Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de configuración de Oracle Solaris Trusted Extensions |
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición del software de Trusted Extensions al SO Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
Configuración de la zona global en Trusted Extensions
Revisión e instalación del archivo de codificaciones de etiquetas
Habilitación de redes IPv6 en Trusted Extensions
Configuración del dominio de interpretación
Creación de agrupación ZFS para clonar zonas
Reinicie e inicie sesión en Trusted Extensions
Inicialización del servidor de Solaris Management Console en Trusted Extensions
Conversión de la zona global en un cliente LDAP en Trusted Extensions
Creación de zonas con etiquetas
Ejecución de la secuencia de comandos txzonemgr
Configuración de las interfaces de red en Trusted Extensions
Asignación de nombre y etiquetado de zona
Instalación de la zona con etiquetas
Verificación del estado de la zona
Adición de interfaces de red y rutas a zonas con etiquetas
Adición de una interfaz de red para enrutar una zona con etiquetas existente
Configuración de una antememoria de servicio de nombres en cada zona con etiquetas
Creación de roles y usuarios en Trusted Extensions
Creación de perfiles de derechos que aplican la separación de tareas
Creación del rol de administrador de la seguridad en Trusted Extensions
Creación de un rol de administrador del sistema restringido
Creación de usuarios que puedan asumir roles en Trusted Extensions
Verificación del funcionamiento de los roles de Trusted Extensions
Habilitación de los usuarios para que inicien sesión en una zona con etiquetas
Creación de directorios principales en Trusted Extensions
Creación del servidor de directorio principal en Trusted Extensions
Habilitación de los usuarios para que accedan a sus directorios principales en Trusted Extensions
Adición de usuarios y hosts a una red de confianza existente
Adición de un usuario NIS al servidor LDAP
Resolución de los problemas de configuración de Trusted Extensions
netservices limited se ejecutó después de que se habilitó Trusted Extensions
No se puede abrir la ventana de consola en una zona con etiquetas
La zona con etiquetas no puede acceder al servidor X
Tareas adicionales de configuración de Trusted Extensions
Cómo copiar archivos en medios portátiles en Trusted Extensions
Cómo copiar archivos desde medios portátiles en Trusted Extensions
Cómo eliminar Trusted Extensions del sistema
5. Configuración de LDAP para Trusted Extensions (tareas)
6. Configuración de Trusted Extensions en un sistema sin periféricos (tareas)
A. Política de seguridad del sitio
B. Uso de acciones de CDE para instalar zonas en Trusted Extensions
C. Lista de comprobación de configuración de Trusted Extensions
La secuencia de comandos txzonemgr lo guía a lo largo de todas las siguientes tareas para configurar las zonas con etiquetas.
Precaución - Para utilizar los procedimientos de txzonemgr, debe estar ejecutando la versión Solaris 10 8/07 de Trusted Extensions, o una versión posterior. O bien, debe instalar todos los parches para la versión Solaris 10 11/06. |
Si está ejecutando la versión Solaris 10 11/06 sin los parches actuales, utilice los procedimientos de Apéndice BUso de acciones de CDE para instalar zonas en Trusted Extensions para configurar las zonas con etiquetas.
Las instrucciones de esta sección permiten configurar zonas con etiquetas en un sistema al que se le han asignado un máximo de dos direcciones IP. Para otras configuraciones, consulte las opciones de configuración en Mapa de tareas: preparación para Trusted Extensions y activación del producto.
|
Esta secuencia de comandos lo guiará a lo largo de las tareas para configurar, instalar, inicializar e iniciar las zonas con etiquetas correctamente. En la secuencia de comandos, asigne un nombre a cada zona, asocie el nombre con una etiqueta, instale los paquetes para crear un sistema operativo virtual y, a continuación, inicie la zona para iniciar los servicios en dicha zona. La secuencia de comandos incluye las tareas de copia de zona y clonación de zona. También puede detener una zona, cambiar el estado de una zona y agregar interfaces de red específicas de la zona.
Esta secuencia de comandos presenta un menú determinado dinámicamente que sólo muestra las opciones válidas para las circunstancias actuales. Por ejemplo, si la zona está configurada, la opción de menú de Install zone no se muestra. Las tareas finalizadas no aparecen en la lista.
Antes de empezar
Debe ser superusuario.
Si tiene previsto clonar zonas, debe haber terminado la preparación para clonar zonas. Si tiene previsto utilizar sus propias plantillas de seguridad, debe haber creado las plantillas.
# /usr/sbin/txzonemgr
La secuencia de comandos abre el cuadro de diálogo Labeled Zone Manager. Este cuadro de diálogo de zenity le pide que realice las tareas correspondientes, según el estado actual de la instalación.
Para realizar una tarea, seleccione la opción de menú, a continuación, presione la tecla de retorno o haga clic en OK. Cuando se le pida que introduzca texto, escriba el texto y, a continuación, presione la tecla de retorno o haga clic en OK.
Consejo - Para ver el estado actual de finalización de la zona, haga clic en Return to Main Menu, en Labeled Zone Manager.
Nota - Si va a configurar el sistema para utilizar DHCP, consulte las instrucciones para equipos portátiles de la sección de Trusted Extensions de la página web de seguridad de la comunidad de OpenSolaris.
A partir de la versión Solaris 10 10/08, si está configurando un sistema en el que cada zona con etiquetas está en su propia subred, puede omitir este paso y continuar con Asignación de nombre y etiquetado de zona. Una vez que haya terminado de instalar y personalizar las zonas, agregue las interfaces de red para todas las zonas con etiquetas según lo explicado en Adición de una interfaz de red para enrutar una zona con etiquetas existente.
Mediante esta tarea, se configuran las redes en la zona global. Debe crear exactamente una interfaz all-zones. Una interfaz all-zones es compartida por las zonas con etiquetas y la zona global. La interfaz compartida se usa para enrutar el tráfico entre las zonas con etiquetas y la zona global. Para configurar esta interfaz, realice una de las siguientes acciones:
Cree una interfaz lógica a partir de una interfaz física y, a continuación, comparta la interfaz física.
Esta configuración es la más fácil para administrar. Elija esta configuración cuando se hayan asignado dos direcciones IP a su sistema. En este procedimiento, la interfaz lógica se convierte en la dirección específica de la zona global, y la interfaz física se comparte entre la zona global y las zonas con etiquetas.
Comparta una interfaz física.
Elija esta configuración cuando se haya asignado una dirección IP a su sistema. En esta configuración, la interfaz física se comparte entre la zona global y las zonas con etiquetas.
Comparta una interfaz de red virtual, vni0.
Elija esta configuración cuando esté configurando DHCP, o cuando cada subred esté en una etiqueta diferente. Para un procedimiento de muestra, consulte las instrucciones para equipos portátiles de la sección de Trusted Extensions de la página web de seguridad de la comunidad de OpenSolaris.
A partir de la versión Solaris 10 10/08, la interfaz de bucle de retorno en Trusted Extensions se crea como una interfaz all-zones. Por lo tanto, no hace falta crear una interfaz compartida vni0.
Para agregar interfaces de red específicas de la zona, finalice y verifique la creación de la zona antes de agregar las interfaces. Para conocer el procedimiento, consulte Adición de una interfaz de red para enrutar una zona con etiquetas existente.
Antes de empezar
Debe ser superusuario de la zona global.
Aparece Labeled Zone Manager. Para abrir esta interfaz gráfica de usuario, consulte Ejecución de la secuencia de comandos txzonemgr.
Aparece una lista de interfaces.
Nota - En este ejemplo, durante la instalación se asignó un nombre de host y una dirección IP a la interfaz física.
Un sistema con una interfaz muestra un menú similar al siguiente. La anotación se agrega para obtener asistencia:
vni0 DownVirtual Network Interface eri0 global 10.10.9.9 cipso Up Physical Interface
Se le ofrecen tres opciones:
View Template Assign a label to the interface Share Enable the global zone and labeled zones to use this interface Create Logical Interface Create an interface to use for sharing
En esta configuración, la dirección IP del host se aplica a todas las zonas. Por lo tanto, la dirección del host es la dirección all-zones. Este host no se puede utilizar como un servidor de varios niveles. Por ejemplo, los usuarios no pueden compartir archivos de este sistema. El sistema no puede ser un servidor proxy LDAP, un servidor de directorio principal NFS ni un servidor de impresión.
eri0 all-zones 10.10.9.8 cipso Up
Si realizó todo correctamente, la interfaz física será una interfaz all-zones. Continúe con Asignación de nombre y etiquetado de zona.
A continuación, comparta la interfaz física.
Ésta es la configuración de red de Trusted Extensions más sencilla. En esta configuración, la dirección IP principal puede ser utilizada por otros sistemas para llegar a cualquier zona de este sistema, y la interfaz lógica es específica de la zona para la zona global. La zona global se puede utilizar como un servidor de varios niveles.
Cierre el cuadro de diálogo que confirma la creación de una interfaz lógica nueva.
Por ejemplo, especifique machine1-services como nombre de host para la interfaz lógica. El nombre indica que este host ofrece servicios de varios niveles.
Por ejemplo, especifique 10.10.9.2 como la dirección IP de la interfaz lógica.
La interfaz aparece como Up.
eri0 global 10.10.9.1 cipso Up eri0:1 global 10.10.9.2 cipso Up
eri0 all-zones 10.10.9.1 cipso Up eri0:1 global 10.10.9.2 cipso Up
Si realizó todo correctamente, al menos una interfaz será all-zones.
Ejemplo 4-3 Visualización del archivo /etc/hosts en un sistema con una interfaz lógica compartida
En un sistema en el que la zona global tiene una interfaz única y las zonas con etiquetas comparten una segunda interfaz con la zona global, aparece un archivo /etc/hosts similar al siguiente:
# cat /etc/hosts ... 127.0.0.1 localhost 192.168.0.11 machine1 loghost 192.168.0.12 machine1-services
En la configuración predeterminada, aparece un archivo tnrhdb similar al siguiente:
# cat /etc/security/tsol/tnrhdb ... 127.0.0.1:cipso 192.168.0.11:cipso 192.168.0.12:cipso 0.0.0.0:admin_low
Si la interfaz all-zones no está en el archivo tnrhdb, de manera predeterminada se establece cipso para la interfaz.
Ejemplo 4-4 Visualización de la interfaz compartida en un sistema Trusted Extensions con una dirección IP
En este ejemplo, el administrador no tiene previsto utilizar el sistema como un servidor de varios niveles. Para conservar las direcciones IP, la zona global se configura para que comparta su dirección IP con todas las zonas con etiquetas.
El administrador selecciona Share para la interfaz hme0 en el sistema. El software configura todas las zonas para que tengan NIC lógicas. Estas NIC lógicas comparten una NIC física única en la zona global.
El administrador ejecuta el comando ifconfig -a para verificar que la interfaz física hme0 de la interfaz de red 192.168.0.11 esté compartida. Aparece el valor all-zones:
lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 all-zones inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255
A partir de la versión Solaris 10 10/08, la interfaz de bucle de retorno en Trusted Extensions se crea como una interfaz all-zones.
lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1 all-zones inet 127.0.0.1 netmask ff000000 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 all-zones inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255
El administrador también examina el contenido del archivo /etc/hostname.hme0:
192.168.0.11 all-zones
No es necesario que cree una zona para cada la etiqueta del archivo label_encodings, pero puede hacerlo. Las interfaces gráficas de usuario administrativas enumeran las etiquetas para las que se pueden crear zonas en este sistema.
Antes de empezar
Debe ser superusuario de la zona global. Aparece el cuadro de diálogo Labeled Zone Manager. Para abrir esta interfaz gráfica de usuario, consulte Ejecución de la secuencia de comandos txzonemgr. Ha configurado las interfaces de red en la zona global.
Ha creado todas las plantillas de seguridad que necesita. Una plantilla de seguridad define, entre otros atributos, el rango de etiqueta que se puede asignar a una interfaz de red. Las plantillas de seguridad predeterminadas pueden satisfacer sus necesidades.
Para obtener una descripción general de las plantillas de seguridad, consulte Atributos de seguridad de red en Trusted Extensions de Procedimientos de administradores de Oracle Solaris Trusted Extensions.
Para utilizar Solaris Management Console para crear plantillas de seguridad, consulte Configuración de bases de datos de red de confianza (mapa de tareas) de Procedimientos de administradores de Oracle Solaris Trusted Extensions.
Se le pedirá un nombre.
Consejo - Asigne a la zona un nombre que sea similar a la etiqueta de la zona. Por ejemplo, el nombre de una zona cuya etiqueta es CONFIDENTIAL: RESTRICTED sería restricted.
Por ejemplo, el archivo label_encodings predeterminado contiene las siguientes etiquetas:
PUBLIC CONFIDENTIAL: INTERNAL USE ONLY CONFIDENTIAL: NEED TO KNOW CONFIDENTIAL: RESTRICTED SANDBOX: PLAYGROUND MAX LABEL
Si bien puede crear una zona por etiqueta, considere la posibilidad de crear las siguientes zonas:
En un sistema para todos los usuarios, cree una zona para la etiqueta PUBLIC y tres zonas para las etiquetas CONFIDENTIAL.
En un sistema para desarrolladores, cree una zona para la etiqueta SANDBOX: PLAYGROUND. Como SANDBOX: PLAYGROUND se define como una etiqueta separada para los desarrolladores, sólo los sistemas que utilizan los desarrolladores necesitan una zona para esta etiqueta.
No cree una zona para la etiqueta MAX LABEL, que se define como una acreditación.
El cuadro de diálogo muestra nombre_zona :configured encima de un lista de tareas.
# /usr/sbin/smc &
Escriba una contraseña cuando se le solicite.
El cuadro de diálogo muestra el nombre de una zona que no tiene ninguna etiqueta asignada.
Si hace clic en la etiqueta incorrecta, haga clic de nuevo en la etiqueta para anular la selección y, a continuación, haga clic en la etiqueta correcta.
Haga clic en OK en el generador de etiquetas y, a continuación, haga clic en OK en el cuadro de diálogo Trusted Network Zones Properties.
Habrá terminado una vez que todas las zonas que desea aparezcan en el panel o cuando la opción de menú Add Zone Configuration abra un cuadro de diálogo que no tenga un valor para el nombre de zona.
Haga clic en la opción de menú Select Label y, a continuación, en OK para mostrar la lista de etiquetas disponibles.
Para una zona que se denomina public, tendría que seleccionar la etiqueta PUBLIC de la lista.
Aparecerá una lista de tareas.
Antes de empezar
Debe ser superusuario de la zona global. La zona debe estar configurada y tener asignada una interfaz de red.
Aparece el cuadro de diálogo Labeled Zone Manager con el subtítulo nombre_zona:configured. Para abrir esta interfaz gráfica de usuario, consulte Ejecución de la secuencia de comandos txzonemgr.
Precaución - Este proceso demora algún tiempo en completarse. No realice otras tareas mientras se esté realizando esta tarea. |
El sistema copia paquetes de la zona global a la zona no global. Esta tarea instala un sistema operativo virtual con etiquetas en la zona. Para continuar con el ejemplo, esta tarea instala la zona public. La interfaz gráfica de usuario muestra un resultado similar al siguiente.
