Configuración de Sun Java System Directory Server en un sistema Trusted Extensions

El servicio de nombres LDAP es el servicio de nombres admitido para Trusted Extensions. Si en su sitio aún no se está ejecutado el servicio de nombres LDAP, configure un Sun Java System Directory Server (servidor de directorios) en un sistema en el que esté configurado Trusted Extensions.

Si en su sitio ya se está ejecutando un servidor de directorios, debe agregar las bases de datos de Trusted Extensions al servidor. Para acceder al servidor de directorios, debe configurar un proxy LDAP en un sistema Trusted Extensions.

Nota - si no utiliza este servidor LDAP como un servidor NFS o como un servidor para clientes Sun Ray, no necesita instalar ninguna zona con etiquetas en este servidor.

Recopilación de información para el servidor de directorios para LDAP

Determine los valores para los siguientes elementos.

Los elementos se muestran en el orden en el que aparecen en el asistente de instalación de Sun Java Enterprise System.

Petición de datos del asistente de instalación	Acción o información
Sun Java System Directory Server `versión`
ID de usuario de administrador	El valor predeterminado es `admin`.
Contraseña de administrador	Cree una contraseña, como `admin123`.
DN del gestor de directorios	El valor predeterminado es `cn=Directory Manager`.
Contraseña del gestor de directorios	Cree una contraseña, como `dirmgr89`.
Root de servidor de directorios	El valor predeterminado es `/var/Sun/mps`. Esta ruta también se utiliza posteriormente si se intala el software de proxy.
Identificador del servidor	El valor predeterminado es el sistema local.
Puerto del servidor	Si tiene previsto usar el servidor de directorios para proporcionar servicios de nombres LDAP estándar a sistemas cliente, utilice el valor predeterminado, `389`. Si tiene previsto utilizar el servidor de directorios para admitir una instalación posterior de un servidor proxy, introduzca un puerto no estándar, como `10389`.
Sufijo	Incluya el componente de dominio, como en `dc=example-domain,dc=com`.
Dominio de administración	Cree un dominio que corresponda al sufijo, como en `example-domain.com`.
Usuario del sistema	El valor predeterminado es `root`.
Grupo del sistema	El valor predeterminado es `root`.
Ubicación del almacenamiento de datos	El valor predeterminado es `Store configuration data on this server`.
Ubicación del almacenamiento de datos	El valor predeterminado es `Store user data and group data on this server`.
Puerto de administración	El valor predeterminado es el puerto del servidor. La convención sugerida para cambiar el valor predeterminado es `software-version TIMES 1000`. Para la versión de software 5.2, esta convención daría como resultado el puerto `5200`.

Instalación de Sun Java System Directory Server

Los paquetes del servidor de directorios están disponibles en el sitio web de la puerta de enlace de software de Sun.

Antes de empezar

Debe estar en un sistema Trusted Extensions con sólo una zona global instalada. El sistema no debe tener zonas con etiquetas.

Los servidores LDAP de Trusted Extensions están configurados para los clientes que usan pam_unix para autenticarse en el depósito LDAP. Con pam_unix, las operaciones de contraseña y, por consiguiente, las directivas de contraseña son determinadas por el cliente. En concreto, la política establecida por el servidor LDAP no se utiliza. Para los parámetros de contraseña que puede establecer en el cliente, consulte Gestión de información de contraseñas de Guía de administración del sistema: servicios de seguridad. Para obtener información sobre pam_unix, consulte la página del comando man pam.conf(4).

Nota - El uso de pam_ldap en un cliente LDAP no es una configuración evaluada para Trusted Extensions.

Antes de instalar los paquetes del servidor de directorios, agregue el nombre de dominio completo (FQDN) a la entrada del nombre de host del sistema.
El FQDN es el nombre de dominio completo. Este nombre es una combinación del nombre de host y el dominio de administración, como en el siguiente ejemplo:
```
## /etc/hosts
...
192.168.5.5 myhost myhost.example-domain.com
```
En un sistema que se ejecute en una versión anterior a Solaris 10 8/07, agregue entradas IPv4 e IPv6 en el archivo /etc/inet/ipnodes. Las entradas de un sistema deben ser contiguas en el archivo.
Si no está ejecutando la última versión del SO Solaris, debe tener los siguientes parches instalados. El primer número es un parche para SPARC. El segundo número es un parche para X86.
- 138874–05, 138875–05: parche de conmutación de servicio de nombres LDAP, PAM nativo
- 119313-35, 119314-36: parche de WBEM
- 121308-21, 121308-21: parche de Solaris Management Console
- 119315-20, 119316-20: parche de las aplicaciones de gestión de Solaris
Encuentre los paquetes de Sun Java System Directory Server en el sitio web de Oracle Sun.
1. En la página de la puerta de enlace de software de Sun, haga clic en la ficha Get It.
2. Haga clic en la casilla de verificación correspondiente a Sun Java Identity Management Suite.
3. Haga clic en el botón Submit.
4. Si no está registrado, regístrese.
5. Inicie sesión para descargar el software.
6. Haga clic en Download Center, en la parte superior izquierda de la pantalla.
7. En Identity Management, descargue el software más reciente adecuado para su plataforma.
Instale los paquetes del servidor de directorios.
Responda a las preguntas utilizando la información de Recopilación de información para el servidor de directorios para LDAP. Para obtener una lista completa de las preguntas, los valores predeterminados y las respuestas sugeridas, consulte el Capítulo 11, Configuración de Sun Java System Directory Server con clientes LDAP (tareas) de Guía de administración del sistema: Servicios de nombres y directorios (DNS, NIS y LDAP), y el Capítulo 12, Configuración de clientes LDAP (tareas) de Guía de administración del sistema: Servicios de nombres y directorios (DNS, NIS y LDAP).

(Opcional) Agregue las variables de entorno para el servidor de directorios a la ruta.

# $PATH
/usr/sbin:.../opt/SUNWdsee/dsee6/bin:/opt/SUNWdsee/dscc6/bin:/opt/SUNWdsee/ds6/bin:
/opt/SUNWdsee/dps6/bin

(Opcional) Agregue las páginas del comando man del servidor de directorios a su MANPATH.
```
/opt/SUNWdsee/dsee6/man
```

Habilite el programa cacaoadm y verifique que el programa esté habilitado.

# /usr/sbin/cacaoadm enable
# /usr/sbin/cacaoadm start
start: server (pid n) already running

Asegúrese de que el servidor de directorios se inicie en cada inicio.
Las plantillas para los servicios SMF para el servidor de directorios están en los paquetes de Sun Java System Directory Server.
- Para un servidor de directorios de Trusted Extensions, habilite el servicio.
```
# dsadm stop /export/home/ds/instances/your-instance
# dsadm enable-service -T SMF /export/home/ds/instances/your-instance
# dsadm start /export/home/ds/instances/your-instance
```
  Para obtener información sobre el comando dsadm, consulte la página del comando man dsadm(1M).
- Para un servidor de directorios proxy, habilite el servicio.
```
# dpadm stop /export/home/ds/instances/your-instance
# dpadm enable-service -T SMF /export/home/ds/instances/your-instance
# dpadm start /export/home/ds/instances/your-instance
```
  Para obtener información sobre el comando dpadm, consulte la página del comando man dpadm(1M).

Verifique la instalación.

# dsadm info /export/home/ds/instances/your-instance
Instance Path:         /export/home/ds/instances/your-instance
Owner:                 root(root)
Non-secure port:       389
Secure port:           636
Bit format:            32-bit
State:                 Running
Server PID:            298
DSCC url:              -
SMF application name:  ds--export-home-ds-instances-your-instance
Instance version:      D-A00

Errores más frecuentes

Para conocer estrategias de resolución de problemas de configuración LDAP, consulte el Capítulo 13, LDAP Troubleshooting (Reference) de System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).

Creación de un cliente LDAP para el servidor de directorios

Puede utilizar este cliente para rellenar su servidor de directorios para LDAP. Debe realizar esta tarea antes rellenar el servidor de directorios.

Puede crear el cliente temporalmente en el servidor de directorios de Trusted Extensions y, a continuación, eliminar el cliente del servidor, o bien puede crear un cliente independiente.

