Dépannage du réseau de confiance (liste des tâches)

La liste ci-dessous décrit les tâches à effectuer pour déboguer votre réseau.

Tâche	Description	Voir
Recherche des raisons empêchant deux hôtes de communiquer.	Vérifie que les interfaces de chaque système sont actives.	Procédure de vérification de l'état d'activité des interfaces d'un hôte
Recherche des raisons empêchant deux hôtes de communiquer.	Utilise des outils de débogage lorsque deux hôtes ne parviennent pas à communiquer.	Débogage du réseau Trusted Extensions
Recherche des raisons empêchant un client LDAP de joindre le serveur LDAP.	Répare la perte de connexion entre un serveur LDAP et un client.	Procédure de débogage d'une connexion client au serveur LDAP

Procédure de vérification de l'état d'activité des interfaces d'un hôte

Utilisez cette procédure si votre système ne communique pas avec les hôtes comme prévu.

Avant de commencer

Vous devez accéder à la zone globale à l'aide d'un rôle habilité à vérifier les paramètres du réseau. Les rôles d'administrateur de sécurité et d'administrateur système sont habilités à vérifier ces paramètres.

Assurez-vous que l'interface réseau est active.

La sortie suivante indique que le système comporte deux interfaces réseau, hme0 et hme0:3. Aucune des interfaces n'est active.

# ifconfig -a
...
hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         inet 192.168.0.11 netmask ffffff00 broadcast 192.168.0.255
hme0:3 flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         inet 192.168.0.12 netmask ffffff00 broadcast 192.168.0.255

Si l'interface n'est pas active, activez-la puis vérifiez qu'elle est bien active.

La sortie suivante indique que les deux interfaces sont actives.

# ifconfig hme0 up
# ifconfig -a
...
hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,...
hme0:3 flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,..

Débogage du réseau Trusted Extensions

Pour déboguer deux hôtes qui sont censés communiquer mais qui ne le font pas, vous pouvez utiliser les outils de débogage Trusted Extensions et Solaris. Par exemple, vous pouvez utiliser des commandes de débogage du réseau d'Oracle Solaris telles que snoop et netstat. Pour plus d'informations, reportez-vous aux pages de manuel snoop(1M) et netstat(1M). Pour connaître les commandes spécifiques à Trusted Extensions, reportez-vous au Tableau 2-4.

Pour les problèmes relatifs à l'établissement de contact avec des zones étiquetées, reportez-vous à la section Gestion des zones (liste des tâches).
Pour le débogage des montages NFS, reportez-vous à la section Dépannage des échecs de montage dans Trusted Extensions.
Pour le débogage des communications LDAP, reportez-vous à la section Procédure de débogage d'une connexion client au serveur LDAP.

Avant de commencer

Vous devez accéder à la zone globale à l'aide d'un rôle habilité à vérifier les paramètres du réseau. Le rôle d'administrateur de sécurité ou le rôle d'administrateur système sont habilités à vérifier ces paramètres.

Pour réparer le démon tnd, modifiez l'intervalle d'interrogation et recueillez des informations de débogage.
Remarque - Le service tnd ne peut être exécuté que si le service ldap est en cours d'exécution.

