Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Configuration d'un rôle pour la sécurité réseau

Si vous administrez vos systèmes à l'aide des fonctionnalités de droits d'Oracle Solaris, suivez cette procédure pour générer un rôle de gestion ou de sécurité du réseau.

Avant de commencer

Vous devez prendre le rôle root pour créer et affecter un rôle. Les utilisateurs standard peuvent répertorier et afficher le contenu des profils de droits disponibles.

  1. Répertoriez les profils de droits disponibles relatifs au réseau. 
    % getent prof_attr | grep Network | more
...
Network Management:RO::Manage the host and network configuration...
Network Security:RO::Manage network and host security...:profiles=Network Wifi
Security,Network Link Security,Network IPsec Management...
Network Wifi Management:RO::Manage wifi network configuration...
Network Wifi Security:RO::Manage wifi network security...
Network Link Security:RO::Manage network link security...
Network IPsec Management:RO::Manage IPsec and IKE...
System Administrator:RO::Can perform most non-security administrative tasks:
profiles=...Network Management...
Information Security:RO::Maintains MAC and DAC security policies:
profiles=...Network Security...

    Le profil de gestion du réseau est un profil supplémentaire inclus dans le profil d'administrateur système. Si vous avez attribué le profil de droits d'administrateur système à un rôle, alors ce dernier permet d'exécuter les commandes définies dans le profil de gestion du réseau.

  2. Répertoriez les commandes dans le profil de droits Network Management. 
    % profiles -p "Network Management" info
...
cmd=/usr/sbin/dladm
cmd=/usr/sbin/dlstat
...
cmd=/usr/sbin/svcadm
cmd=/usr/sbin/svccfg
cmd=/usr/sbin/dumpcap
  3. Choisissez l'étendue des rôles de sécurité réseau sur votre site.

      Basez votre choix sur les profils de droits définis au cours de l'Step 1.

    • Pour créer un rôle qui gère l'ensemble de la sécurité du réseau, utilisez le profil de droits Network Security.

    • Pour créer un rôle qui gère IPsec et IKE uniquement, utilisez le profil de droits Network IPsec Management.

    • Pour créer un rôle qui gère la gestion du réseau et la sécurité, utilisez les Network Security ou Network IPsec Management Profil de droits, en plus du profil de gestion réseau.

  4. Créez le rôle et assignez-le à un ou plusieurs utilisateurs.

    Pour connaître la procédure à suivre, reportez-vous à la section Création d’un rôle du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 and Example 7–7.

Exemple 7-5  Création et attribution d'un rôle Network Management and Security

Dans cet exemple, l'administrateur affecte à un rôle, Network Management deux et profils de droits Network Security. Ensuite, l'administrateur attribue le rôle à un utilisateur de confiance.

# roleadd -c "Network Mgt and Security" \
-S ldap -K profiles="Network Management Plus" netmgtsec
# passwd netmgtsec
New Password: xxxxxxxx
Confirm password: xxxxxxxx
# usermod -R netmgtsec jdoe

L'utilisateur jdoe a accès aux droits des profils une fois qu'il a pris le rôle netmgtsec.

% su - netsecmgt
Password: xxxxxxxx
#
Exemple 7-6  Répartition des responsabilités de sécurité réseau entre les rôles

Dans cet exemple, l'administrateur répartit les responsabilités de sécurité réseau entre deux rôles. Un rôle peut administrer la sécurité des connexions Wi-Fi et des liens et un autre rôle administrer IPsec et IKE. Chaque rôle est assigné à trois personnes, une personne par période de travail.

    Ces rôles sont créés par l'administrateur comme suit :

  1. L'administrateur nomme le premier rôle LinkWifi.

  2. L'administrateur attribue au rôle les profils de droits Network Wifi, Network Link Security et Network Management.

  3. L'administrateur attribue le rôle LinkWifi aux utilisateurs appropriés.

  4. L'administrateur nomme le deuxième rôle Administrateur IPsec.

  5. L'administrateur attribue au rôle les profils de droits Network IPsec Management et Network Management.

  6. L'administrateur attribue le rôle d'administrateur IPsec aux utilisateurs appropriés.

Exemple 7-7  Octroi à un utilisateur de confiance de l'autorisation de configurer et gérer IPsec

Dans cet exemple, l'administrateur attribue à un utilisateur la responsabilité de configurer et de gérer IPsec.

En plus des profils de droits Network Management (gestion du réseau) et IPsec Network Management (gestion du réseau IPsec), l'administrateur donne à l'utilisateur la possibilité de modifier le fichier hosts et d'afficher les journaux.

  1. L'administrateur crée deux profils de droits : l'un pour la modification de fichiers et l'autre pour la lecture de journaux.

    # profiles -p -S LDAP "Hosts Configuration"
profiles:Network Configuration> set desc="Edits root-owned network files"
...Configuration> add auth=solaris.admin.edit/etc/hosts
...Configuration> commit
...Configuration> end
...Configuration> exit

# profiles -p -S LDAP "Read Network Logs"
profiles:Read Network Logs> set desc="Reads root-owned network log files"
...Logs> add cmd=/usr/bin/more
...Logs:more>set privs={file_dac_read}:/var/user/ikeuser/*
...Logs:more>set privs={file_dac_read}:/var/log/ikev2/*
...Logs:more> set privs={file_dac_read}:/etc/inet/ike/*
...Logs:more> set privs={file_dac_read}:/etc/inet/secret/*
...Logs:more>end
...Logs> add cmd=/usr/bin/tail
...Logs:tail>set privs={file_dac_read}:/var/user/ikeuser/*
...Logs:tail>set privs={file_dac_read}:/var/log/ikev2/*
...Logs:tail>set privs={file_dac_read}:/etc/inet/ike/*
...Logs:tail> set privs={file_dac_read}:/etc/inet/secret/*
...Logs:tail>end
...Logs> add cmd=/usr/bin/page
...Logs:page>set privs={file_dac_read}:/var/user/ikeuser/*
...Logs:page>set privs={file_dac_read}:/var/log/ikev2/*
...Logs:page>set privs={file_dac_read}:/etc/inet/ike/*
...Logs:page> set privs={file_dac_read}:/etc/inet/secret/*
...Logs:page>end
...Logs> exit

    Le profil de droits permet à l'utilisateur d'utiliser les commandes more, tail et page pour afficher les journaux. Les commandes cat et head ne peuvent pas être utilisées.

  2. L'administrateur crée le profil de droits qui permet à l'utilisateur d'effectuer toutes les tâches de configuration et de gestion d'IPsec et de ses services de génération de clés.

    # profiles -p "Site Network Management"
profiles:Site Network Management> set desc="Handles all network files and logs"
...Management> add profiles="Network Management"
...Management> add profiles="Network IPsec Management"
...Management> add profiles="Hosts Configuraton"
...Management> add profiles="Read Network Logs"
...Management> commit; end; exit

  3. L'administrateur crée un rôle pour le profil, lui attribue un mot de passe, puis attribue le rôle à un utilisateur de confiance qui connaît les réseaux et la sécurité.

    # roleadd -S LDAP -c "Network Management Guru" \
-m -K profiles="Site Network Management" netadm
# passwd netadm
Password: xxxxxxxx
Confirm password: xxxxxxxx
# usermod -S LDAP -R +netadm jdoe

  4. Hors bande, l'adminitrateur donne le mot de passe du rôle à jdoe.

Copyright © 1999, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant