Configuration du Sun Java System Directory Server sur un système Trusted Extensions

Le service de nommage LDAP est le service de nommage pris en charge pour Trusted Extensions. Si votre site n'exécute pas encore le service de nommage LDAP, configurez un Sun Java System Directory Server (serveur d'annuaire) sur un système configuré avec Trusted Extensions.

Si votre site exécute déjà un serveur d'annuaire, vous devez ajouter les bases de données Trusted Extensions au serveur. Pour accéder au serveur d'annuaire, vous devez ensuite configurer un serveur proxy LDAP sur un système Trusted Extensions.

Remarque - Si vous n'utilisez pas ce serveur LDAP en tant que serveur NFS ou en tant que serveur pour les clients Sun Ray, vous n'avez pas besoin d'installer de zones étiquetées sur ce serveur.

Collecte d'informations pour le serveur d'annuaire pour LDAP

Déterminez les valeurs des éléments suivants.

Les éléments sont répertoriés dans l'ordre où ils apparaissent dans l'Assistant d'installation de Sun Java Enterprise System.

Invite de l'Assistant d'installation	Action ou informations
Sun Java System Directory Server `version`
ID utilisateur de l'administrateur	La valeur par défaut est `admin`.
Mot de passe de l'administrateur	Créez un mot de passe, tel que `admin123`.
DN du gestionnaire d'annuaire	La valeur par défaut est `cn=Directory Manager`.
Mot de passe du gestionnaire d'annuaire	Créez un mot de passe, tel que `dirmgr89`.
Root du serveur d'annuaire	La valeur par défaut est `/var/Sun/mps`. Ce chemin est également utilisé par la suite si le logiciel proxy est installé.
Identificateur du serveur	La valeur par défaut est le système local.
Port du serveur	Si vous avez l'intention d'utiliser le serveur d'annuaire pour fournir des services de nommage LDAP standard aux systèmes clients, utilisez la valeur par défaut, `389`. Si vous envisagez d'utiliser le serveur d'annuaire pour prendre en charge l'installation ultérieure d'un serveur proxy, saisissez un port non standard, tel que `10389`.
Suffixe	Incluez votre composant de domaine, comme dans `dc=example-domain,dc=com`.
Domaine d'administration	Construisez-le afin qu'il corresponde au suffixe, comme dans `example-domain.com`.
Utilisateur du système	La valeur par défaut est `root`.
Groupe du système	La valeur par défaut est `root`.
Emplacement de stockage des données	La valeur par défaut est `Store configuration data on this server`.
Emplacement de stockage des données	La valeur par défaut est `Store user data and group data on this server`.
Port d'administration	La valeur par défaut est le port du serveur. Une convention suggérée pour changer la valeur par défaut est `software-version TIMES 1000`. Pour la version 5.2 du logiciel, cette convention donnerait le port `5200`.

Installation du Sun Java System Directory Server

Les packages du serveur d'annuaire sont disponibles sur le site Web Sun Software Gateway.

Avant de commencer

Vous vous trouvez sur un système Trusted Extensions avec une seule zone globale installée. Le système n'a aucune zone étiquetée.

Les serveurs LDAP Trusted Extensions sont configurés pour les clients qui utilisent pam_unix pour l'authentification auprès du référentiel LDAP. Avec pam_unix, le fonctionnement du mot de passe, et par conséquent sa stratégie, sont déterminés par le client. Plus précisément, la stratégie définie par le serveur LDAP n'est pas utilisée. Pour connaître les paramètres de mot de passe que vous pouvez définir sur le client, reportez-vous à la section Managing Password Information du System Administration Guide: Security Services. Pour en savoir plus sur pam_unix, reportez-vous à la page de manuel pam.conf(4).

Remarque - L'utilisation de pam_ldap sur un client LDAP ne constitue pas une configuration évaluée pour Trusted Extensions.

Avant d'installer les packages du serveur d'annuaire, ajoutez le FQDN pour l'entrée de nom d'hôte de votre système.
FQDN (Fully Qualified Domain Name) signifie nom de domaine complet. Ce nom se compose du nom d'hôte et du domaine d'administration, par exemple :
```
## /etc/hosts
...
192.168.5.5 myhost myhost.example-domain.com
```
Sur un système exécutant une version antérieure à la version Solaris 10 8/07, insérez les entrées IPv4 et IPv6 dans le fichier /etc/inet/ipnodes. Les entrées d'un système doivent être contiguës dans le fichier.
Si vous n'exécutez pas la dernière version du SE Solaris, les patchs suivants doivent être installés. Le premier nombre correspond à un patch SPARC. Le deuxième nombre correspond à un patch X86.
- 138874–05, 138875–05 : LDAP natif, PAM, name-service-switch patch
- 119313-35, 119314-36 : patch WBEM
- 121308-21, 121308-21 : patch de la console de gestion Solaris
- 119315-20, 119316-20 : patch d'applications de gestion Solaris
Vous trouverez les packages Sun Java System Directory Server sur le site Web Oracle Sun.
1. Sur la page Sun Software Gateway, cliquez sur l'onglet Get It.
2. Cliquez sur la case à cocher correspondant à Sun Java Identity Management Suite.
3. Cliquez sur Submit (Envoyer).
4. Si vous n'êtes pas enregistré, enregistrez-vous.
5. Connectez-vous pour télécharger le logiciel.
6. Cliquez sur le centre de téléchargement dans le coin supérieur gauche de l'écran.
7. Sous Identity Management, téléchargez le logiciel le plus récent adapté à votre plate-forme.
Installez les packages du serveur d'annuaire.
Répondez aux questions posées à l'aide des informations recueillies à l'étape Collecte d'informations pour le serveur d'annuaire pour LDAP. Pour obtenir une liste complète des questions, des valeurs par défaut et des réponses suggérées, reportez-vous au Chapitre 11, Configuration de Sun Java System Directory Server avec les clients LDAP (tâches) du Guide d’administration système : Services d’annuaire et de nommage (DNS, NIS et LDAP) et au Chapitre 12, Configuration des clients LDAP (tâches) du Guide d’administration système : Services d’annuaire et de nommage (DNS, NIS et LDAP).

(Facultatif) Ajoutez les variables d'environnement pour le serveur d'annuaire à votre chemin.

# $PATH
/usr/sbin:.../opt/SUNWdsee/dsee6/bin:/opt/SUNWdsee/dscc6/bin:/opt/SUNWdsee/ds6/bin:
/opt/SUNWdsee/dps6/bin

(Facultatif) Ajoutez les pages de manuel du serveur d'annuaire à votre MANPATH.
```
/opt/SUNWdsee/dsee6/man
```

Activez le programme cacaoadm et vérifiez qu'il est activé.

# /usr/sbin/cacaoadm enable
# /usr/sbin/cacaoadm start
start: server (pid n) already running

Assurez-vous que le serveur d'annuaire se lance à chaque démarrage.
Les packages Sun Java System Directory Server contiennent des modèles de services SMF pour le serveur d'annuaire.
- Pour un serveur d'annuaire Trusted Extensions, activez le service.
```
# dsadm stop /export/home/ds/instances/your-instance
# dsadm enable-service -T SMF /export/home/ds/instances/your-instance
# dsadm start /export/home/ds/instances/your-instance
```
  Pour plus d'informations sur la commande dsadm, reportez-vous à la page de manuel dsadm(1M).
- Pour un serveur d'annuaire proxy, activez le service.
```
# dpadm stop /export/home/ds/instances/your-instance
# dpadm enable-service -T SMF /export/home/ds/instances/your-instance
# dpadm start /export/home/ds/instances/your-instance
```
  Pour plus d'informations sur la commande dpadm, reportez-vous à la page de manuel dpadm(1M).

Vérifiez votre installation.

# dsadm info /export/home/ds/instances/your-instance
Instance Path:         /export/home/ds/instances/your-instance
Owner:                 root(root)
Non-secure port:       389
Secure port:           636
Bit format:            32-bit
State:                 Running
Server PID:            298
DSCC url:              -
SMF application name:  ds--export-home-ds-instances-your-instance
Instance version:      D-A00

Erreurs fréquentes

Pour connaître les stratégies de résolution des problèmes de configuration LDAP, reportez-vous au Chapitre 13, LDAP Troubleshooting (Reference) du System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP).

Création d'un client LDAP pour le serveur d'annuaire

Vous utilisez ce client pour remplir votre serveur d'annuaire pour LDAP. Vous devez exécuter cette tâche avant de remplir le serveur d'annuaire.

Vous pouvez créer le client temporairement sur le serveur d'annuaire Trusted Extensions, puis supprimer le client du serveur, ou vous pouvez créer un client indépendant.

Installez Trusted Extensions sur un système.
Vous pouvez utiliser le serveur d'annuaire Trusted Extensions ou installer Trusted Extensions sur un système séparé.
Remarque - Si vous n'exécutez pas la dernière version du SE Solaris, les patchs suivants doivent être installés. Le premier nombre correspond à un patch SPARC. Le deuxième nombre correspond à un patch X86.
- 138874–05, 138875–05 : LDAP natif, PAM, name-service-switch patch
- 119313-35, 119314-36 : patch WBEM
- 121308-21, 121308-21 : patch de la console de gestion Solaris
- 119315-20, 119316-20: patch d'applications de gestion Solaris

Sur le client, modifiez le fichier /etc/nsswitch.ldap par défaut.