Pour plus d'informations, reportez-vous à la page de manuel tnd(1M).
Vérifiez que les hôtes qui ne parviennent pas à communiquer utilisent le même service de nommage.
1. Pour chaque hôte, consultez le fichier nsswitch.conf.
  1. Consultez les valeurs des bases de données Trusted Extensions dans le fichier nsswitch.conf.
    Par exemple, sur un site utilisant le protocole LDAP pour administrer le réseau, les entrées sont similaires à l'exemple suivant :
```
# Trusted Extensions
tnrhtp: files ldap
tnrhdb: files ldap
```
  2. Si les valeurs sont différentes, corrigez le fichier nsswitch.conf.
    Pour modifier ces entrées, l'administrateur système utilise l'action Name Service Switch (Commutateur du service de noms). Pour plus d'informations, reportez-vous à la section Démarrage d'actions d'administration CDE dans Trusted Extensions . Cette action permet de préserver les autorisations des fichiers DAC et MAC requis.
2. Assurez-vous que le service de nommage LDAP est configuré.
```
$ ldaplist -l
```
3. Assurez-vous que les deux hôtes se trouvent dans le service de nommage LDAP.
```
$ ldaplist -l hosts | grep hostname
```
Assurez-vous que chaque hôte est correctement défini.
1. Utilisez la Console de gestion Solaris pour contrôler les définitions.
  - Dans l'outil Security Templates (Modèles de sécurité), assurez-vous que chaque hôte est assigné à un modèle de sécurité compatible avec le modèle de sécurité de l'autre hôte.
  - Pour un système non étiqueté, vérifiez que l'assignation d'étiquette par défaut est correcte.
  - Dans l'outil Trusted Network Zones (Zones de réseau de confiance), vérifiez que les ports multiniveau (les MLP) sont correctement configurés.
2. Utilisez la ligne de commande pour vérifier que les informations réseau du noyau sont actuelles.
  Vérifiez que l'assignation dans le cache du noyau de chaque hôte correspond à l'assignation sur le réseau et sur l'autre hôte.
  Pour obtenir des informations de sécurité pour la source, la destination et les hôtes de passerelle dans la transmission, utilisez la commande tninfo.
  - Affiche l'adresse IP et le modèle de sécurité assigné pour un hôte donné.
```
$ tninfo -h hostname
IP Address: IP-address
Template: template-name
```
  - Affiche une définition de modèle.
```
$ tninfo -t template-name
template: template-name
host_type: one of CIPSO or UNLABELED
doi: 1
min_sl: minimum-label
hex: minimum-hex-label
max_sl: maximum-label
hex: maximum-hex-label
```
  - Affiche les MLP pour une zone.
```
$ tninfo -m zone-name
private: ports-that-are-specific-to-this-zone-only
shared: ports-that-the-zone-shares-with-other-zones
```
Corrigez les informations erronées.
- Pour consulter ou modifier les informations de sécurité réseau, utilisez les outils Console de gestion Solaris. Pour plus d'informations, reportez-vous à la section Procédure d'ouverture des outils de gestion de réseaux de confiance
- Pour mettre à jour le cache du noyau, redémarrez le service tnctl sur l'hôte dont les informations ne sont pas à jour. Ce processus peut prendre un certain temps. Actualisez ensuite le service tnd. Si l'actualisation échoue, essayez de redémarrer le service tnd. Pour plus d'informations, reportez-vous à la section Procédure de synchronisation du cache du noyau avec les bases de données d'un réseau de confiance.
  
  Remarque - Le service tnd ne peut être exécuté que si le service ldap est en cours d'exécution.
  
  Le redémarrage permet de vider le cache du noyau. Pendant l'initialisation, des informations de base de données sont inscrites dans le cache. Le fichier nsswitch.conf détermine si les bases de données locales ou les bases de données LDAP remplissent le noyau.
Collectez des informations de transmission pour faciliter le débogage.
- Contrôlez votre configuration de routage.
  Utilisez la sous-commande get de la commande route.
```
$ route get [ip] -secattr sl=label,doi=integer
```
  Pour plus d'informations, consultez la page de manuel route(1M).
- Visualisez les informations d'étiquette dans les paquets.
  Utilisez la commande snoop -v.
  L'option-v affiche les détails des en-têtes de paquets, notamment les informations d'étiquette. Étant donné que cette commande fournit un grand nombre de détails, vous pouvez avoir intérêt à limiter le nombre de paquets examinés par la commande. Pour plus d'informations, reportez-vous à la page de manuel snoop(1M).
- Visualisez les entrées de la table de routage et les attributs de sécurité sur des sockets.
  Utilisez l'option -R à l'aide de la commande netstat -a|-r.
  L'option -aR affiche les attributs de sécurité étendus des sockets. L'option -rR affiche les entrées de la table de routage. Pour plus d'informations, reportez-vous à la page de manuel netstat(1M).