# Labeled Zone Manager: Installing zone-name zone Preparing to install zone <zonename> Creating list of files to copy from the global zone Copying <total> files to the zone Initializing zone product registry Determining zone package initialization order. Preparing to initialize <subtotal> packages on the zone. Initializing package <number> of <subtotal>: percent complete: percent Initialized <subtotal> packages on zone. Zone <zonename> is initialized. The file /zone/internal/root/var/sadm/system/logs/install_log contains a log of the zone installation.
Nota - Los mensajes como cannot create ZFS dataset zone/ nombre_zona: dataset already exists son sólo informativos. La zona utiliza el conjunto de datos existente.
Cuando se complete la instalación, se le solicitará el nombre del host. Se proporciona un nombre.
El cuadro de diálogo muestra nombre_zona:installed encima de una lista de tareas.
Errores más frecuentes
Si aparecen advertencias similares a la siguiente: Installation of these packages generated errors: SUNWnombre_paquete, lea el registro de instalación y termine de instalar los paquetes.
Antes de empezar
Debe ser superusuario de la zona global. La zona debe estar instalada y tener asignada una interfaz de red.
Aparece el cuadro de diálogo Labeled Zone Manager con el subtítulo nombre_zona:installed. Para abrir esta interfaz gráfica de usuario, consulte Ejecución de la secuencia de comandos txzonemgr.
Aparece una ventana de consola independiente para la zona con etiquetas actual.
Zone Terminal Console realiza un seguimiento del progreso del inicio de la zona. Si la zona se crea desde el principio, en la consola aparecen mensajes similares a los siguientes:
[Connected to zone 'public' console] [NOTICE: Zone booting up] ... Hostname: zone-name Loading smf(5) service descriptions: number/total Creating new rsa public/private host key pair Creating new dsa public/private host key pair rebooting system due to change(s) in /etc/default/init [NOTICE: Zone rebooting]
Precaución - No realice otras tareas mientras se esté realizando esta tarea. |
Una vez que las cuatro zonas predeterminadas se configuran e inician, Labeled Zone Manager muestra las zonas de la siguiente manera:
Errores más frecuentes
A veces, aparecen mensajes de error y la zona no se reinicia. En Zone Terminal Console, presione la tecla de retorno. Si se le solicita que escriba y para reiniciar, escriba y. Luego, presione la tecla de retorno. La zona se reiniciará.
Pasos siguientes
Si esta zona se copió o clonó de otra zona, continúe con Verificación del estado de la zona.
Si esta zona es la primera zona, continúe con Personalización de la zona con etiquetas.
Nota - El servidor X se ejecuta en la zona global. Cada zona con etiquetas debe poder conectarse con la zona global para utilizar el servidor X. Por lo tanto, para poder utilizar una zona es necesario que las redes de la zona funcionen. Para acceder a información básica, consulte Planificación de acceso de varios niveles.
hostname console login: root Password: Type root password
# svcs -xv svc:/application/print/server:default (LP print server) State: disabled since Tue Oct 10 10:10:10 2006 Reason: Disabled by an administrator. See: http://sun.com/msg/SMF-8000-05 See: lpsched(1M) ...
Los servicios sendmail y print no son servicios fundamentales.
# ifconfig -a
Por ejemplo, el siguiente resultado muestra una dirección IP para la interfaz hme0.
# ... hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 all-zones inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255
# DISPLAY=global-zone-hostname:n.n # export DISPLAY
Por ejemplo, muestre un reloj.
# /usr/openwin/bin/xclock
Si el reloj no aparece en la etiqueta de la zona, las redes de la zona no se configuraron correctamente. Para ver sugerencias sobre depuración, consulte La zona con etiquetas no puede acceder al servidor X.
