Ignorer les liens de navigation | |
Quitter l'aperu | |
Configuration et administration de Trusted Extensions Oracle Solaris 11.1 Information Library (Français) |
Partie I Configuration initiale de Trusted Extensions
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout de la fonction Trusted Extensions à Oracle Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
Configuration de la zone globale dans Trusted Extensions
Vérification et installation du fichier Label Encodings
Configuration d'un réseau IPv6 CIPSO dans Trusted Extensions
Configuration d'un autre domaine d'interprétation
Création d'un système Trusted Extensions par défaut
Création interactive de zones étiquetées
Affectation d'étiquettes à deux espaces de travail comportant des zones
Configuration des interfaces réseau dans Trusted Extensions
Partage d'une seule adresse IP entre toutes les zones
Ajout d'une instance d'IP à une zone étiquetée
Ajout d'une interface réseau virtuelle à une zone étiquetée
Connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions
Configuration d'un service de noms distinct pour chaque zone étiquetée
Création de rôles et d'utilisateurs dans Trusted Extensions
Création du rôle d'administrateur sécurité dans Trusted Extensions
Création d'un rôle d'administrateur de sécurité
Création d'utilisateurs pouvant prendre des rôles dans Trusted Extensions
Vérification du fonctionnement des rôles Trusted Extensions
Autorisation des utilisateurs à se connecter à une zone étiquetée
Création de répertoires personnels centralisés dans Trusted Extensions
Création du serveur d'annuaires personnel dans Trusted Extensions
Dépannage de votre configuration Trusted Extensions
Déplacement des panneaux du bureau vers le bas de l'écran
Tâches de configuration supplémentaires de Trusted Extensions
Création d'une zone étiquetée secondaire
Création et partage d'un jeu de données multiniveau
Copie de fichiers sur un média amovible dans Trusted Extensions
Copie de fichiers dans Trusted Extensions à partir d'un média amovible
Suppression de Trusted Extensions du système
5. Configuration de LDAP pour Trusted Extensions (tâches)
Partie II Administration de Trusted Extensions
6. Concepts d'administration de Trusted Extensions
7. Outils d'administration de Trusted Extensions
8. Exigences de sécurité sur un système Trusted Extensions (présentation)
9. Exécution de tâches courantes dans Trusted Extensions
10. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
11. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
12. Administration à distance dans Trusted Extensions (tâches)
13. Gestion des zones dans Trusted Extensions
14. Gestion et montage de fichiers dans Trusted Extensions
15. Gestion de réseaux de confiance (présentation)
16. Gestion des réseaux dans Trusted Extensions (tâches)
17. Trusted Extensions et LDAP (présentation)
18. Messagerie multiniveau dans Trusted Extensions (présentation)
19. Gestion de l'impression étiquetée (tâches)
20. Périphériques dans Trusted Extensions (présentation)
21. Gestion des périphériques pour Trusted Extensions (tâches)
22. Audit de Trusted Extensions (présentation)
23. Gestion des logiciels dans Trusted Extensions
A. Stratégie de sécurité du site
Création et gestion d'une stratégie de sécurité
Stratégie de sécurité du site et Trusted Extensions
Recommandations relatives à la sécurité informatique
Recommandations relatives à la sécurité physique
Recommandations relatives à la sécurité du personnel
Violations de sécurité courantes
Références de sécurité supplémentaires
B. Liste de contrôle de configuration pour Trusted Extensions
Liste de contrôle de configuration de Trusted Extensions
C. Guide de référence rapide pour l'administration de Trusted Extensions
Interfaces d'administration dans Trusted Extensions
Interfaces Oracle Solaris étendues par Trusted Extensions
Renforcement des paramètres de sécurité par défaut dans Trusted Extensions
Options limitées dans Trusted Extensions
D. Liste des pages de manuel Trusted Extensions
Pages de manuel Trusted Extensions par ordre alphabétique
Pages de manuel Oracle Solaris modifiées par Trusted Extensions
Le système Trusted Extensions ne nécessite pas l'exécution par un réseau d'un bureau avec un affichage directement connecté, tel qu'un ordinateur portable ou une station de travail. Toutefois, il est nécessaire de configurer le réseau pour permettre la communication avec d'autres systèmes. L'interface utilisateur graphique txzonemgr permet de configurer facilement les zones étiquetées et la zone globale afin de permettre la connexion à d'autres systèmes. Pour une description des options de configuration des zones étiquetées, reportez-vous à la section Accès aux zones étiquetées. La liste des tâches ci-dessous décrit les tâches de configuration réseau et fournit des liens vers ces tâches.
