Sur un système Oracle Solaris, les périphériques peuvent être protégés par allocation et par autorisation. Par défaut, les périphériques sont disponibles sans autorisation pour les utilisateurs standard. Un système configuré avec la fonction Trusted Extensions utilise les mécanismes de protection des périphériques du SE Oracle Solaris.
Toutefois, Trusted Extensions requiert par défaut qu'un périphérique soit alloué pour être utilisé et que son utilisateur soit autorisé à l'utiliser. En outre, les périphériques sont protégés par des étiquettes. Trusted Extensions fournit aux administrateurs une interface graphique leur permettant de gérer les périphériques. La même interface est utilisée par les utilisateurs pour l'allocation des périphériques.
Pour plus d'informations sur la protection des périphériques, reportez-vous au Chapitre 4, Contrôle de l’accès aux périphériques du manuel Sécurisation des systèmes et des périphériques connectés dans Oracle Solaris 11.2 .
Sur un système configuré avec Trusted Extensions, deux rôles protègent les périphériques.
Le rôle d'administrateur système contrôle l'accès aux périphériques.
L'administrateur système rend allouable un périphérique. Les périphériques qu'il rend non allouables ne peuvent être utilisés par personne. Seuls des utilisateurs autorisés peuvent allouer des périphériques allouables.
Le rôle d'administrateur de sécurité restreint les étiquettes permettant d'accéder à un périphérique et définit la stratégie de périphérique. C'est l'administrateur de la sécurité qui décide qui est autorisé à allouer un périphérique.
Vous trouverez ci-dessous les principales fonctions de contrôle de périphériques avec le logiciel Trusted Extensions :
Par défaut, un utilisateur non autorisé sur un système Trusted Extensions ne peut pas allouer de périphériques tels que les lecteurs de bande ou les unités de CD-ROM.
Un utilisateur standard doté de l'autorisation Allocate Device (Allouer un périphérique) peut importer ou exporter des informations sous l'étiquette de laquelle l'utilisateur alloue le périphérique.
Les utilisateurs appellent le gestionnaire d'allocation de périphériques (Device Allocation Manager) lorsqu'ils sont directement connectés. Pour allouer un périphérique à distance, les utilisateurs doivent avoir accès à la zone globale. En règle générale, seuls les rôles ont accès à cette zone.
La plage d'étiquettes de chaque périphérique peut être limitée par l'administrateur de sécurité. Les utilisateurs standard ont un accès limité aux seuls périphériques dont la plage d'étiquettes inclut les étiquettes avec lesquelles ils sont autorisés à travailler. La plage d'étiquettes par défaut d'un périphérique est comprise entre ADMIN_LOW et ADMIN_HIGH.
Les plages d'étiquettes peuvent être restreintes pour les périphériques allouables et non allouables. Les périphériques non allouables sont des périphériques tels que les mémoires graphiques et les imprimantes.