Un système qui utilise l'option CALIPSO pour le protocole IPv6 ne peut pas communiquer avec des systèmes qui utilisent le protocole obsolète TX IPv6 CIPSO car ces protocoles sont incompatibles.

Les options IPv6 CIPSO obsolètes de Trusted Extensions n'ont pas de numéro IANA (Internet Assigned Numbers Authority) à utiliser dans le champ de type d'option IPv6 d'un paquet. L'entrée que vous avez définie au cours de cette procédure fournit un numéro à utiliser sur le réseau local.

Avant de commencer

Suivez cette procédure si vous devez communiquer avec les systèmes utilisant l'option d'étiquetage de sécurité déjà obsolète IPv6 CIPSO de Trusted Extensions.

Vous êtes dans le rôle root dans la zone globale.

Saisissez l'entrée suivante dans le fichier /etc/system :
```
set ip:ip6opt_ls = 0x0a
```

Erreurs fréquentes

Si des messages d'erreur au cours de l'initialisation indiquent que votre configuration IPv6 CIPSO est incorrecte, corrigez l'entrée. Par exemple, une entrée mal orthographiée produit le message suivant : sorry, variable 'ip6opt_1d' is not defined in the 'ip' module. Verify that the entry is spelled correctly.

Corrigez l'entrée.
Vérifiez que le système a été réinitialisé après l'ajout de l'entrée correcte au fichier /etc/system.

Étapes suivantes

Vous devez réinitialiser le système avant de créer des zones étiquetées.

Configuration d'un autre domaine d'interprétation

Si votre site n'utilise pas un DOI (Domaine of Interpretation) égal à 1, vous devez modifier la valeur du doi dans chaque modèle de sécurité. Pour plus d'informations, reportez-vous à la section Domaine d'interprétation dans les modèles de sécurité .

Avant de commencer

Vous êtes dans le rôle root dans la zone globale.

Indiquez votre valeur de DOI dans les modèles de sécurité par défaut.
```
# tncfg -t cipso set doi=n
# tncfg -t admin_low set doi=n
```
Remarque - Chaque modèle de sécurité doit indiquer votre valeur de DOI.

Voir aussi

Étapes suivantes

Si vous avez l'intention d'utiliser LDAP, reportez-vous au Chapitre 5, Configuration de LDAP pour Trusted Extensions (tâches). Vous devez configurer LDAP avant de créer des zones étiquetées.

Sinon, poursuivez avec Création de zones étiquetées.

Ignorer les liens de navigation
Quitter l'aperu
	Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français)