Configuration et administration de Trusted Extensions

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Création d'utilisateurs pouvant prendre des rôles dans Trusted Extensions

Si la stratégie de sécurité du site le permet, vous pouvez choisir de créer un utilisateur pouvant prendre plusieurs rôles d'administration.

Pour sécuriser la création des utilisateurs, le rôle d'administrateur système crée les utilisateurs et assigne le mot de passe initial et le rôle d'administrateur de sécurité affecte les attributs liés à la sécurité tels que les rôles.

Avant de commencer

Vous devez être dans le rôle root dans la zone globale. Ou, si la séparation des tâches est appliquée, les utilisateurs qui peuvent prendre en charge les rôles distincts d'administrateur de sécurité et d'administrateur système doivent être présents pour assumer leurs rôles et effectuer les opérations appropriées dans cette procédure.

  1. Créez un utilisateur.

    Cette opération est effectuée par le rôle root ou le rôle d'administrateur système.

    Ne placez pas d'informations propriétaires dans le commentaire.

    # useradd -c "Second User" -u 1201 -d /home/jdoe jdoe
  2. Après avoir créé l'utilisateur, modifiez les attributs de sécurité de l'utilisateur.

    Cette opération est effectuée par le rôle root ou le rôle d'administrateur de sécurité.

    Remarque - Pour les utilisateurs qui peuvent prendre des rôles, désactivez le verrouillage des comptes et ne définissez pas de date d'expiration du mot de passe. En outre, effectuez un audit des utilisations de la commande pfexec. Seul le rôle root peut définir des indicateurs d'audit pour chaque utilisateur. 
    # usermod -K lock_after_retries=no -K idletime=5 -K idlecmd=lock \
-K audit_flags=lo,ex:no jdoe
    Remarque - Les valeurs de idletime et idlecmd continuent à s'appliquer lorsque l'utilisateur prend un rôle. Pour plus d'informations, reportez-vous à la section Valeurs par défaut du fichier policy.conf dans Trusted Extensions.
  3. Affectez un mot de passe d'au moins six caractères alphanumériques. 
    # passwd jdoe
New Password: xxxxxxxx
Re-enter new Password: xxxxxxxx
    Remarque - Lorsque l'équipe de configuration initiale choisit un mot de passe, elle doit faire en sorte qu'il soit difficile à deviner, afin de réduire les risques d'accès non autorisé par un tiers qui tenterait de deviner les mots de passe.
  4. Attribuez un rôle à l'utilisateur.

    Cette opération est effectuée par le rôle root ou le rôle d'administrateur de sécurité.

    # usermod -R oper jdoe
  5. Personnalisez l'environnement de l'utilisateur.
    1. Attribuez les autorisations appropriées.

      Après avoir contrôlé la stratégie de sécurité de votre site, vous pouvez décider d'accorder à vos premiers utilisateurs le profil de droits Convenient Authorization (Autorisations appropriées). Avec ce profil, les utilisateurs peuvent allouer des périphériques, imprimer sans étiquette, se connecter à distance et arrêter le système. Pour créer le profil, reportez-vous à la section Création d'un profil de droits pour des autorisations commodes.

    2. Personnalisation des fichiers d'initialisation utilisateur

      Voir la sectionPersonnalisation de l'environnement utilisateur pour en assurer la sécurité.

    3. Créez des fichiers de copie et de lien multiniveau.

      Sur un système multiniveau, les utilisateurs et les rôles peuvent être configurés avec des fichiers qui répertorient les fichiers d'initialisation utilisateur à copier ou lier à d'autres étiquettes. Pour plus d'informations, reportez-vous à la section Fichiers .copy_files et .link_files.

Exemple 4-5  Utilisation de la commande useradd pour créer un utilisateur local

Dans cet exemple, le rôle root crée un utilisateur local pouvant prendre le rôle d'administrateur de sécurité. Pour plus d'informations, reportez-vous aux pages de manuel useradd(1M) et atohexlabel(1M).

Cet utilisateur aura une plage d'étiquettes plus étendue que la plage d'étiquettes par défaut. Ainsi, l'utilisateur root détermine le format hexadécimal de l'étiquette minimale et de l'étiquette d'autorisation de l'utilisateur.

# atohexlabel public
0x0002-08-08
# atohexlabel -c "confidential restricted"
0x0004-08-78

Ensuite, le rôle root doit consulter le Table 1–2, puis créer l'utilisateur. L'administrateur place le répertoire personnel de l'utilisateur sous /export/home1 plutôt qu'à l'emplacement par défaut (/export/home).

# useradd -c "Local user for Security Admin" -d /export/home1/jandoe -K audit_flags=lo,ex:no \
-K  idletime=8 -K idlecmd=lock -K lock_after_retries=no \
-K min_label=0x0002-08-08 -K clearance=0x0004-08-78 jandoe

Le rôle root fournit alors un mot de passe initial.

# passwd -r files jandoe
New Password: xxxxxxxx
Re-enter new Password: xxxxxxxx
passwd: password successfully changed for jandoe
#

Enfin, le rôle root ajoute le rôle d'administrateur de sécurité à la définition de l'utilisateur. Le rôle a été créé à la section Création du rôle d'administrateur sécurité dans Trusted Extensions.

# usermod -R secadmin jandoe
Copyright © 1992, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant