Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de configuración de Oracle Solaris Trusted Extensions |
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Adición del software de Trusted Extensions al SO Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
Configuración de la zona global en Trusted Extensions
Revisión e instalación del archivo de codificaciones de etiquetas
Habilitación de redes IPv6 en Trusted Extensions
Configuración del dominio de interpretación
Creación de agrupación ZFS para clonar zonas
Reinicie e inicie sesión en Trusted Extensions
Inicialización del servidor de Solaris Management Console en Trusted Extensions
Conversión de la zona global en un cliente LDAP en Trusted Extensions
Creación de zonas con etiquetas
Ejecución de la secuencia de comandos txzonemgr
Configuración de las interfaces de red en Trusted Extensions
Asignación de nombre y etiquetado de zona
Instalación de la zona con etiquetas
Verificación del estado de la zona
Personalización de la zona con etiquetas
Copia o clonación de una zona en Trusted Extensions
Adición de interfaces de red y rutas a zonas con etiquetas
Adición de una interfaz de red para enrutar una zona con etiquetas existente
Configuración de una antememoria de servicio de nombres en cada zona con etiquetas
Creación de roles y usuarios en Trusted Extensions
Creación de perfiles de derechos que aplican la separación de tareas
Creación del rol de administrador de la seguridad en Trusted Extensions
Creación de un rol de administrador del sistema restringido
Creación de usuarios que puedan asumir roles en Trusted Extensions
Verificación del funcionamiento de los roles de Trusted Extensions
Habilitación de los usuarios para que inicien sesión en una zona con etiquetas
Creación de directorios principales en Trusted Extensions
Creación del servidor de directorio principal en Trusted Extensions
Habilitación de los usuarios para que accedan a sus directorios principales en Trusted Extensions
Adición de usuarios y hosts a una red de confianza existente
Adición de un usuario NIS al servidor LDAP
Resolución de los problemas de configuración de Trusted Extensions
netservices limited se ejecutó después de que se habilitó Trusted Extensions
No se puede abrir la ventana de consola en una zona con etiquetas
Tareas adicionales de configuración de Trusted Extensions
Cómo copiar archivos en medios portátiles en Trusted Extensions
Cómo copiar archivos desde medios portátiles en Trusted Extensions
Cómo eliminar Trusted Extensions del sistema
5. Configuración de LDAP para Trusted Extensions (tareas)
6. Configuración de Trusted Extensions en un sistema sin periféricos (tareas)
A. Política de seguridad del sitio
B. Uso de acciones de CDE para instalar zonas en Trusted Extensions
C. Lista de comprobación de configuración de Trusted Extensions
En Trusted Extensions, las zonas con etiquetas se comunican con el servidor X mediante la zona global. Por lo tanto, las zonas con etiquetas debe tener rutas utilizables a la zona global. Además, las opciones que se seleccionaron durante una instalación de Solaris pueden impedir que Trusted Extensions utilice interfaces para acceder a la zona global.
En lugar de ejecutar el comando netservices limited antes de habilitar Trusted Extensions, ejecutó el comando en la zona global posteriormente. Por lo tanto, las zonas con etiquetas no se pueden conectar al servidor X en la zona global.
Ejecute los siguientes comandos para abrir los servicios que Trusted Extensions requiere para la comunicación entre zonas:
# svccfg -s x11-server setprop options/tcp_listen = true # svcadm enable svc:/network/rpc/rstat:default
Cuando intenta abrir una ventana de consola en una zona con etiquetas, aparece el siguiente error en un cuadro de diálogo:
Action:DttermConsole,*,*,*,0 [Error] Action not authorized.
Compruebe que las siguientes dos líneas estén presentes en todas las entradas de la zona en el archivo /etc/security/exec_attr:
All Actions:solaris:act:::*;*;*;*;*: All:solaris:act:::*;*;*;*;*:
Si estas líneas no están presentes, el paquete de Trusted Extensions que agrega estas entradas no se instaló en las zonas con etiquetas. En este caso, vuelva a crear las zonas con etiquetas. Para conocer el procedimiento, consulte Creación de zonas con etiquetas.
Si una zona con etiquetas no puede acceder correctamente al servidor X, es posible que vea mensajes como los siguientes:
Action failed. Reconnect to Solaris Zone?
No route available
Cannot reach globalzone-nombre_host :0
Es posible que las zonas con etiquetas no puedan acceder al servidor X por cualquiera de los siguientes motivos:
La zona no se ha inicializado y está esperando que finalice el proceso sysidcfg.
El servicio de nombres que se ejecuta en la zona global no reconoce el nombre del host de la zona con etiquetas.
No se especificó ninguna interfaz all-zones.
La interfaz de red de la zona con etiquetas está inactiva.
Las consultas de nombres de LDAP fallaron.
Los montajes de NFS no funcionan.
Realice lo siguiente:
Inicie sesión en la zona.
Puede utilizar el comando zlogin o la acción Zone Terminal Console.
# zlogin -z zone-name
Si no puede iniciar sesión como superusuario, utilice el comando zlogin -S para omitir la autenticación.
Compruebe que la zona se esté ejecutando.
# zoneadm list
Si una zona tiene el estado running, la zona está ejecutando al menos un proceso.
Solucione cualquier problema que impida el acceso de las zonas con etiquetas al servidor X.
Inicialice la zona mediante la finalización del proceso sysidcfg.
Ejecute el programa sysidcfg de manera interactiva. Responda a las peticiones de datos en Zone Terminal Console o en la ventana de terminal en la que ejecutó el comando zlogin.
Para ejecutar el proceso sysidcfg de manera no interactiva, puede realizar una de las siguientes acciones:
Especifique la opción Initialize para la secuencia de comandos /usr/sbin/txzonemgr.
La opción Initialize permite proporcionar valores predeterminados para las preguntas de sysidcfg.
Escriba su propia secuencia de comandos sysidcfg.
Para obtener más información, consulte la página del comando man sysidcfg(4).
Verifique que el servidor X esté disponible para la zona.
Inicie sesión en la zona con etiquetas. Defina la variable DISPLAY para que apunte al servidor X, y abra una ventana.
# DISPLAY=global-zone-hostname:n.n # export DISPLAY # /usr/openwin/bin/xclock
Si no aparece una ventana con etiquetas, la configuración de las redes de zona no se realizó correctamente para esa zona con etiquetas.
Nota - Si está ejecutando Trusted CDE, a partir de la versión Solaris 10 5/09, consulte Resolución de enrutamiento de zona local a zona global en Trusted CDE.
Configure el nombre de host de la zona con el servicio de nombres.
El archivo /etc/hosts local de la zona no se utiliza. En su lugar, se debe especificar información equivalente en la zona global o en el servidor LDAP. La información debe incluir la dirección IP del nombre de host asignado a la zona.
No se especificó ninguna interfaz all-zones.
A menos que todas las zonas tengan direcciones IP en la misma subred que la zona global, es posible que deba configurar una interfaz all-zones (compartida). Esta configuración permite la conexión de una zona con etiquetas al servidor X de la zona global. Si desea restringir las conexiones remotas al servidor X de la zona global, puede usar vni0 como dirección all-zones.
Si no desea configurar una interfazall-zones, debe proporcionar una ruta al servidor X de la zona global para cada zona. Estas rutas se deben configurar en la zona global.
La interfaz de red de la zona con etiquetas está inactiva.
# ifconfig -a
Utilice el comando ifconfig para verificar que la interfaz de red de la zona con etiquetas tenga los indicadores UP y RUNNING.
Las consultas de nombres de LDAP fallaron.
Utilice el comando ldaplist para verificar que cada zona pueda comunicarse con el servidor LDAP o el servidor proxy LDAP. En el servidor LDAP, compruebe que la zona aparezca en la base de datos tnrhdb.
Los montajes de NFS no funcionan.
Como superusuario, reinicie automount en la zona. O bien, agregue una entrada crontab para ejecutar el comando automount cada cinco minutos.