|
Cette procédure permet à chaque zone du système d'utiliser une seule adresse IP, à savoir l'adresse IP de la zone globale, pour atteindre d'autres zones ou hôtes possédant la même étiquette. Cette configuration correspond à la configuration par défaut. Vous devez effectuer cette procédure si vous avez configuré différemment les interfaces réseau et que vous voulez rétablir la configuration réseau par défaut du système.
Avant de commencer
Vous devez être dans le rôle root dans la zone globale.
# txzonemgr &
La liste des zones s'affiche dans le gestionnaire de zones étiquetées. Pour plus d'informations sur cette interface utilisateur graphique, reportez-vous à la section Création interactive de zones étiquetées.
Une liste d'interfaces s'affiche. Recherchez une interface répertoriée présentant les caractéristiques suivantes :
Type de phys
Adresse IP de votre nom d'hôte
Etat de up
Toutes les zones peuvent utiliser cette adresse IP partagée pour communiquer avec des systèmes distants possédant la même étiquette qu'elles-mêmes.
Étapes suivantes
Pour configurer le réseau externe du système, reportez-vous à la section Connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions .
Cette procédure est nécessaire si vous utilisez une pile IP partagée et des adresses par zone, et que vous envisagez de connecter les zones étiquetées à des zones étiquetées sur d'autres systèmes du réseau.
Dans cette procédure, vous créez une instance d'IP, c'est-à-dire une adresse spécifique à la zone, pour une ou plusieurs zones étiquetées. Les zones étiquetées utilisent leur zone par zone pour communiquer avec des zones étiquetées possédant la même étiquette sur le réseau.
Avant de commencer
Vous devez être dans le rôle root dans la zone globale.
La liste des zones s'affiche dans le gestionnaire de zones étiquetées. Pour ouvrir cette interface utilisateur graphique, reportez-vous à la section Création interactive de zones étiquetées. La zone étiquetée que vous configurez doit être arrêtée.
Une liste d'options de configuration s'affiche.
Par exemple, tapez 192.168.1.2/24. Si vous n'ajoutez pas le nombre de préfixes, vous êtes invité à spécifier un masque de réseau. Le masque de réseau équivalent pour cet exemple est 255.255.255.0.
A l'invite, entrez l'adresse IP du routeur et cliquez sur OK.
Remarque - Pour supprimer ou modifier le routeur par défaut, supprimez l'entrée, puis recréez l'instance d'IP.
Étapes suivantes
Pour configurer le réseau externe du système, reportez-vous à la section Connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions .
Cette procédure est nécessaire si vous utilisez une pile IP exclusive et des adresses par zone, et que vous souhaitez connecter les zones étiquetées à des zones étiquetées sur d'autres systèmes du réseau.
Dans cette procédure, vous créez une VNIC et vous l'affectez à une zone étiquetée.
Avant de commencer
Vous devez être dans le rôle root dans la zone globale.
La liste des zones s'affiche dans le gestionnaire de zones étiquetées. Pour ouvrir cette interface utilisateur graphique, reportez-vous à la section Création interactive de zones étiquetées. La zone étiquetée que vous configurez doit être arrêtée.
Une liste d'options de configuration s'affiche.
Si votre système comporte plusieurs cartes VNIC, plusieurs choix s'affichent. Choisissez l'entrée correspondant à l'interface souhaitée.
Par exemple, tapez 192.168.1.2/24. Si vous n'ajoutez pas le nombre de préfixes, vous êtes invité à spécifier un masque de réseau. Le masque de réseau équivalent pour cet exemple est 255.255.255.0.
A l'invite, entrez l'adresse IP du routeur et cliquez sur OK.
Remarque - Pour supprimer ou modifier le routeur par défaut, supprimez l'entrée, puis recréez la VNIC.
L'entrée VNIC s'affiche. Le système attribue le nom zonename _n, par exemple internal_0.
