Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Procedimientos de administradores de Oracle Solaris Trusted Extensions |
1. Conceptos de la administración de Trusted Extensions
2. Herramientas de administración de Trusted Extensions
3. Introducción para administradores de Trusted Extensions (tareas)
4. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
5. Administración de los requisitos de seguridad en Trusted Extensions (tareas)
6. Usuarios, derechos y roles en Trusted Extensions (descripción general)
7. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
8. Administración remota en Trusted Extensions (tareas)
Administración remota segura en Trusted Extensions
Métodos para administrar sistemas remotos en Trusted Extensions
Inicio de sesión remoto por un rol en Trusted Extensions
Administración remota basada en roles desde hosts sin etiquetas
Gestión de inicio de sesión remoto en Trusted Extensions
Administración remota de Trusted Extensions (mapa de tareas)
Cómo iniciar sesión de manera remota desde la línea de comandos en Trusted Extensions
Cómo administrar Trusted Extensions con dtappsession de manera remota
Cómo utilizar Xvnc para acceder de manera remota a un sistema Trusted Extensions
9. Trusted Extensions y LDAP (descripción general)
10. Gestión de zonas en Trusted Extensions (tareas)
11. Gestión y montaje de archivos en Trusted Extensions (tareas)
12. Redes de confianza (descripción general)
13. Gestión de redes en Trusted Extensions (tareas)
14. Correo de varios niveles en Trusted Extensions (descripción general)
15. Gestión de impresión con etiquetas (tareas)
16. Dispositivos en Trusted Extensions (descripción general)
17. Gestión de dispositivos para Trusted Extensions (tareas)
18. Auditoría de Trusted Extensions (descripción general)
19. Gestión de software en Trusted Extensions (tareas)
A. Referencia rápida a la administración de Trusted Extensions
B. Lista de las páginas del comando man de Trusted Extensions
En el siguiente mapa de tareas se describen las tareas que se utilizan para administrar un sistema Trusted Extensions remoto.
|
Nota - El comando telnet no puede utilizarse para la asunción de roles remota porque no puede transferir la identidad principal y las identidades de roles al módulo pam_roles.
Antes de empezar
El usuario y el rol deben estar definidos de manera idéntica en el sistema local y en el sistema remoto.
El rol debe tener la autorización Remote Login. De manera predeterminada, esta autorización se encuentra en los perfiles de derechos de administración remota y mantenimiento y reparación.
El administrador de la seguridad debe haber completado el procedimiento Habilitación del inicio de sesión remoto por parte de un rol en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions en cada sistema que pueda administrarse de manera remota. Si el sistema puede administrarse desde un sistema sin etiquetas, significa que el procedimiento Habilitación del inicio de sesión remoto desde un sistema sin etiquetas de Guía de configuración de Oracle Solaris Trusted Extensions también se ha completado.
Utilice los comandos rlogin, ssh o ftp.
Si los comandos rlogin -l o ssh se utilizan para iniciar sesión, todos los comandos de los perfiles de derechos del rol se encuentran disponibles.
Si se utiliza el comando ftp, consulte la página del comando man ftp(1) para conocer los comandos disponibles.
El programa dtappsession habilita a un administrador para que administre un sistema remoto que ejecuta CDE.
dtappsession es útil cuando un sistema remoto no tiene supervisor. Por ejemplo, dtappsession se usa con frecuencia para administrar dominios en servidores grandes. Para obtener más información, consulte la página del comando man dtappsession(1).
Antes de empezar
En un sistema con etiquetas, debe estar en un rol administrativo en la zona global. En un sistema sin etiquetas, debe asumir un rol que esté definido en el sistema remoto. A continuación, debe ejecutar el inicio de sesión remoto desde el shell del perfil del rol.
A fin de evitar confusiones entre las aplicaciones de CDE remotas y cualquier aplicación local, dedique espacio de trabajo de un rol administrativo para este procedimiento. Para obtener detalles, consulte Cómo agregar un espacio de trabajo en una etiqueta determinada de Guía del usuario de Oracle Solaris Trusted Extensions.
Puede utilizar los comandos rlogin o ssh.
$ ssh remote-host
En la ventana de terminal de la sesión, escriba el comando dtappsession seguido del nombre del host local.
$ /usr/dt/bin/dtappsession local-host
Si Application Manager se está ejecutando en el host remoto, se muestra en el host local. Además, aparece un cuadro de diálogo de salida.
Si invocó la sesión remota desde Trusted CDE, puede utilizar acciones en la carpeta Trusted_Extensions.
Precaución - No se recomienda cerrar Application Manager; esto no finaliza la sesión. |
Además, utilice el comando hostname para verificar que está en el host local.
$ exit $ hostname local-host
Solaris Management Console ofrece una interfaz de administración remota para gestionar los usuarios, los derechos, los roles y la red. Debe asumir un rol para usar la consola. En este procedimiento, ejecute la consola en el sistema local y especifique el sistema remoto como servidor.
Antes de empezar
Debe haber completado los siguientes procedimientos:
En ambos sistemas: Inicialización del servidor de Solaris Management Console en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions
En el sistema remoto: Habilitación del inicio de sesión remoto por parte de un rol en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions y Habilitación de comunicaciones de red en Solaris Management Console de Guía de configuración de Oracle Solaris Trusted Extensions
En el sistema remoto que es el servidor LDAP: Configuración de Solaris Management Console para LDAP (mapa de tareas) de Guía de configuración de Oracle Solaris Trusted Extensions
Para obtener detalles, consulte Inicialización del servidor de Solaris Management Console en Trusted Extensions de Guía de configuración de Oracle Solaris Trusted Extensions.
A continuación, seleccione uno de los siguientes ámbitos.
This Computer (ldap-server: Scope=LDAP, Policy=TSOL)
This Computer (ldap-server: Scope=Files, Policy=TSOL)
A continuación, seleccione la caja de herramientas Scope=Files.
This Computer (remote-system: Scope=Files, Policy=TSOL)
Al seleccionar una herramienta como User, aparece un cuadro de diálogo con el nombre del servidor de Solaris Management Console, el nombre de usuario, el nombre de rol y un espacio para escribir la contraseña del rol. Asegúrese de que las entradas sean correctas.
Escriba la contraseña del rol y haga clic en Login as Role. A continuación, puede utilizar Solaris Management Console para administrar el sistema.
Nota - Aunque puede utilizar Solaris Management Console para ejecutar dtappsession, la manera más sencilla de usar dtappsession se describe en Cómo administrar Trusted Extensions con dtappsession de manera remota.
En este procedimiento, se ejecutan el cliente y el servidor de Solaris Management Console en el sistema remoto, y se muestra la consola en el sistema local.
Antes de empezar
El sistema Trusted Extensions debe tener asignada la etiqueta ADMIN_LOW en el sistema local.
Nota - El sistema que no ejecuta el protocolo CIPSO, como el sistema Trusted Solaris, es un sistema sin etiquetas desde la perspectiva de un sistema Trusted Extensions.
El servidor de Solaris Management Console en el sistema remoto debe estar configurado para aceptar la conexión remota. Para conocer el procedimiento, consulte Habilitación de comunicaciones de red en Solaris Management Console de Guía de configuración de Oracle Solaris Trusted Extensions.
Los dos sistemas deben tener el mismo usuario que tiene asignado el mismo rol que puede utilizar Solaris Management Console. El usuario puede tener el rango de etiquetas del usuario común, pero el rol debe tener el rango de ADMIN_LOW a ADMIN_HIGH.
Debe estar en un rol administrativo de la zona global.
# xhost + TX-SMC-Server # echo $DISPLAY :n.n
# su - same-username-on-both-systems
$ rlogin -l same-rolename-on-both-systems TX-SMC-Server
$ DISPLAY=local:n.n $ export DISPLAY=local:n.n
$ LOGNAME=same-username-on-both-systems $ export LOGNAME=same-username-on-both-systems
$ USER=same-rolename-on-both-systems $ export USER=same-rolename-on-both-systems
$ /usr/sbin/smc &
Al seleccionar una herramienta como User, aparece un cuadro de diálogo con el nombre del servidor de Solaris Management Console, el nombre de usuario, el nombre de rol y un espacio para escribir la contraseña del rol. Asegúrese de que las entradas sean correctas.
Escriba la contraseña del rol y haga clic en Login as Role. A continuación, puede utilizar Solaris Management Console para administrar el sistema.
Nota - Si intenta acceder a la información de la base de datos de la red desde un sistema distinto del servidor LDAP, la operación fallará. La consola le permite iniciar sesión en el host remoto y abrir la caja de herramientas. Sin embargo, si intenta acceder a la información o modificarla, el siguiente mensaje de error le indicará que ha seleccionado Scope=LDAP en un sistema distinto del servidor LDAP:
Management server cannot perform the operation requested. ... Error extracting the value-from-tool. The keys received from the client were machine, domain, Scope. Problem with Scope.
