Dans Trusted Extensions, vous devez utiliser le protocole Shell sécurisé avec l'authentification basée sur les hôtes pour atteindre et administrer le système distant. L'authentification basée sur les hôtes permet à un compte utilisateur du même nom de prendre un rôle sur le système Trusted Extensions distant.
Lorsque l'authentification basée sur les hôtes est utilisée, le client Shell sécurisé envoie à la fois le nom d'utilisateur original et le nom de rôle vers le système distant, le serveur. Grâce à ces informations, le serveur peut transmettre un contenu suffisant au module pam_roles pour permettre la prise de rôle sans que le compte utilisateur n'ait à se connecter au serveur.
Les méthodes d'administration à distance suivantes sont disponibles dans Trusted Extensions:
Administration à partir d'un système Trusted Extensions : pour que l'administration à distance soit la plus sécurisée possible, les deux systèmes affectent leur pair à un modèle de sécurité CIPSO. Voir l'Example 12–1.
Administration à partir d'un système sans étiquette : si l'administration par un système Trusted Extensions n'est pas pratique, la stratégie du protocole réseau peut être assouplie en spécifiant l'option allow_unlabeled pour le module pam_tsol_account dans la pile PAM.
Si cette stratégie est assouplie, le modèle de réseau par défaut doit être modifié afin qu'aucun système arbitraire ne puisse accéder à la zone globale. Le modèle admin_low doit être utilisé avec parcimonie, et l'adresse générique 0.0.0.0 ne doit pas être l'adresse par défaut de l'étiquette ADMIN_LOW. Pour plus d'informations, reportez-vous à la section Limitation des hôtes pouvant être contactés sur le réseau de confiance.
Dans l'un ou l'autre des scénarios d'administration, pour utiliser le rôle root en vue d'une connexion à distance, vous devez assouplir la stratégie PAM en spécifiant l'option allow_remote pour le module pam_roles.
En règle générale, les administrateurs utilisent la commande ssh pour administrer des systèmes distants à partir de la ligne de commande. Avec l'option –X, les interfaces graphiques d'administration de Trusted Extensions peuvent être utilisées.
En outre, vous pouvez configurer le système Trusted Extensions distant avec le serveur Xvnc. La technologie VNC (Virtual Network Computing) peut également être utilisée pour afficher le bureau multiniveau à distance et pour administrer le système. Voir Configuration d'un système Trusted Extensions à l'aide de Xvnc pour un accès à distance.