Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide de configuration d’Oracle Solaris Trusted Extensions |
1. Planification de la sécurité pour Trusted Extensions
2. Déroulement de la configuration de Trusted Extensions
3. Ajout du logiciel Trusted Extensions au SE Solaris (tâches)
4. Configuration de Trusted Extensions (tâches)
5. Configuration de LDAP pour Trusted Extensions (tâches)
Configuration d'un serveur LDAP sur un hôte Trusted Extensions (liste des tâches)
Configuration d'un serveur proxy LDAP sur un hôte Trusted Extensions (liste des tâches)
Configuration du Sun Java System Directory Server sur un système Trusted Extensions
Collecte d'informations pour le serveur d'annuaire pour LDAP
Installation du Sun Java System Directory Server
Création d'un client LDAP pour le serveur d'annuaire
Configuration des journaux pour le Sun Java System Directory Server
Configuration d'un port multiniveau pour le Sun Java System Directory Server
Remplissage du Sun Java System Directory Server
Création d'un proxy Trusted Extensions pour un Sun Java System Directory Server existant
Création d'un serveur proxy LDAP
Configuration de la Console de gestion Solaris pour LDAP (liste des tâches)
Activation de la Console de gestion Solaris afin qu'elle accepte les communications réseau
Modification de la boîte à outils LDAP dans la Console de gestion Solaris
Vérification des informations Trusted Extensions contenues dans la Console de gestion Solaris
6. Configuration d'un écouteur avec Trusted Extensions (tâches)
A. Stratégie de sécurité du site
B. Utilisation d'actions CDE pour installer des zones dans Trusted Extensions
C. Liste de contrôle de configuration pour Trusted Extensions
La Console de gestion Solaris est l'interface graphique permettant d'administrer le réseau de systèmes exécutant Trusted Extensions.
|
Avant de commencer
Vous devez être l'utilisateur root sur un serveur LDAP exécutant Trusted Extensions. Le serveur peut être un serveur proxy.
Votre Sun Java System Directory Server doit être configuré. Vous avez terminé l'une des configurations suivantes :
Configuration d'un serveur LDAP sur un hôte Trusted Extensions (liste des tâches)
Configuration d'un serveur proxy LDAP sur un hôte Trusted Extensions (liste des tâches)
LDAP-Server # /usr/sadm/bin/dtsetup storeCred Administrator DN:Type the value for cn on your system Password:Type the Directory Manager password Password (confirm):Retype the password
LDAP-Server # /usr/sadm/bin/dtsetup scopes Getting list of manageable scopes... Scope 1 file:Displays name of file scope Scope 2 ldap:Displays name of ldap scope
La configuration de votre serveur LDAP détermine les étendues répertoriées. L'étendue LDAP n'est pas répertoriée jusqu'à ce que la boîte à outils LDAP soit modifiée. La boîte à outils ne peut pas être modifiée avant que le serveur ne soit enregistré.
Exemple 5-1 Enregistrement des informations d'identification et de connexion LDAP
Dans cet exemple, le nom du serveur LDAP est LDAP1 et la valeur de cn est la valeur par défaut, Directory Manager.
# /usr/sadm/bin/dtsetup storeCred Administrator DN:cn=Directory Manager Password:abcde1;! Password (confirm):abcde1;! # /usr/sadm/bin/dtsetup scopes Getting list of manageable scopes... Scope 1 file:/LDAP1/LDAP1 Scope 2 ldap:/LDAP1/cd=LDAP1,dc=example-domain,dc=com
Par défaut, les systèmes Solaris ne sont pas configurés pour écouter sur les ports qui présentent des risques liés à la sécurité. Par conséquent, vous devez configurer explicitement tous les systèmes que vous prévoyez d'administrer à distance afin qu'ils acceptent les communications réseau. Par exemple, pour administrer les bases de données réseau sur le serveur LDAP à partir d'un client, le serveur Console de gestion Solaris sur le serveur LDAP doit accepter les communications réseau.
Pour voir une illustration de la configuration requise de la Console de gestion Solaris pour un réseau avec un serveur LDAP, reportez-vous à la section Communication client-serveur avec la Console de gestion Solaris du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
Avant de commencer
Vous devez être connecté en tant que superutilisateur dans la zone globale sur le système serveur Console de gestion Solaris. Dans cette procédure, ce système est appelé le système distant. En outre, vous devez avoir accès à la ligne de commande pour le système client en tant que superutilisateur.
Le démon smc est contrôlé par le service wbem. Si le service options/tcp_listen wbem est défini sur true, le serveur Console de gestion Solaris accepte les connexions à distance.
