Gestion des profils de sécurité ################################ La solution logicielle :term:`VITAM` permet de gérer des profils de sécurité. Le profil se base sur un contexte, lui-même basé sur une/des certificat(s). Le processus d'installation met en place le profil de sécurité d'administration, qu'il est fortement recommandé de laisser "tel quel", car ce dernier est utilisé pour des actes d'exploitation. Il n'existe actuellement pas de `playbook` permettant de rajouter des profils de sécurité. Ajout de profils de sécurité ============================= .. warning:: Cette version est encore en cours de mise en place et est susceptible d'évoluer. Configuration -------------- Un `playbook` d'exploitation permet de rajouter des profils de sécurité. Sur la machine de déploiement, il est nécessaire de configurer le fichier ``deployment/environments/group_vars/all/postinstall_param.yml``, dans la section ``vitam_additional_securityprofiles``. Exemple : .. literalinclude:: ../../../../deployment/environments/group_vars/all/postinstall_param.yml.example :language: yaml :linenos: .. note:: les certificats devraient être de type ``external/${fichier crt}``. Ajout des fichiers``crt`` -------------------------- Placer les certificats précédemment renseignés (fichiers crt) dans {{inventory_dir}}/certs/client-external/clients/external/. Lancement du `playbook` ------------------------ L'ajout des profils de sécurité se fait en lançant le `playbook` comme suit : ``ansible-playbook -i environments/${inventaire} ansible-vitam-exploitation/add_contexts.yml --ask-vault-pass`` .. caution:: Ce playbook ne sait gérer que le cas d'ajout de profils/contextes/... . Il convient de s'assurer au préalable que les champs `name` et `identifier` à ajouter n'existent pas déjà dans la solution logicielle :term:`VITAM`. Reconfiguration de VITAM ------------------------ A l'issue de la bonne éxécution du `playbook`, il faut relancer un déploiement partiel de :term:`VITAM` pour les groupes ansible ``[hosts_ingest_external]`` et ``[hosts_access_external]`` Si utilisation de la PKI de tests ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ La procédure décrite ci-dessous est à appliquer dans le cas où la :term:`PKI` de tests a été employée. .. Ajouter les informations relatives au(x) certificat(s) supplémentaire(s) via la commande :: .. ansible-vault edit environments/certs/vault-certs.yml --vault-password-file vault_pki.pass .. Ajouter un couple clef/valeur pour chaque certificat supplémentaire selon le modèle suivant :: .. client_client-external__key: Exemple:: .. client_client-external_appliexterne.crt_key: Motd3P@sse! où appliexterne ne doit pas contenir de caractère "-" .. warning:: Si le certificat à ajouter a été généré avec une :term:`CA` non-connue de VITAM, il faut ajouter au bon endroit la clé publique (se référer au :term:`DIN` pour plus d'informations). .. caution:: Un fichier ``crt`` ne doit contenir qu'une clef publique Ensuite, regénérer les *stores* Java avec les certificats supplémentaires (script ``generate_stores.sh`` ; se référer au :term:`DIN` pour plus d'informations) Cas d'une autre PKI ~~~~~~~~~~~~~~~~~~~~ Mettre à jour les *stores* java avec les certificats supplémenataires à *truster*. Application des *stores* mis à jour ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Rejeu du déploiement en limitant aux groupes ansible ``[hosts_ingest_external]`` et ``[hosts_access_external]`` et avec le tag ansible ``update_vitam_certificates``. Exemples :: ansible-playbook ansible-vitam/vitam.yml -i environments/ -l hosts_ingest_external,hosts_access_external -t update_vitam_certificates --vault-password-file vault_pass.txt ansible-playbook ansible-vitam/vitam.yml -i environments/ -l hosts_ingest_external,hosts_access_external -t update_vitam_certificates --ask-vault-pass