Étapes suivantes
Pour configurer le réseau externe du système, reportez-vous à la section Connexion d'un système Trusted Extensions à d'autres systèmes Trusted Extensions .
Dans cette procédure, vous définissez votre réseau Trusted Extensions en ajoutant des hôtes distants auxquels votre système Trusted Extensions peut se connecter.
Avant de commencer
Le gestionnaire de zones étiquetées est affiché. Pour ouvrir cette interface utilisateur graphique, reportez-vous à la section Création interactive de zones étiquetées. Vous êtes dans le rôle root dans la zone globale.
Voir aussi
Cette procédure configure un démon du service de noms distinct (nscd) dans chaque zone étiquetée. Cette configuration prend en charge les environnements dans lesquels chaque zone est connectée à un sous-réseau s'exécutant à l'étiquette de la zone, et le sous-réseau possède son propre serveur de noms pour cette étiquette. Dans une zone étiquetée, si vous prévoyez d'installer des packages nécessitant un compte utilisateur sous cette étiquette, vous pouvez être amené à configurer un service de noms distinct pour chaque zone. Pour obtenir des informations générales, reportez-vous aux sections Applications non accessibles à une zone étiquetée and Décisions à prendre avant de créer des utilisateurs dans Trusted Extensions.
Avant de commencer
Le gestionnaire de zones étiquetées est affiché. Pour ouvrir cette interface utilisateur graphique, reportez-vous à la section Création interactive de zones étiquetées. Vous êtes dans le rôle root dans la zone globale.
Remarque - Cette option est destinée à être utilisée une fois, pendant la configuration initiale du système.
Pour obtenir de l'aide, reportez-vous à la page de manuel nscd(1M).
# /usr/sbin/reboot
Après la réinitialisation, le compte de l'utilisateur qui prend le rôle root pour exécuter le gestionnaire de zones étiquetées à l'Étape 1 est configuré dans chaque zone. Les autres comptes qui sont spécifiques à une zone étiquetée doivent être ajoutés manuellement à la zone.
Remarque - Les comptes qui sont stockés dans le référentiel LDAP sont toujours gérés depuis la zone globale.
zone-name # svcs -x name-service/cache svc:/system/name-service/cache:default (name service cache) State: online since September 10, 2012 10:10:12 AM PDT See: nscd(1M) See: /var/svc/log/system-name-service-cache:default.log Impact: None.
zone-name # netstat -rn
Exemple 4-3 Suppression d'un cache de service de noms de chaque zone étiquetée
Après avoir testé un démon de service de noms par zone, l'administrateur système décide de supprimer les démons de services de noms des zones étiquetées et d'exécuter uniquement le démon dans la zone globale. Pour rétablir la configuration de service de noms par défaut du système, l'administrateur ouvre l'interface utilisateur graphique txzonemgr, sélectionne la zone globale, puis sélectionne Unconfigure per-zone name service (Annuler la configuration service de noms par zone) et OK. Cette sélection supprime le démon nscd de toutes les zones étiquetées. Ensuite, l'administrateur réinitialise le système.
Étapes suivantes
Lors de la configuration des comptes utilisateur et des rôles de chaque zone, vous disposez de trois options.
Vous pouvez créer les comptes LDAP dans un serveur d'annuaire LDAP multiniveau.
Vous pouvez créer les comptes LDAP dans des serveurs d'annuaire LDAP distincts, à savoir un serveur par étiquette.
Vous pouvez créer des comptes locaux.
La configuration d'un démon de service de noms par zone a des conséquences relatives au mot de passe pour tous les utilisateurs. Les utilisateurs doivent s'authentifier pour pouvoir accéder à n'importe laquelle de leurs zones étiquetées, y compris à la zone correspondant à leur étiquette par défaut. En outre, l'administrateur doit créer les comptes localement dans chaque zone, ou les comptes doivent exister dans un annuaire LDAP où la zone est client LDAP.
Dans le cas particulier où un compte de la zone globale exécute le gestionnaire de zones étiquetées, txzonemgr, les informations du compte sont copiées dans les zones étiquetées de manière à ce que ce compte au moins soit capable de se connecter à chaque zone. Par défaut, ce compte est le compte utilisateur initial.