Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
Configuration de la zone globale dans Trusted Extensions
Vérification et installation du fichier Label Encodings
Configuration d'un réseau IPv6 CIPSO dans Trusted Extensions
Création d'un système Trusted Extensions par défaut
Création interactive de zones étiquetées
Affectation d'étiquettes à deux espaces de travail comportant des zones
Configuration des interfaces réseau dans Trusted Extensions
Partage d'une seule adresse IP entre toutes les zones
Ajout d'une instance d'IP à une zone étiquetée
Ajout d'une interface réseau virtuelle à une zone étiquetée
Connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions
Configuration d'un service de noms distinct pour chaque zone étiquetée
Création de rôles et d'utilisateurs dans Trusted Extensions
Création du rôle d'administrateur sécurité dans Trusted Extensions
Création d'un rôle d'administrateur de sécurité
Création d'utilisateurs pouvant prendre des rôles dans Trusted Extensions
Vérification du fonctionnement des rôles Trusted Extensions
Autorisation des utilisateurs à se connecter à une zone étiquetée
Création de répertoires personnels centralisés dans Trusted Extensions
Création du serveur d'annuaires personnel dans Trusted Extensions
Dépannage de votre configuration Trusted Extensions
Déplacement des panneaux du bureau vers le bas de l'écran
Tâches de configuration supplémentaires de Trusted Extensions
Création d'une zone étiquetée secondaire
Création et partage d'un jeu de données multiniveau
Copie de fichiers sur un média amovible dans Trusted Extensions
Copie de fichiers dans Trusted Extensions à partir d'un média amovible
Suppression de Trusted Extensions du système
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions
14. Gestion et montage de fichiers dans Trusted Extensions
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Pour personnaliser la configuration de Trusted Extensions, effectuez les procédures décrites dans la liste des tâches ci-dessous. Pour installer la configuration par défaut, reportez-vous à la section Création de zones étiquetées.
|
Votre fichier de codage doit être compatible avec l'hôte Trusted Extensions avec lequel vous communiquez.
Remarque - Trusted Extensions installe un fichier label_encodings par défaut. Ce fichier par défaut est utile pour les démonstrations. Toutefois, ce fichier peut ne pas être le bon choix pour votre utilisation particulière. Si vous prévoyez d'utiliser le fichier par défaut, vous pouvez ignorer cette procédure.
Si vous êtes déjà familiarisé avec les fichiers de codage, vous pouvez utiliser la procédure suivante.
Si vous n'êtes pas familiarisé avec les fichiers de codage, consultez le manuel Trusted Extensions Label Administration pour connaître la configuration requise, les procédures et des exemples.
Attention - Vous devez installer les étiquettes avant de poursuivre ou la configuration échouera. |
Avant de commencer
Vous êtes l'administrateur de sécurité. L'administrateur de sécurité est responsable de la modification, la vérification et la maintenance du fichier label_encodings. Si vous prévoyez de modifier le fichier label_encodings, assurez-vous que le fichier lui-même est accessible en écriture. Pour plus d'informations, reportez-vous à la page de manuel label_encodings(4).
Pour modifier le fichier label_encodings, vous devez être dans le rôle root.
Pour copier à partir d'un média amovible, reportez-vous à la section Copie de fichiers dans Trusted Extensions à partir d'un média amovible.
# /usr/sbin/chk_encodings /full-pathname-of-label-encodings-file
Si la commande signale la présence d'erreurs, celles-ci doivent être résolues avant de continuer. Pour obtenir de l'aide, reportez-vous au Chapitre 3, Creating a Label Encodings File (Tasks) du manuel Trusted Extensions Label Administration
# cp /full-pathname-of-label-encodings-file \ /etc/security/tsol/label.encodings.site # cd /etc/security/tsol # cp label_encodings label_encodings.tx.orig # cp label.encodings.site label_encodings
Attention - Votre fichier label_encodings doit réussir le test de vérification du fichier de codage (Check Encodings) avant de pouvoir continuer. |
Exemple 4-1 Vérification de la syntaxe label_encodings sur la ligne de commande
Dans cet exemple, l'administrateur teste plusieurs fichiers label_encodings à l'aide de la ligne de commande.
