Configuration et administration de Trusted Extensions

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Mécanisme de secours du réseau de confiance

Une adresse IP hôte peut être ajoutée à un modèle de sécurité de manière directe ou indirecte. L'affectation directe ajoute l'adresse IP d'un hôte. L'affectation indirecte ajoute une plage d'adresses IP incluant celle de l'hôte. Pour trouver un hôte donné, le logiciel du réseau de confiance recherche d'abord l'adresse IP correspondante. Si le logiciel ne trouve pas d'entrée spécifique pour l'hôte, il recherche le "préfixe de bits correspondants le plus long". Vous pouvez attribuer indirectement un hôte à un modèle de sécurité lorsque l'adresse IP de l'hôte est comprise dans le "préfixe de bits correspondants le plus long" d'une adresse IP dont la longueur du préfixe est prédéfinie.

Dans IPv4, vous pouvez effectuer une assignation indirecte via un sous-réseau. Lorsque vous créez une assignation indirecte en utilisant 4, 3, 2 ou 1 zéro final (0) octets, le logiciel calcule respectivement des longueurs de préfixe de 0, 8, 16 ou 24. Pour consulter des exemples, reportez-vous au Table 15–1.

Vous pouvez également définir une longueur de préfixe fixe en ajoutant une barre oblique (/) suivie du nombre de bits fixes. La longueur de préfixe des adresses réseau IPv4 peut être comprise entre 1 et 32. La longueur de préfixe des adresses réseau IPv6 peut être comprise entre 1 et 128.

Le tableau qui suit fournit des exemples d'adresses de secours et d'adresses d'hôtes. Si une adresse d'un ensemble d'adresses de secours est assignée directement, le mécanisme de secours n'est pas utilisé pour cette adresse.

Table 15-1  Entrées du mécanisme de secours et de l'adresse hôte Trusted Extensions
Version IP
Entrée hôte pour host_type=cipso
Adresses IP couvertes
IPv4
192.168.118.57
192.168.118.57/32
192.168.118.57
/32 définit une longueur de préfixe fixe de 32 bits.
 
192.168.118.128/26
De 192.168.118.0 à 192.168.118.63
 
192.168.118.0
192.168.118.0/24
Toutes les adresses du sous-réseau 192.168.118..
 
192.168.0.0/24
Toutes les adresses du sous-réseau 192.168.0..
 
192.168.0.0
192.168.0.0/16
Toutes les adresses du sous-réseau 192.168..
 
192.0.0.0
192.0.0.0/8
Toutes les adresses du sous-réseau 192..
 
192.168.118.0/32
Adresse hôte 192.168.118.0. N'est pas une plage d'adresses.
 
192.168.0.0/32
Adresse hôte 192.168.0.0. N'est pas une plage d'adresses.
 
192.0.0.0/32
Adresse hôte 192.0.0.0. N'est pas une plage d'adresses.
 
0.0.0.0/32
Adresse hôte 0.0.0.0. N'est pas une plage d'adresses.
 
0.0.0.0
Toutes les adresses de tous les réseaux
IPv6
2001\:DB8\:22\:5000\:\:21f7
2001:DB8:22:5000::21f7
 
2001\:DB8\:22\:5000\:\:0/52
De 2001:DB8:22:5000::0 à 2001:DB8:22:5fff:ffff:ffff:ffff:ffff
 
0\:\:0/0
Toutes les adresses de tous les réseaux

Notez que l'adresse 0.0.0.0/32 correspond à l'adresse spécifique 0.0.0.0. En ajoutant l'entrée 0.0.0.0/32 au modèle de sécurité sans étiquette d'un système, vous permettez à des hôtes possédant l'adresse spécifique 0.0.0.0 de contacter le système. Par exemple, les clients DHCP contactent le serveur DHCP en tant que 0.0.0.0 avant que le serveur ne fournisse une adresse IP aux clients.

Pour créer une entrée tnrhdb sur un serveur Sun Ray utilisé par les clients DHCP, reportez-vous à l'Example 16–19. Pour créer une entrée tnrhdb pour une application servant des clients DHCP, reportez-vous à l'Example 16–18. Le réseau 0.0.0.0:admin_low est l'entrée par défaut dans le modèle d'hôte non étiqueté admin_low. Les problèmes de sécurité susceptibles de requérir un changement de cette valeur par défaut sont répertoriés dans la section Limitation des hôtes pouvant être contactés sur le réseau de confiance.

Pour plus d'informations sur les longueurs de préfixe dans les adresses IPv4 et IPv6, reportez-vous à la section Choix du format d’adressage IP du réseau du manuel Planification du développement du réseau dans Oracle Solaris 11.2 .

Copyright © 1992, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant