Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Procedimientos de administradores de Oracle Solaris Trusted Extensions |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
8. Administración remota en Trusted Extensions (tareas)
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
Gestión de la red de confianza (mapa de tareas)
Configuración de bases de datos de red de confianza (mapa de tareas)
Cómo determinar si necesita plantillas de seguridad específicas del sitio
Cómo abrir las herramientas de redes de confianza
Cómo crear una plantilla de host remoto
Cómo agregar hosts a la red conocida del sistema
Cómo asignar una plantilla de seguridad a un host o a un grupo de hosts
Cómo limitar los hosts que se pueden contactar en la red de confianza
Cómo configurar las rutas con los atributos de seguridad
Cómo comprobar la sintaxis de las bases de datos de red de confianza
Cómo comparar la información de la base de datos de red de confianza con la antememoria del núcleo
Cómo sincronizar la antememoria del núcleo con las bases de datos de red de confianza
Resolución de problemas de la red de confianza (mapa de tareas)
Cómo verificar que las interfaces del host estén activas
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
El siguiente mapa de tareas describe las tareas que se deben realizar para depurar la red.
|
Utilice este procedimiento si el sistema no se comunica con otros hosts según lo esperado.
Antes de empezar
Debe estar en la zona global en un rol que pueda verificar la configuración de la red. El rol de administrador de la seguridad y el rol de administrador del sistema pueden verificar esta configuración.
La siguiente salida muestra que el sistema tiene dos interfaces de red: hme0 y hme0:3. Ninguna interfaz está activa.
# ifconfig -a ... hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.0.11 netmask ffffff00 broadcast 192.168.0.255 hme0:3 flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.0.12 netmask ffffff00 broadcast 192.168.0.255
La siguiente salida muestra que ambas interfaces están activas.
# ifconfig hme0 up # ifconfig -a ... hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,... hme0:3 flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,..
Para depurar dos hosts que deben comunicarse, pero no lo hacen, puede utilizar las herramientas de depuración de Trusted Extensions y Solaris. Por ejemplo, los comandos de depuración de redes de Oracle Solaris, como snoop y netstat, se encuentran disponibles. Para obtener detalles, consulte las páginas del comando man snoop(1M) y netstat(1M). Para obtener información sobre los comandos específicos de Trusted Extensions, consulte la Tabla 2-4.
Para obtener información sobre los problemas para contactarse con zonas con etiquetas, consulte Gestión de zonas (mapa de tareas).
Para obtener información sobre la depuración de los montajes de NFS, consulte Cómo resolver problemas por fallos de montaje en Trusted Extensions.
Para obtener información sobre la depuración de las comunicaciones LDAP, consulte Cómo depurar una conexión de cliente con el servidor LDAP.
Antes de empezar
Debe estar en la zona global en un rol que pueda verificar la configuración de la red. El rol de administrador de la seguridad o el rol de administrador del sistema pueden verificar esta configuración.
Nota - El servicio tnd se ejecuta solamente si el servicio ldap también se ejecuta.
Para obtener detalles, consulte la página del comando man tnd(1M).
Por ejemplo, en un sitio que utiliza LDAP para administrar la red, las entradas son similares a las siguientes:
# Trusted Extensions tnrhtp: files ldap tnrhdb: files ldap
Para modificar estas entradas, el administrador del sistema utiliza la acción Name Service Switch. Para obtener detalles, consulte Cómo iniciar acciones administrativas de CDE en Trusted Extensions. Esta acción mantiene los permisos de los archivos DAC y MAC necesarios.
$ ldaplist -l
$ ldaplist -l hosts | grep hostname
En la herramienta Security Templates, compruebe que cada host esté asignado a una plantilla de seguridad que sea compatible con la plantilla de seguridad de los otros host.
Para un sistema sin etiquetas, compruebe que la asignación de etiquetas predeterminadas sea correcta.
En la herramienta Trusted Network Zones, compruebe que los puertos de varios niveles (MLP) estén configurados correctamente.
Compruebe que la asignación en la antememoria del núcleo de cada host coincida con la asignación en la red y en el otro host.
Para obtener información de seguridad para hosts de puerta de enlace, origen y destino en la transmisión, utilice el comando tninfo.