Instale Trusted Extensions en un sistema.
Puede utilizar el servidor de directorios de Trusted Extensions o instalar Trusted Extensions en un sistema aparte.
Nota - Si no está ejecutando la última versión del SO Solaris, debe tener los siguientes parches instalados. El primer número es un parche para SPARC. El segundo número es un parche para X86.
- 138874–05, 138875–05: parche de conmutación de servicio de nombres LDAP, PAM nativo
- 119313-35, 119314-36: parche de WBEM
- 121308-21, 121308-21: parche de Solaris Management Console
- 119315-20, 119316-20: parche de las aplicaciones de gestión de Solaris

En el cliente, modifique el archivo /etc/nsswitch.ldap predeterminado.

Las entradas en negrita indican las modificaciones. El archivo tiene el siguiente aspecto:

# /etc/nsswitch.ldap
#
# An example file that could be copied over to /etc/nsswitch.conf; it
# uses LDAP in conjunction with files.
#
# "hosts:" and "services:" in this file are used only if the
# /etc/netconfig file has a "-" for nametoaddr_libs of "inet" transports.

# LDAP service requires that svc:/network/ldap/client:default be enabled
# and online.

# the following two lines obviate the "+" entry in /etc/passwd and /etc/group.
passwd:     files ldap
group:      files ldap

# consult /etc "files" only if ldap is down. 
hosts: files ldap dns [NOTFOUND=return] files

# Note that IPv4 addresses are searched for in all of the ipnodes databases
# before searching the hosts databases.
ipnodes: files ldap [NOTFOUND=return] files

networks: files ldap [NOTFOUND=return] files
protocols: files ldap [NOTFOUND=return] files
rpc: files ldap [NOTFOUND=return] files
ethers: files ldap [NOTFOUND=return] files
netmasks: files ldap [NOTFOUND=return] files
bootparams: files ldap [NOTFOUND=return] files
publickey: files ldap [NOTFOUND=return] files

netgroup:   ldap

automount:  files ldap
aliases:    files ldap

# for efficient getservbyname() avoid ldap
services:   files ldap

printers:   user files ldap

auth_attr:  files ldap
prof_attr:  files ldap

project:    files ldap

tnrhtp:     files ldap
tnrhdb:     files ldap

En la zona global, ejecute el comando ldapclient init.

Este comando copia el archivo nsswitch.ldap al archivo nsswitch.conf.

En este ejemplo, el cliente LDAP está en el dominio example-domain.com. La dirección IP del servidor es 192.168.5.5.

# ldapclient init -a domainName=example-domain.com -a profileNmae=default \
> -a proxyDN=cn=proxyagent,ou=profile,dc=example-domain,dc=com \
> -a proxyDN=cn=proxyPassword={NS1}ecc423aad0 192.168.5.5
System successfully configured

Establezca el parámetro enableShadowUpdate del servidor en TRUE.
```
# ldapclient -v mod -a enableShadowUpdate=TRUE \
> -a adminDN=cn=admin,ou=profile,dc=example-domain,dc=com
System successfully configured
```
Para obtener información sobre el parámetro enableShadowUpdate, consulte Conmutador enableShadowUpdate de Guía de administración del sistema: Servicios de nombres y directorios (DNS, NIS y LDAP) y en la página del comando man ldapclient(1M).

Configuración de los registros para Sun Java System Directory Server

Mediante este procedimiento se configuran tres tipos de registros: registros de acceso, registros de auditoría y registros de errores. Los siguientes valores predeterminados no se modifican:

Todos los registros se habilitan y almacenan en la memoria intermedia.
Los registros se colocan en el directorio /export/home/ds/instances/su_instancia/logs/REGISTRO_TIPO adecuado.
Los eventos se registran en el nivel de registro 256.
Los registros están protegidos por 600 permisos de archivo.
Los registros de acceso rotan diariamente.
Los registros de errores rotan semanalmente.

La configuración de este procedimiento cumple con los siguientes requisitos:

Los registros de auditoría rotan diariamente.
Los archivos de registro anteriores a 3 meses caducan.
Todos los archivos de registro utilizan un máximo de 20.000 MB de espacio de disco.
Se conserva un máximo de 100 archivos de registro, y cada archivo tiene como máximo 500 Mbytes.
Los registros más antiguos se suprimen si hay menos de 500 MB de espacio libre en el disco.
Se recopila información adicional en los registros de errores.

Configure los registros de acceso.

El REGISTRO_TIPO para acceso es ACCESS. La sintaxis para la configuración de registros es la siguiente:

dsconf set-log-prop LOG_TYPE property:value

# dsconf set-log-prop ACCESS max-age:3M
# dsconf set-log-prop ACCESS max-disk-space-size:20000M
# dsconf set-log-prop ACCESS max-file-count:100
# dsconf set-log-prop ACCESS max-size:500M
# dsconf set-log-prop ACCESS min-free-disk-space:500M

Configure los registros de auditoría.

# dsconf set-log-prop AUDIT max-age:3M
# dsconf set-log-prop AUDIT max-disk-space-size:20000M
# dsconf set-log-prop AUDIT max-file-count:100
# dsconf set-log-prop AUDIT max-size:500M
# dsconf set-log-prop AUDIT min-free-disk-space:500M
# dsconf set-log-prop AUDIT rotation-interval:1d

De manera predeterminada, el intervalo de rotación de registros de auditoría es de una semana.

Configure los registros de errores.

En esta configuración, puede especificar los datos adicionales que se van a recopilar en el registro de errores.

# dsconf set-log-prop ERROR max-age:3M
# dsconf set-log-prop ERROR max-disk-space-size:20000M
# dsconf set-log-prop ERROR max-file-count:30
# dsconf set-log-prop ERROR max-size:500M
# dsconf set-log-prop ERROR min-free-disk-space:500M
# dsconf set-log-prop ERROR verbose-enabled:on

(Opcional) Configure más valores para los registros.
También puede configurar los siguientes valores de configuración para cada log:
```
# dsconf set-log-prop LOG_TYPE rotation-min-file-size:undefined
# dsconf set-log-prop LOG_TYPE rotation-time:undefined
```
Para obtener información sobre el comando dsconf, consulte la página del comando man dsconf(1M).

Configuración de puerto de varios niveles para Sun Java System Directory Server

Para trabajar en Trusted Extensions, el puerto de servidor del servidor de directorios debe estar configurado como un puerto de varios niveles (MLP) en la zona global.

Inicie Solaris Management Console.
```
# /usr/sbin/smc &
```
Seleccione la caja de herramientas This Computer (este host: Scope=Files, Policy=TSOL).
Haga clic en System Configuration y, a continuación, en Computers and Networks.
Se le solicitará la contraseña.
Escriba la contraseña correspondiente.
Haga doble clic en Trusted Network Zones.
Haga doble clic en la zona global.
Agregue un puerto de varios niveles en el protocolo TCP:
1. Haga clic en Add para Multilevel Ports for Zone's IP Addresses.
2. Escriba 389 para el número de puerto y haga clic en OK.
Agregue un puerto de varios niveles para el protocolo UDP:
1. Haga clic en Add para Multilevel Ports for Zone's IP Addresses.
2. Escriba 389 para el número de puerto.
3. Seleccione el protocolo udp y haga clic en OK.
Haga clic en OK para guardar la configuración.

Actualice el núcleo.

# tnctl -fz /etc/security/tsol/tnzonecfg

Rellenado de Sun Java System Directory Server

Se han creado o modificado varias bases de datos LDAP para contener los datos de Trusted Extensions sobre la configuración de etiquetas, los usuarios y los sistemas remotos. Mediante este procedimiento, se rellenan las bases de datos del servidor de directorios con la información de Trusted Extensions.

Antes de empezar

Debe rellenar la base de datos desde un cliente LDAP en el que esté habilitada la actualización de shadow. Para conocer los requisitos previos, consulte Creación de un cliente LDAP para el servidor de directorios.

