Ignorer les liens de navigation | |
Quitter l'aperu | |
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
1. Concepts d'administration de Trusted Extensions
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
8. Administration à distance dans Trusted Extensions (tâches)
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
12. Gestion de réseaux de confiance (présentation)
13. Gestion des réseaux dans Trusted Extensions (tâches)
Gestion du réseau de confiance (liste des tâches)
Configuration des bases de données réseau de confiance (liste des tâches)
Procédure d'ouverture des outils de gestion de réseaux de confiance
Procédure de construction d'un modèle d'hôte distant
Procédure d'ajout d'hôtes au réseau connu du système
Procédure d'assignation d'un modèle de sécurité à un hôte ou à un groupe d'hôtes
Procédure de limitation des hôtes pouvant être contactés sur le réseau de confiance
Procédure de configuration de routes à l'aide d'attributs de sécurité
Procédure de vérification de la syntaxe des bases de données d'un réseau de confiance
Procédure de synchronisation du cache du noyau avec les bases de données d'un réseau de confiance
Dépannage du réseau de confiance (liste des tâches)
Procédure de vérification de l'état d'activité des interfaces d'un hôte
Débogage du réseau Trusted Extensions
Procédure de débogage d'une connexion client au serveur LDAP
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
16. Périphériques dans Trusted Extensions (présentation)
17. Gestion des périphériques pour Trusted Extensions (tâches)
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
La liste ci-dessous décrit les tâches à effectuer pour déboguer votre réseau.
|
Utilisez cette procédure si votre système ne communique pas avec les hôtes comme prévu.
Avant de commencer
Vous devez accéder à la zone globale à l'aide d'un rôle habilité à vérifier les paramètres du réseau. Les rôles d'administrateur de sécurité et d'administrateur système sont habilités à vérifier ces paramètres.
La sortie suivante indique que le système comporte deux interfaces réseau, hme0 et hme0:3. Aucune des interfaces n'est active.
# ifconfig -a ... hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.0.11 netmask ffffff00 broadcast 192.168.0.255 hme0:3 flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2 inet 192.168.0.12 netmask ffffff00 broadcast 192.168.0.255
La sortie suivante indique que les deux interfaces sont actives.
# ifconfig hme0 up # ifconfig -a ... hme0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,... hme0:3 flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,..
Pour déboguer deux hôtes qui sont censés communiquer mais qui ne le font pas, vous pouvez utiliser les outils de débogage Trusted Extensions et Solaris. Par exemple, vous pouvez utiliser des commandes de débogage du réseau d'Oracle Solaris telles que snoop et netstat. Pour plus d'informations, reportez-vous aux pages de manuel snoop(1M) et netstat(1M). Pour connaître les commandes spécifiques à Trusted Extensions, reportez-vous au Tableau 2-4.
Pour les problèmes relatifs à l'établissement de contact avec des zones étiquetées, reportez-vous à la section Gestion des zones (liste des tâches).
Pour le débogage des montages NFS, reportez-vous à la section Dépannage des échecs de montage dans Trusted Extensions.
Pour le débogage des communications LDAP, reportez-vous à la section Procédure de débogage d'une connexion client au serveur LDAP.
Avant de commencer
Vous devez accéder à la zone globale à l'aide d'un rôle habilité à vérifier les paramètres du réseau. Le rôle d'administrateur de sécurité ou le rôle d'administrateur système sont habilités à vérifier ces paramètres.
Remarque - Le service tnd ne peut être exécuté que si le service ldap est en cours d'exécution.
Pour plus d'informations, reportez-vous à la page de manuel tnd(1M).
Par exemple, sur un site utilisant le protocole LDAP pour administrer le réseau, les entrées sont similaires à l'exemple suivant :
# Trusted Extensions tnrhtp: files ldap tnrhdb: files ldap
Pour modifier ces entrées, l'administrateur système utilise l'action Name Service Switch (Commutateur du service de noms). Pour plus d'informations, reportez-vous à la section Démarrage d'actions d'administration CDE dans Trusted Extensions . Cette action permet de préserver les autorisations des fichiers DAC et MAC requis.
$ ldaplist -l
$ ldaplist -l hosts | grep hostname
Dans l'outil Security Templates (Modèles de sécurité), assurez-vous que chaque hôte est assigné à un modèle de sécurité compatible avec le modèle de sécurité de l'autre hôte.
Pour un système non étiqueté, vérifiez que l'assignation d'étiquette par défaut est correcte.
Dans l'outil Trusted Network Zones (Zones de réseau de confiance), vérifiez que les ports multiniveau (les MLP) sont correctement configurés.
Vérifiez que l'assignation dans le cache du noyau de chaque hôte correspond à l'assignation sur le réseau et sur l'autre hôte.
Pour obtenir des informations de sécurité pour la source, la destination et les hôtes de passerelle dans la transmission, utilisez la commande tninfo.
$ tninfo -h hostname IP Address: IP-address Template: template-name
$ tninfo -t template-name template: template-name host_type: one of CIPSO or UNLABELED doi: 1 min_sl: minimum-label hex: minimum-hex-label max_sl: maximum-label hex: maximum-hex-label
$ tninfo -m zone-name private: ports-that-are-specific-to-this-zone-only shared: ports-that-the-zone-shares-with-other-zones
Pour consulter ou modifier les informations de sécurité réseau, utilisez les outils Console de gestion Solaris. Pour plus d'informations, reportez-vous à la section Procédure d'ouverture des outils de gestion de réseaux de confiance
Pour mettre à jour le cache du noyau, redémarrez le service tnctl sur l'hôte dont les informations ne sont pas à jour. Ce processus peut prendre un certain temps. Actualisez ensuite le service tnd. Si l'actualisation échoue, essayez de redémarrer le service tnd. Pour plus d'informations, reportez-vous à la section Procédure de synchronisation du cache du noyau avec les bases de données d'un réseau de confiance.
Remarque - Le service tnd ne peut être exécuté que si le service ldap est en cours d'exécution.
Le redémarrage permet de vider le cache du noyau. Pendant l'initialisation, des informations de base de données sont inscrites dans le cache. Le fichier nsswitch.conf détermine si les bases de données locales ou les bases de données LDAP remplissent le noyau.
Utilisez la sous-commande get de la commande route.
$ route get [ip] -secattr sl=label,doi=integer
Pour plus d'informations, consultez la page de manuel route(1M).
Utilisez la commande snoop -v.
L'option-v affiche les détails des en-têtes de paquets, notamment les informations d'étiquette. Étant donné que cette commande fournit un grand nombre de détails, vous pouvez avoir intérêt à limiter le nombre de paquets examinés par la commande. Pour plus d'informations, reportez-vous à la page de manuel snoop(1M).
Utilisez l'option -R à l'aide de la commande netstat -a|-r.
L'option -aR affiche les attributs de sécurité étendus des sockets. L'option -rR affiche les entrées de la table de routage. Pour plus d'informations, reportez-vous à la page de manuel netstat(1M).
Une configuration incorrecte de l'entrée du client sur le serveur LDAP peut empêcher le client de communiquer avec le serveur. De la même façon, une mauvaise configuration des fichiers sur le client peut empêcher la communication. Contrôlez les entrées et les fichiers suivants lors d'une tentative de débogage d'un problème de communication entre client et serveur.
Avant de commencer
Vous·devez être dans le rôle d'administrateur de sécurité dans la zone globale.
# tninfo -h LDAP-server # route get LDAP-server # tninfo -h gateway-to-LDAP-server
Si une assignation de modèle d'hôte distant est incorrecte, assignez l'hôte au modèle correct à l'aide de l'outil Security Templates (Modèles de sécurité) dans la Console de gestion Solaris.
Votre système, les interfaces des zones étiquetées de votre système, la passerelle au serveur LDAP et le serveur LDAP doivent être répertoriés dans le fichier. Il peut contenir plus d'entrées.
Recherchez les entrées dupliquées. Supprimez toutes les entrées correspondant à des zones étiquetées sur d'autres systèmes. Par exemple, si Lserver est le nom de votre serveur LDAP et si LServer-zones est l'interface partagée pour les zones étiquetées, supprimez LServer-zones de /etc/hosts.
# more resolv.conf search list of domains domain domain-name nameserver IP-address ... nameserver IP-address
# ldaplist -l tnrhdb client-IP-address
# ldaplist -l tnrhdb client-zone-IP-address
# ldapclient list ... NS_LDAP_SERVERS= LDAP-server-address # zlogin zone-name1 ping LDAP-server-address LDAP-server-address is alive # zlogin zone-name2 ping LDAP-server-address LDAP-server-address is alive ...
# zlogin zone-name1 # ldapclient init \ -a profileName=profileName \ -a domainName=domain \ -a proxyDN=proxyDN \ -a proxyPassword=password LDAP-Server-IP-Address # exit # zlogin zone-name2 ...
Si vous utilisez Oracle Solaris ZFS, arrêtez les zones, verrouillez les systèmes de fichiers, puis redémarrez. Si vous n'utilisez pas ZFS, vous pouvez redémarrer sans arrêter les zones ni verrouiller les systèmes de fichiers.
# zoneadm list # zoneadm -z zone-name halt # lockfs -fa # reboot