$ tninfo -h hostname IP Address: IP-address Template: template-name
$ tninfo -t template-name template: template-name host_type: one of CIPSO or UNLABELED doi: 1 min_sl: minimum-label hex: minimum-hex-label max_sl: maximum-label hex: maximum-hex-label
$ tninfo -m zone-name private: ports-that-are-specific-to-this-zone-only shared: ports-that-the-zone-shares-with-other-zones
Para cambiar o verificar la información de seguridad de la red, utilice las herramientas de Solaris Management Console. Para obtener detalles, consulte Cómo abrir las herramientas de redes de confianza
Para actualizar la antememoria del núcleo, reinicie el servicio tnctl en el host cuya información se encuentre desactualizada. Deje pasar un tiempo hasta que el proceso se complete. Luego, actualice el servicio tnd. Si la actualización falla, intente reiniciar el servicio tnd. Para obtener detalles, consulte Cómo sincronizar la antememoria del núcleo con las bases de datos de red de confianza.
Nota - El servicio tnd se ejecuta solamente si el servicio ldap también se ejecuta.
Si se reinicia, se borra la antememoria del núcleo. En el momento del inicio, la antememoria se rellena con información de la base de datos. El archivo nsswitch.conf determina si las bases de datos locales o las bases de datos LDAP se utilizan para rellenar el núcleo.
Utilice el subcomando get hacia el comando route.
$ route get [ip] -secattr sl=label,doi=integer
Para obtener detalles, consulte la página del comando man route(1M).
Utilice el comando snoop -v.
La opción -v muestra los detalles de los encabezados de los paquetes, incluida la información de la etiqueta. Dado que este comando proporciona información muy detallada, quizás desee restringir los paquetes que el comando examina. Para obtener detalles, consulte la página del comando man snoop(1M).
Utilice la opción -R con el comando netstat -a|-r.
La opción -aR muestra los atributos de seguridad ampliados para sockets. La opción -rR muestra las entradas de la tabla de enrutamiento. Para obtener detalles, consulte la página del comando man netstat(1M).
Un error en la configuración de la entrada del cliente en el servidor LDAP puede impedir la comunicación del cliente con el servidor. Un error en la configuración de los archivos del cliente también puede impedir la comunicación. Compruebe las entradas y los archivos siguientes cuando intente depurar un problema de comunicación entre el cliente y el servidor.
Antes de empezar
Debe estar en el rol de administrador de la seguridad en la zona global del cliente LDAP.
# tninfo -h LDAP-server # route get LDAP-server # tninfo -h gateway-to-LDAP-server
Si la asignación de una plantilla a un host remoto es incorrecta, asigne el host a la plantilla correcta mediante la herramienta Security Templates de Solaris Management Console.
El sistema, las interfaces para las zonas con etiquetas del sistema, la puerta de enlace con el servidor LDAP y el servidor LDAP deben figurar en el archivo. Puede que tenga más entradas.
Busque las entradas duplicadas. Elimine cualquier entrada que sea una zona con etiquetas en otros sistemas. Por ejemplo, si el nombre de su servidor LDAP es Lserver, y LServer-zones es la interfaz compartida para las zonas con etiquetas, elimine LServer-zones de /etc/hosts.
# more resolv.conf search list of domains domain domain-name nameserver IP-address ... nameserver IP-address
# ldaplist -l tnrhdb client-IP-address
# ldaplist -l tnrhdb client-zone-IP-address
# ldapclient list ... NS_LDAP_SERVERS= LDAP-server-address # zlogin zone-name1 ping LDAP-server-address LDAP-server-address is alive # zlogin zone-name2 ping LDAP-server-address LDAP-server-address is alive ...
# zlogin zone-name1 # ldapclient init \ -a profileName=profileName \ -a domainName=domain \ -a proxyDN=proxyDN \ -a proxyPassword=password LDAP-Server-IP-Address # exit # zlogin zone-name2 ...
Si está utilizando ZFS de Oracle Solaris, detenga las zonas y bloquee los sistemas de archivos antes de reiniciar. Si no está utilizando ZFS, puede reiniciar sin detener las zonas y ni bloquear los sistemas de archivos.
# zoneadm list # zoneadm -z zone-name halt # lockfs -fa # reboot