Administración remota de Trusted Extensions (mapa de tareas)

En el siguiente mapa de tareas se describen las tareas que se utilizan para administrar un sistema Trusted Extensions remoto.

Cómo iniciar sesión de manera remota desde la línea de comandos en Trusted Extensions

Antes de empezar

El usuario y el rol deben estar definidos de manera idéntica en el sistema local y en el sistema remoto.

El rol debe tener la autorización Remote Login. De manera predeterminada, esta autorización se encuentra en los perfiles de derechos de administración remota y mantenimiento y reparación.

El administrador de la seguridad debe haber completado el procedimiento Habilitación del inicio de sesión remoto por parte de un rol en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions en cada sistema que pueda administrarse de manera remota. Si el sistema puede administrarse desde un sistema sin etiquetas, significa que el procedimiento Habilitación del inicio de sesión remoto desde un sistema sin etiquetas de Guía de configuración de Oracle Solaris Trusted Extensions también se ha completado.

• Desde el espacio de trabajo de un usuario que puede asumir un rol, inicie sesión en el host remoto.

  Utilice los comandos rlogin, ssh o ftp.

  • Si los comandos rlogin -l o ssh se utilizan para iniciar sesión, todos los comandos de los perfiles de derechos del rol se encuentran disponibles.

  • Si se utiliza el comando ftp, consulte la página del comando man ftp(1) para conocer los comandos disponibles.

Cómo administrar Trusted Extensions con dtappsession de manera remota

El programa dtappsession habilita a un administrador para que administre un sistema remoto que ejecuta CDE.

dtappsession es útil cuando un sistema remoto no tiene supervisor. Por ejemplo, dtappsession se usa con frecuencia para administrar dominios en servidores grandes. Para obtener más información, consulte la página del comando man dtappsession(1).

Antes de empezar

En un sistema con etiquetas, debe estar en un rol administrativo en la zona global. En un sistema sin etiquetas, debe asumir un rol que esté definido en el sistema remoto. A continuación, debe ejecutar el inicio de sesión remoto desde el shell del perfil del rol.

1. (Opcional) Cree un espacio de trabajo que esté dedicado a la sesión remota.

   A fin de evitar confusiones entre las aplicaciones de CDE remotas y cualquier aplicación local, dedique espacio de trabajo de un rol administrativo para este procedimiento. Para obtener detalles, consulte Cómo agregar un espacio de trabajo en una etiqueta determinada de Guía del usuario de Oracle Solaris Trusted Extensions.

2. Inicie sesión en el host remoto.

   Puede utilizar los comandos rlogin o ssh.

   $ ssh remote-host

3. Inicie la administración remota.

   En la ventana de terminal de la sesión, escriba el comando dtappsession seguido del nombre del host local.

   $ /usr/dt/bin/dtappsession local-host

   Si Application Manager se está ejecutando en el host remoto, se muestra en el host local. Además, aparece un cuadro de diálogo de salida.

4. Administre el host remoto.

   Si invocó la sesión remota desde Trusted CDE, puede utilizar acciones en la carpeta Trusted_Extensions.

5. Cuando termine, haga clic en el botón Exit.
   

   ---

   Precaución - No se recomienda cerrar Application Manager; esto no finaliza la sesión.

   ---

6. En la ventana de terminal, salga de la sesión remota.

   Además, utilice el comando hostname para verificar que está en el host local.

   $ exit
   $ hostname
   local-host

Cómo administrar sistemas de manera remota con Solaris Management Console desde un sistema Trusted Extensions

Solaris Management Console ofrece una interfaz de administración remota para gestionar los usuarios, los derechos, los roles y la red. Debe asumir un rol para usar la consola. En este procedimiento, ejecute la consola en el sistema local y especifique el sistema remoto como servidor.

Antes de empezar

Debe haber completado los siguientes procedimientos:

• En ambos sistemas: Inicialización del servidor de Solaris Management Console en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions

• En el sistema remoto: Habilitación del inicio de sesión remoto por parte de un rol en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions y Habilitación de comunicaciones de red en Solaris Management Console de Guía de configuración de Oracle Solaris Trusted Extensions

• En el sistema remoto que es el servidor LDAP: Configuración de Solaris Management Console para LDAP (mapa de tareas) de Guía de configuración de Oracle Solaris Trusted Extensions

1. En el sistema local, inicie sesión como el usuario que se define de manera idéntica en el sistema remoto.
2. Asuma el rol que desea utilizar para administrar el sistema.
3. En el rol, inicie Solaris Management Console.

   Para obtener detalles, consulte Inicialización del servidor de Solaris Management Console en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.

   1. En el cuadro de diálogo del servidor, escriba el nombre del servidor remoto.
      • Si está utilizando LDAP como un servicio de nombres, escriba el nombre del servidor LDAP.

        A continuación, seleccione uno de los siguientes ámbitos.

        • Para administrar las bases de datos del servicio de nombres, seleccione la caja de herramientas Scope=LDAP.

          This Computer (ldap-server: Scope=LDAP, Policy=TSOL)

        • Para administrar los archivos locales en el servidor LDAP, seleccione la caja de herramientas Scope=Files.

          This Computer (ldap-server: Scope=Files, Policy=TSOL)

      • Si no utiliza LDAP como servicio de nombres, escriba el nombre del sistema remoto que desea administrar.

        A continuación, seleccione la caja de herramientas Scope=Files.

        This Computer (remote-system: Scope=Files, Policy=TSOL)

4. Seleccione una herramienta en System Configuration.

   Al seleccionar una herramienta como User, aparece un cuadro de diálogo con el nombre del servidor de Solaris Management Console, el nombre de usuario, el nombre de rol y un espacio para escribir la contraseña del rol. Asegúrese de que las entradas sean correctas.

5. Con el rol que está definido de manera idéntica en los sistemas locales y remotos, inicie sesión en el servidor de Solaris Management Console.

   Escriba la contraseña del rol y haga clic en Login as Role. A continuación, puede utilizar Solaris Management Console para administrar el sistema.

   ---

   Nota - Aunque puede utilizar Solaris Management Console para ejecutar dtappsession, la manera más sencilla de usar dtappsession se describe en Cómo administrar Trusted Extensions con dtappsession de manera remota.

   ---

Cómo administrar sistemas de manera remota con Solaris Management Console desde un sistema sin etiquetas

En este procedimiento, se ejecutan el cliente y el servidor de Solaris Management Console en el sistema remoto, y se muestra la consola en el sistema local.

Antes de empezar

El sistema Trusted Extensions debe tener asignada la etiqueta ADMIN_LOW en el sistema local.

El servidor de Solaris Management Console en el sistema remoto debe estar configurado para aceptar la conexión remota. Para conocer el procedimiento, consulte Habilitación de comunicaciones de red en Solaris Management Console de Guía de configuración de Oracle Solaris Trusted Extensions.

Los dos sistemas deben tener el mismo usuario que tiene asignado el mismo rol que puede utilizar Solaris Management Console. El usuario puede tener el rango de etiquetas del usuario común, pero el rol debe tener el rango de ADMIN_LOW a ADMIN_HIGH.

Debe estar en un rol administrativo de la zona global.

1. Habilite el servidor X local para que muestre la consola Solaris Management Console remota.

   # xhost + TX-SMC-Server
   # echo $DISPLAY
   :n.n

2. En el sistema local, debe emplear un usuario que pueda asumir un rol para Solaris Management Console.

   # su - same-username-on-both-systems

3. Con ese usuario, inicie sesión en el servidor remoto como el rol.

   $ rlogin -l same-rolename-on-both-systems TX-SMC-Server

4. Asegúrese de que las variables del entorno que Solaris Management Console utiliza tengan los valores correctos.
   1. Establezca el valor de la variable DISPLAY.

      $ DISPLAY=local:n.n
      $ export DISPLAY=local:n.n

   2. Establezca el valor de la variable LOGNAME para el nombre de usuario.

      $ LOGNAME=same-username-on-both-systems
      $ export LOGNAME=same-username-on-both-systems

   3. Establezca el valor de la variable USER para el nombre del rol.

      $ USER=same-rolename-on-both-systems
      $ export USER=same-rolename-on-both-systems

5. En el rol, inicie Solaris Management Console desde la línea de comandos.

   $ /usr/sbin/smc &

6. Seleccione una herramienta en System Configuration.

   Al seleccionar una herramienta como User, aparece un cuadro de diálogo con el nombre del servidor de Solaris Management Console, el nombre de usuario, el nombre de rol y un espacio para escribir la contraseña del rol. Asegúrese de que las entradas sean correctas.

7. Como rol, inicie sesión en el servidor.

   Escriba la contraseña del rol y haga clic en Login as Role. A continuación, puede utilizar Solaris Management Console para administrar el sistema.

   ---

   Nota - Si intenta acceder a la información de la base de datos de la red desde un sistema distinto del servidor LDAP, la operación fallará. La consola le permite iniciar sesión en el host remoto y abrir la caja de herramientas. Sin embargo, si intenta acceder a la información o modificarla, el siguiente mensaje de error le indicará que ha seleccionado Scope=LDAP en un sistema distinto del servidor LDAP:

   Management server cannot perform the operation requested.
   ...
   Error extracting the value-from-tool.
   The keys received from the client were machine, domain, Scope.
   Problem with Scope.

   ---

Cómo habilitar a usuarios específicos para que inicien sesión de manera remota en la zona global en Trusted Extensions

El rango de etiquetas predeterminado del usuario y el comportamiento predeterminado de la zona se cambian a fin de habilitar a quienes no tengan roles para que inicien sesión de manera remota. Quizás desee llevar a cabo este procedimiento para un evaluador que utiliza un sistema con etiquetas remoto. Por motivos de seguridad, el sistema del evaluador debe ejecutar una etiqueta separada de los demás usuarios.

Antes de empezar

Debe tener una muy buena razón para permitir que el usuario inicie sesión en la zona global.

Debe estar en el rol de administrador de la seguridad en la zona global.

1. Si desea habilitar a usuarios específicos para que inicien sesión en la zona global, asígneles un rango de etiquetas administrativas.

   Utilice Solaris Management Console para asignar una acreditación de ADMIN_HIGH y una etiqueta mínima de ADMIN_LOW a cada usuario. Para obtener detalles, consulte Cómo modificar el rango de etiquetas de un usuario en Solaris Management Console.

   Las zonas con etiquetas del usuario también deben permitir el inicio de sesión.

2. Para habilitar el inicio de sesión remoto desde una zona con etiquetas en la zona global, realice lo siguiente.
   1. Agregue un puerto de varios niveles para el inicio de sesión remoto en la zona global.

      Utilice Solaris Management Console. El puerto 513 mediante el protocolo TCP habilita el inicio de sesión remoto. Para ver un ejemplo, consulte Cómo crear un puerto de varios niveles para una zona.

   2. Lea los cambios de tnzonecfg en el núcleo.

      # tnctl -fz /etc/security/tsol/tnzonecfg

   3. Reinicie el servicio de inicio de sesión remoto.

      # svcadm restart svc:/network/login:rlogin

Cómo utilizar Xvnc para acceder de manera remota a un sistema Trusted Extensions

La tecnología de informática en red virtual (VNC, Virtual Network Computing) conecta un cliente a un servidor remoto y, luego, muestra el escritorio del servidor remoto en una ventana en el cliente. Xvnc es la versión UNIX de VNC, que se basa en un servidor X estándar. En Trusted Extensions, un cliente de cualquier plataforma puede conectarse a una Xvnc que ejecute el software de Trusted Extensions e iniciar sesión en el servidor Xvnc para visualizar un escritorio de varios niveles y trabajar en él.

Antes de empezar

Debe tener instalado y configurado el software de Trusted Extensions en el sistema que se va a utilizar como servidor Xvnc. Debe haber creado e iniciado las zonas con etiquetas. El servidor Xvnc reconoce los clientes VNC por nombre de host o dirección IP.

Debe ser superusuario en la zona global del sistema que se utilizará como servidor Xvnc.

1. Configure el servidor Xvnc.

   Para obtener más información, consulte las páginas del comando man Xvnc(1) y vncconfig(1).

   ---

   Precaución - Si ejecuta las versiones Solaris 10 10/08 o Solaris 10 5/08, debe aplicar los parches en el sistema antes de configurar el servidor. En el sistema SPARC, instale la versión más reciente del parche 125719. En el sistema x86, instale la versión más reciente del parche 125720.

   ---

   1. Cree el directorio de configuración Xservers.

      # mkdir -p /etc/dt/config

   2. Copie el archivo /usr/dt/config/Xservers en el directorio /etc/dt/config.

      # cp /usr/dt/config/Xservers /etc/dt/config/Xservers

   3. Edite el archivo /etc/dt/config/Xservers para iniciar el programa Xvnc en lugar de Xserver o Xorg.

      En este ejemplo, la entrada está configurada para iniciar sesión en el servidor sin contraseña. Para iniciar la sesión el escritorio de manera correcta, el UID local debe ser none en lugar de console.

      La entrada se divide con fines de visualización. La entrada debe ocupar solamente una línea.

      #   :0  Local local_uid@console root /usr/X11/bin/Xserver :0 -nobanner
        :0  Local local_uid@none root /usr/X11/bin/Xvnc :0 -nobanner 
        -AlwaysShared -SecurityTypes None -geometry 1024x768x24 -depth 24

      ---

      Nota - Para que la configuración sea más segura, se debe solicitar una contraseña mediante el parámetro -SecurityTypes VncAuth. La página del comando man Xvnc(1) describe los requisitos de las contraseñas.

      ---

   4. Reinicie el servidor o inicie el servidor Xvnc.

      # reboot

      Después de reiniciar, verifique que el programa Xvnc se esté ejecutando.

      # ps -ef | grep Xvnc
        root  2145  932  0  Jan 18 ?  6:15 /usr/X11/bin/Xvnc :0 -nobanner 
        -AlwaysShared -SecurityTypes None -geometry 1024

2. En cada cliente VNC del servidor Xvnc de Trusted Extensions, instale el software del cliente VNC.

   Para el sistema cliente, puede elegir el software. En este ejemplo se utiliza el software para VNC de Sun.

   # cd SUNW-pkg-directory
   # pkgadd -d . SUNWvncviewer

3. En una ventana de terminal de un cliente VNC, conéctese al servidor.

   % /usr/bin/vncviewer Xvnc-server-hostname

4. En la ventana que aparece, escriba su nombre y contraseña.

   Continúe con el proceso de inicio de sesión. Para obtener una descripción del resto de los pasos, consulte Inicio de sesión en Trusted Extensions de Guía del usuario de Oracle Solaris Trusted Extensions.

   Si inició sesión en el servidor como superusuario, puede administrar el servidor de manera inmediata. Si inició sesión en el servidor como usuario, debe asumir un rol para administrar el sistema.