Procédure de débogage d'une connexion client au serveur LDAP

Une configuration incorrecte de l'entrée du client sur le serveur LDAP peut empêcher le client de communiquer avec le serveur. De la même façon, une mauvaise configuration des fichiers sur le client peut empêcher la communication. Contrôlez les entrées et les fichiers suivants lors d'une tentative de débogage d'un problème de communication entre client et serveur.

Avant de commencer

Vous·devez être dans le rôle d'administrateur de sécurité dans la zone globale.

Assurez-vous que les modèles d'hôte distant pour le serveur LDAP et la passerelle vers le serveur LDAP sont corrects.
```
# tninfo -h LDAP-server
# route get LDAP-server
# tninfo -h gateway-to-LDAP-server
```
Si une assignation de modèle d'hôte distant est incorrecte, assignez l'hôte au modèle correct à l'aide de l'outil Security Templates (Modèles de sécurité) dans la Console de gestion Solaris.
Consultez et corrigez le fichier /etc/hosts.
Votre système, les interfaces des zones étiquetées de votre système, la passerelle au serveur LDAP et le serveur LDAP doivent être répertoriés dans le fichier. Il peut contenir plus d'entrées.
Recherchez les entrées dupliquées. Supprimez toutes les entrées correspondant à des zones étiquetées sur d'autres systèmes. Par exemple, si Lserver est le nom de votre serveur LDAP et si LServer-zones est l'interface partagée pour les zones étiquetées, supprimez LServer-zones de /etc/hosts.

Si vous utilisez DNS, vérifiez et corrigez les entrées dans le fichier resolv.conf.

# more resolv.conf
search list of domains
domain domain-name
nameserver IP-address

...
nameserver IP-address

Vérifiez que les entrées tnrhdb et tnrhtp du fichier nsswitch.conf sont exactes.
Vérifiez que le client est correctement configuré sur le serveur.
```
# ldaplist -l tnrhdb client-IP-address
```
Vérifiez que les interfaces de vos zones étiquetées sont correctement configurées sur le serveur LDAP.
```
# ldaplist -l tnrhdb client-zone-IP-address
```

Vérifiez que vous pouvez faire un ping sur le serveur LDAP à partir de toutes les zones en cours d'exécution.

# ldapclient list
...
NS_LDAP_SERVERS= LDAP-server-address
# zlogin zone-name1 ping LDAP-server-address
LDAP-server-address is alive
# zlogin zone-name2 ping LDAP-server-address
LDAP-server-address is alive
...

Configurez le serveur LDAP, puis redémarrez.
1. Pour connaître la procédure, reportez-vous à la section Établissement de la zone globale en tant que client LDAP dans Trusted Extensions du Guide de configuration d’Oracle Solaris Trusted Extensions.
2. Dans chaque zone étiquetée, rétablissez la zone en tant que client du serveur LDAP.
```
# zlogin zone-name1
# ldapclient init \
-a profileName=profileName \
-a domainName=domain \
-a proxyDN=proxyDN \
-a proxyPassword=password LDAP-Server-IP-Address
# exit
# zlogin zone-name2 ...
```
3. Arrêtez toutes les zones, verrouillez les systèmes de fichiers, puis redémarrez.
  Si vous utilisez Oracle Solaris ZFS, arrêtez les zones, verrouillez les systèmes de fichiers, puis redémarrez. Si vous n'utilisez pas ZFS, vous pouvez redémarrer sans arrêter les zones ni verrouiller les systèmes de fichiers.
```
# zoneadm list
# zoneadm -z zone-name halt
# lockfs -fa
# reboot
```

Ignorer les liens de navigation
Quitter l'aperu
	Procédures de l'administrateur Oracle Solaris Trusted Extensions