Accéder au contenu France-Français
Accueil HP.com France Produits et Services Support et Pilotes Espaces Comment Acheter
» Contacter HP
Plus d'options
Accueil HP.com France
 Guide d'administration Software Distributor : HP-UX 11i v1, 11i v2 et 11i v3 > Chapitre 9 Sécurité de SD-UX

Autorisation RPC
» 

Documentation technique

Manuel complet en PDF
» Commentaires
Début du contenu

 » Table des matières

 » Glossaire

 » Index

spacerspacerspacer
spacer
spacer
  		 
 

Cette section décrit la manière dont les agents gèrent les demandes du contrôleur, les autorisations de superutilisateur local, l'enregistrement des dépôts et la sécurité des démons et agents

Avec SD-UX, les objets sont protégés par des ACL. Une ACL est une structure reliée à un objet destinée à définir les droits d'accès à des utilisateurs et des groupes multiples. Elle prolonge les concepts définis par les bits de mode du système de fichiers HP-UX selon deux possibilités : en autorisant la spécification des droits d'accès de différents utilisateurs et groupes au lieu d'un seul, et en protégeant des objets SD-UX complets plutôt que des fichiers spécifiques.

D'une manière générale, un contrôleur demande à un agent de procéder à certaines opérations sur un objet. SD-UX protège les systèmes hôtes, dépôts, produit-dépôt et objet d'installation (racine) avec une ACL. Après authentification d’un appel, le gestionnaire d’ACL est consulté pour savoir si le demandeur dispose des droits d’accès à un objet protégé avant d’autoriser l’opération.

L’autorisation SD-UX fait appel aux ACL pour déterminer les droits d’accès RPC à un objet SD-UX spécifique d’une manière particulière (lecture, écriture). Le système recherche une entrée correspondant à l’appelant dans l’ACL d’un objet. Une fois détectée une entrée correspondante, les droits accordés à cette entrée sont comparés à ceux requis pour l'opération. Si les droits nécessaires à l'opération sont tous autorisés par l'entrée, l'accès est accordé et SD-UX procède à l'opération demandée.

Gestion des demandes d'un contrôleur par les agents

Si un contrôleur demande à un agent de procéder à une opération nécessitant la participation d'un autre agent, ils doivent tous deux autoriser l'accès aux objets qu'ils contrôlent avant que l'opération puisse être menée à son terme.

Figure 9-3 Processus de protection SD-UX

Processus de protection SD-UX

Pour installer, par exemple, un produit P depuis le dépôt D sur la racine R :

  1. L'utilisateur U adresse une demande RPC à swagentA sur l'hôte cible H. L'utilisateur U souhaite installer le produit sur la racine R (sur le système hôte cible).

  2. SwagentA vérifie l'ACL chargée de protéger la racine R pour confirmer que l'utilisateur U est autorisé à insérer des produits.

  3. SwagentA (exécuté sur le système H) adresse une requête au système swagentB (exécuté là où se trouve le dépôt D) pour lire le produit.

  4. SwagentB contrôle l'ACL qui protège le produit pour s'assurer que le système de destination (système H) et l'utilisateur U disposent du droit de lecture avant de répondre à la demande. L'installation se poursuit ensuite.

L’ACL de swagentB ignore et n’a aucune relation avec l’utilisateur U. L’ACL de la racine R apparaît sur l’écran U. À ce moment (et à ce moment seulement), l’ACL du produit agit sur l’écran H.

À titre spécifique, le superutilisateur dispose toujours de droits complets sur un système local.

Droits du superutilisateur local

À titre spécifique, SD-UX confère toujours au superutilisateur local un accès complet à tous les objets locaux indépendamment des protections par ACL. Ceci permet au superutilisateur local de réparer des ACL altérées ou de procéder à d'autres opérations.

Délégation

SD-UX propose une forme de délégation pour contrôler l'accès aux produits placés dans un dépôt : l'hôte sur lequel est exécuté l'agent cible est en cours d'exécution et l'utilisateur qui lance l'appel doit disposer du droit en lecture.

Cette forme de délégation transfère les informations d'identification de l'appelant à l'agent dépôt dans les options RPC. Cette forme de délégation fonctionne de la même façon si les agents sont configurés pour utiliser DCE ou l'authentification interne SD-UX.

Il est important de noter que cette technique de délégation est destinée à donner accès au niveau utilisateur aux produits résidant en dépôt.

Enregistrement en dépôt et sécurité par démon ou agent

SD-UX stocke ses objets dans le système de fichiers : une personne mal intentionnée pourrait en profiter pour construire un système de fichiers image d'un dépôt de logiciels, une sorte de « Cheval de Troie » et contourner la sécurité de tout autre système qui viendrait chercher dans ce faux dépôt des produits à installer. Pour protéger les systèmes de ce danger, SD-UX exige qu'un dépôt soit enregistré avant de pouvoir en extraire des logiciels à installer ou à copier (avec swcopy ou swreg). Cette vérification est toujours exécutée avant que l'accès soit accordé. Pour enregistrer un dépôt avec swreg, vous devez posséder une permission d’insertion dans l’ACL de l’hôte.

Dans une situation spéciale, il est possible d'utiliser un dépôt désenregistré pour une installation locale (en d'autres termes, le dépôt et la racine de destination se trouvent sur le même système) si l'initiateur du projet est le superutilisateur local ou s'il est autorisé à enregistrer le dépôt (droit d'insertion sur le système hôte).

L'administrateur d'un système hôte doit s'assurer de l'intégrité des nouveaux dépôts avant de les enregistrer et de s'assurer que seuls les utilisateurs autorisés disposent du droit d'insertion sur le système hôte.

REMARQUE : Outre l'enregistrement des utilisateurs, différentes précautions sont nécessaires lors de l'installation ou de la copie de dépôts non-enregistrés.


Authentification interne SD-UX
  		 


Modèles d'utilisation de sécurité  
Version imprimable
Respect de la vie privée L'utilisation de ce site implique que vous en acceptez les conditions
© 1997, 2000-2003, 2006, 2007, 2008 Hewlett-Packard Development Company, L.P.