Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de configuración de Oracle Solaris Trusted Extensions |
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición del software de Trusted Extensions al SO Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
Configuración de la zona global en Trusted Extensions
Revisión e instalación del archivo de codificaciones de etiquetas
Habilitación de redes IPv6 en Trusted Extensions
Configuración del dominio de interpretación
Creación de agrupación ZFS para clonar zonas
Reinicie e inicie sesión en Trusted Extensions
Inicialización del servidor de Solaris Management Console en Trusted Extensions
Conversión de la zona global en un cliente LDAP en Trusted Extensions
Creación de zonas con etiquetas
Ejecución de la secuencia de comandos txzonemgr
Configuración de las interfaces de red en Trusted Extensions
Asignación de nombre y etiquetado de zona
Instalación de la zona con etiquetas
Verificación del estado de la zona
Personalización de la zona con etiquetas
Copia o clonación de una zona en Trusted Extensions
Adición de interfaces de red y rutas a zonas con etiquetas
Adición de una interfaz de red para enrutar una zona con etiquetas existente
Configuración de una antememoria de servicio de nombres en cada zona con etiquetas
Creación de roles y usuarios en Trusted Extensions
Creación de perfiles de derechos que aplican la separación de tareas
Creación del rol de administrador de la seguridad en Trusted Extensions
Creación de un rol de administrador del sistema restringido
Creación de usuarios que puedan asumir roles en Trusted Extensions
Verificación del funcionamiento de los roles de Trusted Extensions
Habilitación de los usuarios para que inicien sesión en una zona con etiquetas
Creación de directorios principales en Trusted Extensions
Creación del servidor de directorio principal en Trusted Extensions
Habilitación de los usuarios para que accedan a sus directorios principales en Trusted Extensions
Resolución de los problemas de configuración de Trusted Extensions
netservices limited se ejecutó después de que se habilitó Trusted Extensions
No se puede abrir la ventana de consola en una zona con etiquetas
La zona con etiquetas no puede acceder al servidor X
Tareas adicionales de configuración de Trusted Extensions
Cómo copiar archivos en medios portátiles en Trusted Extensions
Cómo copiar archivos desde medios portátiles en Trusted Extensions
Cómo eliminar Trusted Extensions del sistema
5. Configuración de LDAP para Trusted Extensions (tareas)
6. Configuración de Trusted Extensions en un sistema sin periféricos (tareas)
A. Política de seguridad del sitio
B. Uso de acciones de CDE para instalar zonas en Trusted Extensions
C. Lista de comprobación de configuración de Trusted Extensions
Si tiene usuarios que están definidos en mapas NIS, puede agregarlos a la red.
Para agregar hosts y etiquetas a hosts, consulte los siguientes procedimientos:
Para agregar un host, utilice la herramienta Computers and Networks definida en Solaris Management Console. Para obtener detalles, consulte Cómo agregar hosts a la red conocida del sistema de Procedimientos de administradores de Oracle Solaris Trusted Extensions.
Al agregar un host al servidor LDAP, agregue todas las direcciones IP que están asociadas con el host. Las direcciones para todas las zonas, incluidas las direcciones para zonas con etiquetas, se deben agregar al servidor LDAP.
Para etiquetar un host, consulte Cómo asignar una plantilla de seguridad a un host o a un grupo de hosts de Procedimientos de administradores de Oracle Solaris Trusted Extensions.
Antes de empezar
Debe ser superusuario, en el rol root o en el rol de administrador principal.
% ypcat -k aliases | grep login-name > aliases.name
% ypcat -k passwd | grep "Full Name" > passwd.name
% ypcat -k auto_home | grep login-name > auto_home_label
% sed 's/ /:/g' aliases.login-name > aliases
% nawk -F: '{print $1":x:"$3":"$4":"$5":"$6":"$7}' passwd.name > passwd
% nawk -F: '{print $1":"$2":6445::::::"}' passwd.name > shadow
% nawk -F: '{print $1"::::lock_after_retries=yes-or-no;profiles=user-profile, ...; labelview=int-or-ext,show-or-hide;min_label=min-label; clearance=max-label;type=normal;roles=role-name,...; auths=auth-name,..."}' passwd.name > user_attr
# cp aliases auto_home_internal passwd shadow user_attr /tmp/name
# /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/aliases aliases # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/auto_home_internal auto_home_internal # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/passwd passwd # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/shadow shadow # /usr/sbin/ldapaddent -D "cn=directory manager" -w DM-password \ -a simple -f /tmp/name/user_attr user_attr
Ejemplo 4-8 Adición de un usuario de una base de datos NIS al servidor LDAP
En el siguiente ejemplo, el administrador agrega un usuario nuevo a la red de confianza. La información del usuario se almacena originalmente en una base de datos NIS. Para proteger la contraseña del servidor LDAP, el administrador ejecuta el comando ldapaddent en el servidor.
En Trusted Extensions, el usuario nuevo puede asignar dispositivos y asumir el rol de operador. Como el usuario puede asumir un rol, la cuenta de usuario no se bloquea. La etiqueta mínima del usuario es PUBLIC. La etiqueta en la que trabaja el usuario es INTERNAL, por lo que se agrega jan a la base de datos auto_home_internal. La base de datos auto_home_internal monta automáticamente el directorio principal de jan con permisos de lectura y escritura.
En el servidor LDAP, el administrador extrae la información del usuario de las bases de datos NIS.
# ypcat -k aliases | grep jan.doe > aliases.jan # ypcat passwd | grep "Jan Doe" > passwd.jan # ypcat -k auto_home | grep jan.doe > auto_home_internal
Luego, el administrador cambia el formato de las entradas para LDAP.
# sed 's/ /:/g' aliases.jan > aliases # nawk -F: '{print $1":x:"$3":"$4":"$5":"$6":"$7}' passwd.jan > passwd # nawk -F: '{print $1":"$2":6445::::::"}' passwd.jan > shadow
A continuación, el administrador crea una entrada user_attr para Trusted Extensions.
# nawk -F: '{print $1"::::lock_after_retries=no;profiles=Media User; labelview=internal,showsl;min_label=0x0002-08-08; clearance=0x0004-08-78;type=normal;roles=oper; auths=solaris.device.allocate"}' passwd.jan > user_attr
Luego, el administrador copia los archivos en el directorio /tmp/jan.
# cp aliases auto_home_internal passwd shadow user_attr /tmp/jan
Por último, el administrador rellena el servidor con los archivos del directorio /tmp/jan.
# /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/aliases aliases # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/auto_home_internal auto_home_internal # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/passwd passwd # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/shadow shadow # /usr/sbin/ldapaddent -D "cn=directory manager" -w a2b3c4d5e6 \ -a simple -f /tmp/jan/user_attr user_attr