Configuration et administration de Trusted Extensions

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Activation de l'administration à distance sur un système Trusted Extensions distant

Dans cette procédure, vous autorisez l'authentification basée sur des hôtes sur un système distant Oracle Solaris avant d'y ajouter la fonction Trusted Extensions. Le système distant est le serveur Shell sécurisé.

Avant de commencer

Le système distant est installé avec Oracle Solaris, et vous pouvez accéder à ce système. Vous devez être dans le rôle root.

  1. Sur les deux systèmes, activez l'authentification basée sur des hôtes.

    Pour plus d'informations sur cette procédure, reportez-vous à la section Configuration de l’authentification basée sur l’hôte pour le shell sécurisé du manuel Gestion de l’accès au shell sécurisé dans Oracle Solaris 11.2 .

    Remarque -  N'utilisez pas la commande cat. Copiez et collez la clé publique via une connexion Shell sécurisé. Si votre client Shell sécurisé n'est pas un système Oracle Solaris, suivez les instructions de votre plate-forme permettant de configurer un client Shell sécurisé avec l'authentification basée sur des hôtes.

    Une fois cette étape terminée, vous disposez d'un compte d'utilisateur sur les deux systèmes qui est habilité à prendre le rôle root. Les comptes reçoivent un UID, un GID et une assignation de rôle identiques. Vous avez également généré des paires de clé publique ou privée et partagé des clés publiques.

  2. Sur le serveur Shell sécurisé, assouplissez la stratégie ssh afin d'autoriser la connexion à distance pour root. 
    # pfedit /etc/ssh/sshd_config
## Permit remote login by root
PermitRootLogin yes

    Une étape ultérieure limite la connexion de root à un système et un utilisateur particulier.

    Remarque - Etant donné que·l'administrateur prendra le rôle root, vous n'avez pas besoin d'assouplir la stratégie de connexion qui empêche la connexion à distance de root.
  3. Sur le serveur Shell sécurisé, redémarrez le service ssh. 
    # svcadm restart ssh
  4. Sur le serveur Shell sécurisé, dans le répertoire personnel de root, indiquez l'hôte et l'utilisateur de l'authentification basée sur des hôtes. 
    # cd
# pfedit .shosts
client-host username

    Le fichier .shosts autorise username du système client-host à prendre le rôle root sur le serveur, lorsque une clé publique ou privée est partagée.

  5. Sur le serveur Shell sécurisé, assouplissez les deux stratégies PAM.
    1. Copiez /etc/pam.d/other vers /etc/pam.d/other.orig. 
      # cp /etc/pam.d/other /etc/pam.d/other.orig
    2. Modifiez l'entrée pam_roles pour permettre la connexion à distance par rôles. 
      # pfedit /etc/pam.d/other
...
# Default definition for Account management
# Used when service name is not explicitly mentioned for account management
# ...
#account requisite    pam_roles.so.1
# Enable remote role assumption
account requisite    pam_roles.so.1   allow_remote
...

      Cette stratégie autorise l'utilisateur username du système client-host à prendre un rôle sur le serveur.

    3. Modifiez l'entrée pam_tsol_account pour autoriser les hôtes sans étiquette à contacter le système distant Trusted Extensions. 
      # pfedit /etc/pam.d/other
# Default definition for Account management
# Used when service name is not explicitly mentioned for account management
# ...
#account requisite    pam_roles.so.1
# Enable remote role assumption
account requisite    pam_roles.so.1   allow_remote
#
account required     pam_unix_account.so.1
#account required     pam_tsol_account.so.1
# Enable unlabeled access to TX system
account required     pam_tsol_account.so.1  allow_unlabeled
  6. Testez la configuration.
    1. Ouvrez un nouveau terminal dans le système distant.
    2. Sur client-host, dans une fenêtre appartenant à username, prenez le rôle root sur le système distant. 
      % ssh -l root remote-system
  7. Une fois le bon fonctionnement de la configuration avéré, activez Trusted Extensions sur le système distant, puis réinitialisez-le. 
    # svcadm enable -s labeld
# /usr/sbin/reboot
Exemple 12-1  Affectation d'un type d'hôte CIPSO pour l'administration à distance

Dans cet exemple, l'administrateur utilise un système Trusted Extensions pour configurer un hôte Trusted Extensions distant. Pour ce faire, l'administrateur utilise la commande tncfg sur chaque système distant pour définir le type d'hôte du système homologue.

remote-system # tncfg -t cipso add host=192.168.1.12 Client-host
client-host # tncfg -t cipso add host=192.168.1.22 Remote system

Pour permettre à un administrateur de configurer l'hôte Trusted Extensions distant à partir d'un système sans étiquette, l'administrateur conserve l'option allow_unlabeled dans le fichier pam.d/other de l'hôte distant.

Copyright © 1992, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant