Resolución de problemas de la red de confianza (mapa de tareas)

El siguiente mapa de tareas describe las tareas que se deben realizar para depurar la red.

Tarea	Descripción	Para obtener instrucciones
Determinar por qué dos hosts no se pueden comunicar.	Comprobar que las interfaces de un solo sistema estén activas.	Cómo verificar que las interfaces del host estén activas
Determinar por qué dos hosts no se pueden comunicar.	Utilizar las herramientas de depuración cuando dos hosts no se pueden comunicar entre sí.	Cómo depurar la red de Trusted Extensions
Determinar por qué un cliente LDAP no puede alcanzar el servidor LDAP.	Resolver los problemas de pérdida de conexión entre un servidor LDAP y un cliente.	Cómo depurar una conexión de cliente con el servidor LDAP

Cómo verificar que las interfaces del host estén activas

Utilice este procedimiento si el sistema no se comunica con otros hosts según lo esperado.

Antes de empezar

Debe estar en la zona global en un rol que pueda verificar la configuración de la red. El rol de administrador de la seguridad y el rol de administrador del sistema pueden verificar esta configuración.

Verifique que la interfaz de la red del sistema esté activa.

La siguiente salida muestra que el sistema tiene dos interfaces de red: hme0 y hme0:3. Ninguna interfaz está activa.

# ifconfig -a
...
hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         inet 192.168.0.11 netmask ffffff00 broadcast 192.168.0.255
hme0:3 flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         inet 192.168.0.12 netmask ffffff00 broadcast 192.168.0.255

Si la interfaz no está activa, actívela, y luego verifique que haya quedado activada.
La siguiente salida muestra que ambas interfaces están activas.
```
# ifconfig hme0 up
# ifconfig -a
...
hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,...
hme0:3 flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,..
```

Cómo depurar la red de Trusted Extensions

Para depurar dos hosts que deben comunicarse, pero no lo hacen, puede utilizar las herramientas de depuración de Trusted Extensions y Solaris. Por ejemplo, los comandos de depuración de redes de Oracle Solaris, como snoop y netstat, se encuentran disponibles. Para obtener detalles, consulte las páginas del comando man snoop(1M) y netstat(1M). Para obtener información sobre los comandos específicos de Trusted Extensions, consulte la Tabla 2-4.

Para obtener información sobre los problemas para contactarse con zonas con etiquetas, consulte Gestión de zonas (mapa de tareas).
Para obtener información sobre la depuración de los montajes de NFS, consulte Cómo resolver problemas por fallos de montaje en Trusted Extensions.
Para obtener información sobre la depuración de las comunicaciones LDAP, consulte Cómo depurar una conexión de cliente con el servidor LDAP.

Antes de empezar

Debe estar en la zona global en un rol que pueda verificar la configuración de la red. El rol de administrador de la seguridad o el rol de administrador del sistema pueden verificar esta configuración.

Para resolver el problema del daemon de tnd, cambie el intervalo de sondeo y recopile la información de depuración.
Nota - El servicio tnd se ejecuta solamente si el servicio ldap también se ejecuta.

Para obtener detalles, consulte la página del comando man tnd(1M).
Compruebe que los hosts que no pueden comunicarse estén utilizando el mismo servicio de nombres.
1. En cada host, revise el archivo nsswitch.conf.
  1. Verifique los valores de las bases de datos de Trusted Extensions en el archivo nsswitch.conf.
    Por ejemplo, en un sitio que utiliza LDAP para administrar la red, las entradas son similares a las siguientes:
```
# Trusted Extensions
tnrhtp: files ldap
tnrhdb: files ldap
```
  2. Si los valores son diferentes, corrija el archivo nsswitch.conf.
    Para modificar estas entradas, el administrador del sistema utiliza la acción Name Service Switch. Para obtener detalles, consulte Cómo iniciar acciones administrativas de CDE en Trusted Extensions. Esta acción mantiene los permisos de los archivos DAC y MAC necesarios.
2. Compruebe que el servicio de nombres LDAP esté configurado.
```
$ ldaplist -l
```
3. Compruebe que los dos hosts se encuentren en el servicio de nombres LDAP.
```
$ ldaplist -l hosts | grep hostname
```
Compruebe que cada host se haya definido correctamente.
1. Utilice la Solaris Management Console para verificar las definiciones.
  - En la herramienta Security Templates, compruebe que cada host esté asignado a una plantilla de seguridad que sea compatible con la plantilla de seguridad de los otros host.
  - Para un sistema sin etiquetas, compruebe que la asignación de etiquetas predeterminadas sea correcta.
  - En la herramienta Trusted Network Zones, compruebe que los puertos de varios niveles (MLP) estén configurados correctamente.
2. Utilice la línea de comandos para comprobar que la información de la red del núcleo sea actual.
  Compruebe que la asignación en la antememoria del núcleo de cada host coincida con la asignación en la red y en el otro host.
  Para obtener información de seguridad para hosts de puerta de enlace, origen y destino en la transmisión, utilice el comando tninfo.
  - Visualice la dirección IP y la plantilla de seguridad asignada para un host determinado.
```
$ tninfo -h hostname
IP Address: IP-address
Template: template-name
```
  - Visualice una definición de la plantilla.
```
$ tninfo -t template-name
template: template-name
host_type: one of CIPSO or UNLABELED
doi: 1
min_sl: minimum-label
hex: minimum-hex-label
max_sl: maximum-label
hex: maximum-hex-label
```
  - Visualice los puertos de varios niveles para una zona.
```
$ tninfo -m zone-name
private: ports-that-are-specific-to-this-zone-only
shared: ports-that-the-zone-shares-with-other-zones
```
Corrija cualquier información incorrecta.
- Para cambiar o verificar la información de seguridad de la red, utilice las herramientas de Solaris Management Console. Para obtener detalles, consulte Cómo abrir las herramientas de redes de confianza
- Para actualizar la antememoria del núcleo, reinicie el servicio tnctl en el host cuya información se encuentre desactualizada. Deje pasar un tiempo hasta que el proceso se complete. Luego, actualice el servicio tnd. Si la actualización falla, intente reiniciar el servicio tnd. Para obtener detalles, consulte Cómo sincronizar la antememoria del núcleo con las bases de datos de red de confianza.
  
  Nota - El servicio tnd se ejecuta solamente si el servicio ldap también se ejecuta.
  
  Si se reinicia, se borra la antememoria del núcleo. En el momento del inicio, la antememoria se rellena con información de la base de datos. El archivo nsswitch.conf determina si las bases de datos locales o las bases de datos LDAP se utilizan para rellenar el núcleo.
Recopile información de la transmisión para usarla como ayuda en la depuración.
- Verifique la configuración de enrutamiento.
  Utilice el subcomando get hacia el comando route.
```
$ route get [ip] -secattr sl=label,doi=integer
```
  Para obtener detalles, consulte la página del comando man route(1M).
- Vea la información de la etiqueta en los paquetes.
  Utilice el comando snoop -v.
  La opción -v muestra los detalles de los encabezados de los paquetes, incluida la información de la etiqueta. Dado que este comando proporciona información muy detallada, quizás desee restringir los paquetes que el comando examina. Para obtener detalles, consulte la página del comando man snoop(1M).
- Vea las entradas de la tabla de enrutamiento y los atributos de seguridad en sockets.
  Utilice la opción -R con el comando netstat -a|-r.
  La opción -aR muestra los atributos de seguridad ampliados para sockets. La opción -rR muestra las entradas de la tabla de enrutamiento. Para obtener detalles, consulte la página del comando man netstat(1M).

Cómo depurar una conexión de cliente con el servidor LDAP

Un error en la configuración de la entrada del cliente en el servidor LDAP puede impedir la comunicación del cliente con el servidor. Un error en la configuración de los archivos del cliente también puede impedir la comunicación. Compruebe las entradas y los archivos siguientes cuando intente depurar un problema de comunicación entre el cliente y el servidor.

Antes de empezar

Debe estar en el rol de administrador de la seguridad en la zona global del cliente LDAP.

Compruebe que la plantilla del host remoto para el servidor LDAP y para la puerta de enlace con el servidor LDAP sea correcta.
```
# tninfo -h LDAP-server
# route get LDAP-server
# tninfo -h gateway-to-LDAP-server
```
Si la asignación de una plantilla a un host remoto es incorrecta, asigne el host a la plantilla correcta mediante la herramienta Security Templates de Solaris Management Console.
Revise y corrija el archivo /etc/hosts.
El sistema, las interfaces para las zonas con etiquetas del sistema, la puerta de enlace con el servidor LDAP y el servidor LDAP deben figurar en el archivo. Puede que tenga más entradas.
Busque las entradas duplicadas. Elimine cualquier entrada que sea una zona con etiquetas en otros sistemas. Por ejemplo, si el nombre de su servidor LDAP es Lserver, y LServer-zones es la interfaz compartida para las zonas con etiquetas, elimine LServer-zones de /etc/hosts.

Si usa DNS, revise y corrija las entradas del archivo resolv.conf.

# more resolv.conf
search list of domains
domain domain-name
nameserver IP-address

...
nameserver IP-address

Compruebe que las entradas tnrhdb y tnrhtp del archivo nsswitch.conf sean precisas.
Compruebe que el cliente esté configurado correctamente en el servidor.
```
# ldaplist -l tnrhdb client-IP-address
```
Compruebe que las interfaces para sus zonas con etiquetas estén configuradas correctamente en el servidor LDAP.
```
# ldaplist -l tnrhdb client-zone-IP-address
```

Compruebe que puede aplicar ping en el servidor LDAP desde todas las zonas que se encuentran en ejecución.

# ldapclient list
...
NS_LDAP_SERVERS= LDAP-server-address
# zlogin zone-name1 ping LDAP-server-address
LDAP-server-address is alive
# zlogin zone-name2 ping LDAP-server-address
LDAP-server-address is alive
...

Configure el LDAP y reinicie.
1. Para conocer el procedimiento, consulte Conversión de la zona global en un cliente LDAP en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.
2. En cada zona con etiquetas, vuelva a establecer la zona como cliente del servidor LDAP.
```
# zlogin zone-name1
# ldapclient init \
-a profileName=profileName \
-a domainName=domain \
-a proxyDN=proxyDN \
-a proxyPassword=password LDAP-Server-IP-Address
# exit
# zlogin zone-name2 ...
```
3. Detenga todas las zonas, bloquee los sistemas de archivos y reinicie.
  Si está utilizando ZFS de Oracle Solaris, detenga las zonas y bloquee los sistemas de archivos antes de reiniciar. Si no está utilizando ZFS, puede reiniciar sin detener las zonas y ni bloquear los sistemas de archivos.
```
# zoneadm list
# zoneadm -z zone-name halt
# lockfs -fa
# reboot
```

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Procedimientos de administradores de Oracle Solaris Trusted Extensions