Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de configuración de Oracle Solaris Trusted Extensions |
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición del software de Trusted Extensions al SO Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Configuración de un servidor LDAP en un host de Trusted Extensions (mapa de tareas)
Configuración de un servidor proxy LDAP en un host de Trusted Extensions (mapa de tareas)
Configuración de Sun Java System Directory Server en un sistema Trusted Extensions
Recopilación de información para el servidor de directorios para LDAP
Instalación de Sun Java System Directory Server
Creación de un cliente LDAP para el servidor de directorios
Configuración de los registros para Sun Java System Directory Server
Configuración de puerto de varios niveles para Sun Java System Directory Server
Rellenado de Sun Java System Directory Server
Creación de un servidor proxy LDAP
Configuración de Solaris Management Console para LDAP (mapa de tareas)
Registro de las credenciales LDAP en Solaris Management Console
Habilitación de comunicaciones de red en Solaris Management Console
Edición de la caja de herramientas LDAP en Solaris Management Console
Verificación de que Solaris Management Console contenga la información de Trusted Extensions
6. Configuración de Trusted Extensions en un sistema sin periféricos (tareas)
A. Política de seguridad del sitio
B. Uso de acciones de CDE para instalar zonas en Trusted Extensions
C. Lista de comprobación de configuración de Trusted Extensions
Solaris Management Console es la interfaz gráfica de usuario para administrar la red de los sistemas que ejecutan Trusted Extensions.
|
Antes de empezar
Debe ser el usuario root en un servidor LDAP en el que se esté ejecutando Trusted Extensions. El servidor puede ser un servidor proxy.
Su Sun Java System Directory Server debe estar configurado. Ha realizado una de las siguientes configuraciones:
Configuración de un servidor LDAP en un host de Trusted Extensions (mapa de tareas)
Configuración de un servidor proxy LDAP en un host de Trusted Extensions (mapa de tareas)
LDAP-Server # /usr/sadm/bin/dtsetup storeCred Administrator DN:Type the value for cn on your system Password:Type the Directory Manager password Password (confirm):Retype the password
LDAP-Server # /usr/sadm/bin/dtsetup scopes Getting list of manageable scopes... Scope 1 file:Displays name of file scope Scope 2 ldap:Displays name of ldap scope
La configuración del servidor LDAP determina los ámbitos que se muestran en la lista. El ámbito LDAP no aparecerá en la lista hasta que se haya editado la caja de herramientas LDAP. La caja de herramientas no se podrá editar hasta que se haya registrado el servidor.
Ejemplo 5-1 Registro de las credenciales LDAP
En este ejemplo, el nombre del servidor LDAP es LDAP1 y el valor para cn es el valor predeterminado, Directory Manager.
# /usr/sadm/bin/dtsetup storeCred Administrator DN:cn=Directory Manager Password:abcde1;! Password (confirm):abcde1;! # /usr/sadm/bin/dtsetup scopes Getting list of manageable scopes... Scope 1 file:/LDAP1/LDAP1 Scope 2 ldap:/LDAP1/cd=LDAP1,dc=example-domain,dc=com
De manera predeterminada, los sistemas Solaris no están configurados para recibir puertos que presentan riesgos de seguridad. Por lo tanto, debe configurar explícitamente cualquier sistema que pretenda administrar de manera remota para que acepte las comunicaciones de red. Por ejemplo, para administrar las bases de datos de red del servidor LDAP desde un cliente, el servidor de SMC; del servidor LDAP debe aceptar las comunicaciones de red.
Para ver una ilustración de los requisitos de configuración de Solaris Management Console para una red con un servidor LDAP, consulte Comunicación cliente-servidor con Solaris Management Console de Procedimientos de administradores de Oracle Solaris Trusted Extensions.
Antes de empezar
Debe ser superusuario en la zona global en el sistema de servidor de SMC;. En este procedimiento, ese sistema se denomina remoto. Asimismo, debe tener acceso como superusuario mediante la línea comandos al sistema cliente.
El daemon smc se controla mediante el servicio wbem. Si la propiedad options/tcp_listen del servicio wbem se establece en true, el servidor de Solaris Management Console acepta las conexiones remotas.
# /usr/sbin/svcprop -p options wbem options/tcp_listen boolean false # svccfg -s wbem setprop options/tcp_listen=true
# svcadm refresh wbem # svcadm restart wbem
# svcprop -p options wbem options/tcp_listen boolean true
# /usr/dt/bin/trusted_edit /etc/smc/smcserver.config
## remote.connections=false remote.connections=true
Errores más frecuentes
Si reinicia o habilita el servicio wbem, debe asegurarse de que el parámetro remote.connections del archivo smcserver.config permanezca establecido en true.
Antes de empezar
Debe ser superusuario en el servidor LDAP. Las credenciales LDAP deben estar registradas en Solaris Management Console, y debe conocer el resultado del comando /usr/sadm/bin/dtsetup scopes. Para obtener detalles, consulte Registro de las credenciales LDAP en Solaris Management Console.
# cd /var/sadm/smc/toolboxes/tsol_ldap # ls *tbx tsol_ldap.tbx
Por ejemplo, la siguiente ruta es la ubicación predeterminada de la caja de herramientas LDAP:
/var/sadm/smc/toolboxes/tsol_ldap/tsol_ldap.tbx
Reemplace las marcas server entre las marcas <Scope> y </Scope> por el resultado de la línea ldap:/...... del comando /usr/sadm/bin/dtsetup scopes.
<Scope>ldap:/<ldap-server-name>/<dc=domain,dc=suffix></Scope>
<Name>This Computer (ldap-server-name: Scope=ldap, Policy=TSOL)</Name> services and configuration of ldap-server-name.</Description> and configuring ldap-server-name.</Description> ...
# svcadm refresh wbem # svcadm restart wbem
Ejemplo 5-2 Configuración de la caja de herramientas LDAP
En este ejemplo, el nombre del servidor LDAP es LDAP1. Para configurar la caja de herramientas, el administrador reemplaza las instancias de <?server ?> por LDAP1.
# cd /var/sadm/smc/toolboxes/tsol_ldap # /usr/dt/bin/trusted_edit /tsol_ldap.tbx <Scope>ldap:/LDAP1/cd=LDAP1,dc=example-domain,dc=com</Scope ... <Name>This Computer (LDAP1: Scope=ldap, Policy=TSOL)</Name> services and configuration of LDAP1.</Description> and configuring LDAP1.</Description> ...
Para ver una ilustración de los requisitos de configuración de Solaris Management Console para una red con un servidor LDAP y para una red sin un servidor LDAP, consulte Comunicación cliente-servidor con Solaris Management Console de Procedimientos de administradores de Oracle Solaris Trusted Extensions.
Antes de empezar
Debe iniciar sesión en un cliente LDAP con un rol administrativo o como superusuario. Para convertir un sistema en un cliente LDAP, consulte Conversión de la zona global en un cliente LDAP en Trusted Extensions.
Para administrar el sistema local, debe haber completado Inicialización del servidor de Solaris Management Console en Trusted Extensions.
Para conectarse a un servidor de consola de un sistema remoto desde el sistema local, debe haber completado Inicialización del servidor de Solaris Management Console en Trusted Extensions en ambos sistemas. Además, en el sistema remoto, debe haber completado Habilitación de comunicaciones de red en Solaris Management Console.
Para administrar las bases de datos del servicio de nombres LDAP desde el cliente LDAP, en el servidor LDAP debe haber completado Edición de la caja de herramientas LDAP en Solaris Management Console, además de los procedimientos mencionados anteriormente.
# /usr/sbin/smc &
Una caja de herramientas de Trusted Extensions tiene el valor Policy=TSOL.
This Computer (este host: Scope=Files, Policy=TSOL)
This Computer (servidor ldap: Scope=Files, Policy=TSOL)
This Computer (servidor ldap: Scope=LDAP, Policy=TSOL)
This Computer (este host: Scope=Files, Policy=TSOL)
This Computer (sistema remoto: Scope=Files, Policy=TSOL)
Nota - Si intenta acceder a la información de la base de datos de la red desde un sistema distinto del servidor LDAP, la operación fallará. La consola le permite iniciar sesión en el host remoto y abrir la caja de herramientas. Sin embargo, si intenta acceder a la información o modificarla, el siguiente mensaje de error le indicará que ha seleccionado Scope=LDAP en un sistema distinto del servidor LDAP:
Management server cannot perform the operation requested. ... Error extracting the value-from-tool. The keys received from the client were machine, domain, Scope. Problem with Scope.
Errores más frecuentes
Para resolver problemas de configuración de LDAP, consulte el Capítulo 13, LDAP Troubleshooting (Reference) de System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).