# /usr/sbin/svcprop -p options wbem options/tcp_listen boolean false # svccfg -s wbem setprop options/tcp_listen=true
# svcadm refresh wbem # svcadm restart wbem
# svcprop -p options wbem options/tcp_listen boolean true
# /usr/dt/bin/trusted_edit /etc/smc/smcserver.config
## remote.connections=false remote.connections=true
Erreurs fréquentes
Si vous redémarrez ou activez le service wbem, vous devez vous assurer que le paramètre remote.connections du fichier smcserver.config reste défini sur true.
Avant de commencer
Vous devez être connecté au serveur LDAP en tant que superutilisateur. Les informations d'identification et de connexion LDAP doivent être enregistrées avec la Console de gestion Solaris, et vous devez connaître la sortie de la commande /usr/sadm/bin/dtsetup scopes. Pour plus d'informations, reportez-vous à la section Enregistrement des informations d'identification et de connexion LDAP avec la Console de gestion Solaris.
# cd /var/sadm/smc/toolboxes/tsol_ldap # ls *tbx tsol_ldap.tbx
Par exemple, le chemin d'accès suivant correspond à l'emplacement par défaut de la boîte à outils LDAP :
/var/sadm/smc/toolboxes/tsol_ldap/tsol_ldap.tbx
Remplacez la balise server entre les balises <Scope> et </Scope> par la sortie de la ligne ldap:/...... de la commande /usr/sadm/bin/dtsetup scopes.
<Scope>ldap:/<ldap-server-name>/<dc=domain,dc=suffix></Scope>
<Name>This Computer (ldap-server-name: Scope=ldap, Policy=TSOL)</Name> services and configuration of ldap-server-name.</Description> and configuring ldap-server-name.</Description> ...
# svcadm refresh wbem # svcadm restart wbem
Exemple 5-2 Configuration de la boîte à outils LDAP
Dans cet exemple, le nom du serveur LDAP est LDAP1. Pour configurer la boîte à outils, l'administrateur remplace les instances de <?server ?> par LDAP1.
# cd /var/sadm/smc/toolboxes/tsol_ldap # /usr/dt/bin/trusted_edit /tsol_ldap.tbx <Scope>ldap:/LDAP1/cd=LDAP1,dc=example-domain,dc=com</Scope ... <Name>This Computer (LDAP1: Scope=ldap, Policy=TSOL)</Name> services and configuration of LDAP1.</Description> and configuring LDAP1.</Description> ...
Pour voir une illustration de la configuration requise de la Console de gestion Solaris pour un réseau avec un serveur LDAP et pour un réseau sans serveur LDAP, reportez-vous à la section Communication client-serveur avec la Console de gestion Solaris du Procédures de l’administrateur Oracle Solaris Trusted Extensions.
Avant de commencer
Vous devez être connecté à un client LDAP dans un rôle d'administration ou en tant que superutilisateur. Pour faire d'un système un client LDAP, reportez-vous à la section Établissement de la zone globale en tant que client LDAP dans Trusted Extensions.
Pour administrer le système local, vous devez avoir exécuté les tâches de la section Initialisation du serveur Console de gestion Solaris dans Trusted Extensions.
Pour vous connecter à un serveur de console sur un système distant à partir du système local, vous devez avoir exécuté les tâches de la section Initialisation du serveur Console de gestion Solaris dans Trusted Extensions sur les deux systèmes. En outre, sur le système distant, vous devez avoir exécuté les tâches de la section Activation de la Console de gestion Solaris afin qu'elle accepte les communications réseau.
Pour administrer les bases de données dans le service de nommage LDAP à partir du client LDAP, sur le serveur LDAP, vous devez avoir exécuté les tâches de la section Modification de la boîte à outils LDAP dans la Console de gestion Solaris en plus de procédures précédentes.
# /usr/sbin/smc &
Une boîte à outils Trusted Extensions a la valeur Policy=TSOL.
Cet ordinateur (this-host : Scope=Files, Policy=TSOL)
Cet ordinateur (ldap-server : Scope=Files, Policy=TSOL)
Cet ordinateur (ldap-server : Scope=LDAP, Policy=TSOL)
Cet ordinateur (this-host : Scope=Files, Policy=TSOL)
Cet ordinateur (remote-system : Scope=Files, Policy=TSOL)
Remarque - Lorsque vous tentez d'accéder à des informations de base de données réseau à partir d'un système autre que le serveur LDAP, l'opération échoue. La console vous permet de vous connecter à l'hôte distant et d'ouvrir la boîte à outils. Cependant, lorsque vous tentez d'accéder aux informations ou de les modifier, le message d'erreur suivant indique que vous avez sélectionné Scope=LDAP sur un système qui n'est pas le serveur LDAP :
Management server cannot perform the operation requested. ... Error extracting the value-from-tool. The keys received from the client were machine, domain, Scope. Problem with Scope.
Erreurs fréquentes
Pour dépanner la configuration LDAP, reportez-vous au Chapitre 13, LDAP Troubleshooting (Reference) du System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).