El rango de etiquetas predeterminado del usuario y el comportamiento predeterminado de la zona se cambian a fin de habilitar a quienes no tengan roles para que inicien sesión de manera remota. Quizás desee llevar a cabo este procedimiento para un evaluador que utiliza un sistema con etiquetas remoto. Por motivos de seguridad, el sistema del evaluador debe ejecutar una etiqueta separada de los demás usuarios.
Antes de empezar
Debe tener una muy buena razón para permitir que el usuario inicie sesión en la zona global.
Debe estar en el rol de administrador de la seguridad en la zona global.
Utilice Solaris Management Console para asignar una acreditación de ADMIN_HIGH y una etiqueta mínima de ADMIN_LOW a cada usuario. Para obtener detalles, consulte Cómo modificar el rango de etiquetas de un usuario en Solaris Management Console.
Las zonas con etiquetas del usuario también deben permitir el inicio de sesión.
Utilice Solaris Management Console. El puerto 513 mediante el protocolo TCP habilita el inicio de sesión remoto. Para ver un ejemplo, consulte Cómo crear un puerto de varios niveles para una zona.
# tnctl -fz /etc/security/tsol/tnzonecfg
# svcadm restart svc:/network/login:rlogin
La tecnología de informática en red virtual (VNC, Virtual Network Computing) conecta un cliente a un servidor remoto y, luego, muestra el escritorio del servidor remoto en una ventana en el cliente. Xvnc es la versión UNIX de VNC, que se basa en un servidor X estándar. En Trusted Extensions, un cliente de cualquier plataforma puede conectarse a una Xvnc que ejecute el software de Trusted Extensions e iniciar sesión en el servidor Xvnc para visualizar un escritorio de varios niveles y trabajar en él.
Antes de empezar
Debe tener instalado y configurado el software de Trusted Extensions en el sistema que se va a utilizar como servidor Xvnc. Debe haber creado e iniciado las zonas con etiquetas. El servidor Xvnc reconoce los clientes VNC por nombre de host o dirección IP.
Debe ser superusuario en la zona global del sistema que se utilizará como servidor Xvnc.
Para obtener más información, consulte las páginas del comando man Xvnc(1) y vncconfig(1).
Precaución - Si ejecuta las versiones Solaris 10 10/08 o Solaris 10 5/08, debe aplicar los parches en el sistema antes de configurar el servidor. En el sistema SPARC, instale la versión más reciente del parche 125719. En el sistema x86, instale la versión más reciente del parche 125720. |
# mkdir -p /etc/dt/config
# cp /usr/dt/config/Xservers /etc/dt/config/Xservers
En este ejemplo, la entrada está configurada para iniciar sesión en el servidor sin contraseña. Para iniciar la sesión el escritorio de manera correcta, el UID local debe ser none en lugar de console.
La entrada se divide con fines de visualización. La entrada debe ocupar solamente una línea.
# :0 Local local_uid@console root /usr/X11/bin/Xserver :0 -nobanner :0 Local local_uid@none root /usr/X11/bin/Xvnc :0 -nobanner -AlwaysShared -SecurityTypes None -geometry 1024x768x24 -depth 24
Nota - Para que la configuración sea más segura, se debe solicitar una contraseña mediante el parámetro -SecurityTypes VncAuth. La página del comando man Xvnc(1) describe los requisitos de las contraseñas.
# reboot
Después de reiniciar, verifique que el programa Xvnc se esté ejecutando.
# ps -ef | grep Xvnc root 2145 932 0 Jan 18 ? 6:15 /usr/X11/bin/Xvnc :0 -nobanner -AlwaysShared -SecurityTypes None -geometry 1024
Para el sistema cliente, puede elegir el software. En este ejemplo se utiliza el software para VNC de Sun.
# cd SUNW-pkg-directory # pkgadd -d . SUNWvncviewer
% /usr/bin/vncviewer Xvnc-server-hostname
Continúe con el proceso de inicio de sesión. Para obtener una descripción del resto de los pasos, consulte Inicio de sesión en Trusted Extensions de Guía del usuario de Oracle Solaris Trusted Extensions.
Si inició sesión en el servidor como superusuario, puede administrar el servidor de manera inmediata. Si inició sesión en el servidor como usuario, debe asumir un rol para administrar el sistema.