Si la seguridad del sitio requiere la separación de tareas, realice lo siguiente antes de llenar el servidor de directorios:

Cree un área temporal para los archivos que piensa utilizar para rellenar las bases de datos del servicio de nombres.
```
# mkdir -p /setup/files
```

Copie los archivos /etc de ejemplo en el área temporal.

# cd /etc
# cp aliases group networks netmasks protocols /setup/files
# cp rpc services auto_master /setup/files

# cd /etc/security
# cp auth_attr prof_attr exec_attr /setup/files/
#
# cd /etc/security/tsol
# cp tnrhdb tnrhtp /setup/files

Si está ejecutando la versión Solaris 10 11/06 sin los parches, copie el archivo ipnodes.

# cd /etc/inet
# cp ipnodes /setup/files

Elimine la entrada +auto_master del archivo /setup/files/auto_master.
Elimine la entrada ?:::::? del archivo /setup/files/auth_attr.
Elimine la entrada :::: del archivo /setup/files/prof_attr.
Cree los mapas automáticos de zona en el área temporal.
En la siguiente lista de mapas automáticos, el primero de cada par de líneas muestra el nombre del archivo. La segunda línea de cada par muestra el contenido del archivo. Los nombres de zona identifican etiquetas del archivo label_encodings predeterminado que se incluye con el software de Trusted Extensions.
- Sustituya los nombres de zona por los nombres de zona de estas líneas.
- myNFSserver identifica el servidor NFS para los directorios principles.
```
/setup/files/auto_home_public
 * myNFSserver_FQDN:/zone/public/root/export/home/&

/setup/files/auto_home_internal
 * myNFSserver_FQDN:/zone/internal/root/export/home/&

/setup/files/auto_home_needtoknow
 * myNFSserver_FQDN:/zone/needtoknow/root/export/home/&

/setup/files/auto_home_restricted
 * myNFSserver_FQDN:/zone/restricted/root/export/home/&
```
Agregue todos los sistemas de la red al archivo /setup/files/tnrhdb.
Aquí no se puede utilizar ningún mecanismo comodín. Las direcciones IP de todos los sistemas con los que se establecerá contacto, incluidas las direcciones IP de las zonas con etiquetas, deben estar en este archivo.
1. Abra el editor de confianza y edite /setup/files/tnrhdb.
2. Agregue todas las direcciones IP de un sistema con etiquetas al dominio de Trusted Extensions.
  Los sistemas con etiquetas son del tipo cipso. Además, el nombre de la plantilla de seguridad para los sistemas con etiquetas es cipso. Por lo tanto, en la configuración predeterminada, una entrada cipso es similar a la siguiente:
```
192.168.25.2:cipso
```
  Nota - Esta lista incluye las direcciones IP de las zonas globales y las zonas con etiquetas.
3. Agregue todos los sistemas sin etiquetas con los que el dominio puede comunicarse.
  Los sistemas sin etiquetas son del tipo unlabeled. El nombre de la plantilla de seguridad para los sistemas sin etiquetas es admin_low. Por lo tanto, en la configuración predeterminada, una entrada para un sistema sin etiquetas es similar a la siguiente:
```
192.168.35.2:admin_low
```
4. Guarde el archivo y salga del editor.
5. Compruebe la sintaxis del archivo.
```
# tnchkdb -h /setup/files/tnrhdb
```
6. Antes de continuar, corrija todos los errores.
Copie el archivo /setup/files/tnrhdb en el archivo /etc/security/tsol/tnrhdb.
Utilice el comando ldapaddent para rellenar el servidor de directorios con cada archivo del área temporal.
Por ejemplo, el siguiente comando rellena el servidor del archivo hosts del área temporal.
```
# /usr/sbin/ldapaddent -D "cn=directory manager" \ -w dirmgr123 -a simple -f /setup/files/hosts hosts
```
Si ejecutó el comando ldapclient en el servidor de directorios Trusted Extensions, deshabilite el cliente en ese sistema.
En la zona global, ejecute el comando ldapclient uninit. Utilice el resultado detallado para verificar que el sistema ya no sea un cliente LDAP.
```
# ldapclient -v uninit
```
Para obtener más información, consulte la página del comando man ldapclient(1M).

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Guía de configuración de Oracle Solaris Trusted Extensions