# zoneadm list -v ID NAME STATUS PATH BRAND IP 0 global running / native shared 3 internal running /zone/internal native shared 4 needtoknow running /zone/needtoknow native shared 5 restricted running /zone/restricted native shared
Pasos siguientes
Ha terminado de configurar la zona con etiquetas. Para agregar interfaces de red específicas de la zona a las zonas, o establecer una ruta predeterminada por zona con etiquetas, continúe con Adición de interfaces de red y rutas a zonas con etiquetas. De lo contrario, continúe con Creación de roles y usuarios en Trusted Extensions.
Si va a clonar o a copiar zonas, este procedimiento permite configurar una zona para utilizarla como plantilla para otras zonas. Además, este procedimiento permite configurar una zona que no se ha creado a partir de una plantilla para su uso.
Antes de empezar
Debe ser superusuario de la zona global. Debe haber completado la sección Verificación del estado de la zona.
Si está copiando o clonando esta zona, los servicios que deshabilite se inhabilitarán en las nuevas zonas. Los servicios que están en línea en el sistema dependen del manifiesto de servicio para la zona. Utilice el comando netservices limited para desactivar los servicios que las zonas con etiquetas no necesitan.
# netservices limited
# svcs ... STATE STIME FMRI online 13:05:00 svc:/application/graphical-login/cde-login:default ...
# svcadm disable svc:/application/graphical-login/cde-login # svcs cde-login STATE STIME FMRI disabled 13:06:22 svc:/application/graphical-login/cde-login:default
Para obtener información sobre la estructura de gestión de servicios, consulte la página del comando man smf(5).
En nombre_zona: Zone Terminal Console, el siguiente mensaje indica que la zona está cerrada.
[ NOTICE: Zone halted]
Si usted no está copiando ni clonando esta zona, cree las demás zonas de la misma manera en que creó esta primera zona. De lo contrario, continúe con el paso siguiente.
En una ventana de terminal de la zona global, elimine este archivo de la zona nombre_zona.
# cd /zone/zone-name/root/etc # ls auto_home* auto_home auto_home_zone-name # rm auto_home_zone-name
Por ejemplo, si la zona public es la plantilla para la clonación de otras zonas, elimine el archivo auto_home_public:
# cd /zone/public/root/etc # rm auto_home_public
Precaución - La zona para la instantánea debe estar en un sistema de archivos ZFS. En la sección Creación de agrupación ZFS para clonar zonas, creó un sistema de archivos ZFS para la zona. |
La acción Zone Terminal Console realiza un seguimiento del progreso del inicio de la zona. En la consola aparecen mensajes similares a los siguientes:
[Connected to zone 'public' console] [NOTICE: Zone booting up] ... Hostname: zonename
Presione la tecla de retorno para acceder a la petición de datos de inicio de sesión. Puede iniciar sesión como usuario root.
Antes de empezar
Debe haber completado Personalización de la zona con etiquetas.
Aparece el cuadro de diálogo Labeled Zone Manager. Para abrir esta interfaz gráfica de usuario, consulte Ejecución de la secuencia de comandos txzonemgr.
Para obtener detalles, consulte Asignación de nombre y etiquetado de zona.
Deberá repetir estos pasos para cada zona nueva.
Aparece una ventana en la que se muestra el proceso de copia. Una vez que termine el proceso, la zona estará instalada.
Si Labeled Zone Manager muestra nombre_zona :configured, continúe con el paso siguiente. De lo contrario, continúe con el Paso e.
Por ejemplo, si ha creado una instantánea a partir de public, seleccione zone/public@snapshot.
Una vez que termine el proceso de clonación, la zona estará instalada. Continúe con el Paso c.
Para obtener instrucciones, consulte Inicie la zona con etiquetas.
Pasos siguientes
Cuando haya completado la sección Verificación del estado de la zona para cada zona y desee que cada zona esté en una red física independiente, continúe con Adición de una interfaz de red para enrutar una zona con etiquetas existente.
Si aún no ha creado roles, continúe con Creación de roles y usuarios en Trusted Extensions.
Si ya ha creado roles, continúe con Creación de directorios principales en Trusted Extensions.