# /usr/sbin/chk_encodings /var/encodings/label_encodings1 No errors found in /var/encodings/label_encodings1 # /usr/sbin/chk_encodings /var/encodings/label_encodings2 No errors found in /var/encodings/label_encodings2
Lorsque la direction décide d'utiliser le fichier label_encodings2, l'administrateur exécute une analyse sémantique du fichier.
# /usr/sbin/chk_encodings -a /var/encodings/label_encodings2 No errors found in /var/encodings/label_encodings2 ---> VERSION = MYCOMPANY LABEL ENCODINGS 2.0 10/10/2010 ---> CLASSIFICATIONS <--- Classification 1: PUBLIC Initial Compartment bits: 10 Initial Markings bits: NONE ---> COMPARTMENTS AND MARKINGS USAGE ANALYSIS <--- ... ---> SENSITIVITY LABEL to COLOR MAPPING <--- ...
L'administrateur imprime une copie de l'analyse sémantique pour ses archives, puis déplace le fichier dans le répertoire /etc/security/tsol.
# cp /var/encodings/label_encodings2 /etc/security/tsol/label.encodings.10.10.10 # cd /etc/security/tsol # cp label_encodings label_encodings.tx.orig # cp label.encodings.10.10.10 label_encodings
Enfin, l'administrateur vérifie que le fichier label_encodings est le fichier de l'entreprise.
# /usr/sbin/chk_encodings -a /etc/security/tsol/label_encodings | head -4 No errors found in /etc/security/tsol/label_encodings ---> VERSION = MYCOMPANY LABEL ENCODINGS 2.0 10/10/2010
Étapes suivantes
Vous devez réinitialiser le système avant de créer des zones étiquetées.
Pour IPv6, Trusted Extensions utilise l'option CALIPSO (Common Architecture Label IPv6 Security Option) en tant que protocole d'étiquetage de sécurité. Aucune configuration n'est nécessaire. Si vous devez communiquer avec des systèmes qui exécutent le protocole obsolète IPv6 CIPSO de Trusted Extensions, effectuez cette procédure. Pour communiquer avec d'autres systèmes CALIPSO, n'effectuez pas cette procédure.
Attention - Un système qui utilise l'option CALIPSO pour le protocole IPv6 ne peut pas communiquer avec des systèmes qui utilisent le protocole obsolète TX IPv6 CIPSO car ces protocoles sont incompatibles. |
Les options IPv6 CIPSO obsolètes de Trusted Extensions n'ont pas de numéro IANA (Internet Assigned Numbers Authority) à utiliser dans le champ de type d'option IPv6 d'un paquet. L'entrée que vous avez définie au cours de cette procédure fournit un numéro à utiliser sur le réseau local.
Avant de commencer
Suivez cette procédure si vous devez communiquer avec les systèmes utilisant l'option d'étiquetage de sécurité déjà obsolète IPv6 CIPSO de Trusted Extensions.
Vous êtes dans le rôle root dans la zone globale.
set ip:ip6opt_ls = 0x0a
Erreurs fréquentes
Si des messages d'erreur au cours de l'initialisation indiquent que votre configuration IPv6 CIPSO est incorrecte, corrigez l'entrée. Par exemple, une entrée mal orthographiée produit le message suivant : sorry, variable 'ip6opt_1d' is not defined in the 'ip' module. Verify that the entry is spelled correctly.
Corrigez l'entrée.
Vérifiez que le système a été réinitialisé après l'ajout de l'entrée correcte au fichier /etc/system.
Étapes suivantes
Vous devez réinitialiser le système avant de créer des zones étiquetées.
Si votre site n'utilise pas un DOI (Domaine of Interpretation) égal à 1, vous devez modifier la valeur du doi dans chaque modèle de sécurité. Pour plus d'informations, reportez-vous à la section Domaine d'interprétation dans les modèles de sécurité .
Avant de commencer
Vous êtes dans le rôle root dans la zone globale.
# tncfg -t cipso set doi=n # tncfg -t admin_low set doi=n
Remarque - Chaque modèle de sécurité doit indiquer votre valeur de DOI.
Voir aussi
Étapes suivantes
Si vous avez l'intention d'utiliser LDAP, reportez-vous au Chapitre 5, Configuration de LDAP pour Trusted Extensions (tâches). Vous devez configurer LDAP avant de créer des zones étiquetées.
Sinon, poursuivez avec Création de zones étiquetées.