Les entrées en gras indiquent les modifications. Le fichier se présente de la manière suivante :

# /etc/nsswitch.ldap
#
# An example file that could be copied over to /etc/nsswitch.conf; it
# uses LDAP in conjunction with files.
#
# "hosts:" and "services:" in this file are used only if the
# /etc/netconfig file has a "-" for nametoaddr_libs of "inet" transports.

# LDAP service requires that svc:/network/ldap/client:default be enabled
# and online.

# the following two lines obviate the "+" entry in /etc/passwd and /etc/group.
passwd:     files ldap
group:      files ldap

# consult /etc "files" only if ldap is down. 
hosts: files ldap dns [NOTFOUND=return] files

# Note that IPv4 addresses are searched for in all of the ipnodes databases
# before searching the hosts databases.
ipnodes: files ldap [NOTFOUND=return] files

networks: files ldap [NOTFOUND=return] files
protocols: files ldap [NOTFOUND=return] files
rpc: files ldap [NOTFOUND=return] files
ethers: files ldap [NOTFOUND=return] files
netmasks: files ldap [NOTFOUND=return] files
bootparams: files ldap [NOTFOUND=return] files
publickey: files ldap [NOTFOUND=return] files

netgroup:   ldap

automount:  files ldap
aliases:    files ldap

# for efficient getservbyname() avoid ldap
services:   files ldap

printers:   user files ldap

auth_attr:  files ldap
prof_attr:  files ldap

project:    files ldap

tnrhtp:     files ldap
tnrhdb:     files ldap

Dans la zone globale, exécutez la commande ldapclient init.
Cette commande copie le fichier nsswitch.ldap dans le fichier nsswitch.conf.
Dans cet exemple, le client LDAP se trouve dans le domaine example-domain.com. L'adresse IP du serveur est 192.168.5.5.
```
# ldapclient init -a domainName=example-domain.com -a profileNmae=default \
> -a proxyDN=cn=proxyagent,ou=profile,dc=example-domain,dc=com \
> -a proxyDN=cn=proxyPassword={NS1}ecc423aad0 192.168.5.5
System successfully configured
```
Définissez le paramètre enableShadowUpdate du serveur sur TRUE.
```
# ldapclient -v mod -a enableShadowUpdate=TRUE \
> -a adminDN=cn=admin,ou=profile,dc=example-domain,dc=com
System successfully configured
```
Pour plus d'informations sur le paramètre enableShadowUpdate, reportez-vous à la section Commutateur enableShadowUpdate du Guide d’administration système : Services d’annuaire et de nommage (DNS, NIS et LDAP) et à la page de manuel ldapclient(1M).

Configuration des journaux pour le Sun Java System Directory Server

Cette procédure configure trois types de journaux : les journaux d'accès, les journaux d'audit et les journaux des erreurs. Les paramètres par défaut suivants n'ont pas été modifiés :

Tous les journaux sont activés et mis en tampon.
Les journaux sont placés dans le répertoire /export/home/ds/instances/your-instance/logs/LOG_TYPE approprié.
Les événements sont enregistrés au niveau de journal 256.
Les journaux sont protégés par des droits d'accès au fichier 600.
Les journaux d'accès sont permutés quotidiennement.
Les journaux des erreurs sont permutés hebdomadairement.

Les paramètres dans cette procédure satisfont aux exigences suivantes :

Les journaux d'audit sont permutés quotidiennement.
Les fichiers journaux plus anciens que 3 mois expirent.
Tous les fichiers journaux utilisent un maximum de 20 000 Mo d'espace disque.
100 fichiers journaux maximum sont conservés, et chaque fichier pèse au maximum 500 Mo.
Les journaux les plus anciens sont supprimés si l'espace disque disponible est inférieur à 500 Mo.
Des informations supplémentaires sont collectées dans les journaux des erreurs.

Configurez les journaux d'accès.

Le LOG_TYPE pour l'accès est ACCESS. La syntaxe de configuration des journaux est la suivante :

dsconf set-log-prop LOG_TYPE property:value

# dsconf set-log-prop ACCESS max-age:3M
# dsconf set-log-prop ACCESS max-disk-space-size:20000M
# dsconf set-log-prop ACCESS max-file-count:100
# dsconf set-log-prop ACCESS max-size:500M
# dsconf set-log-prop ACCESS min-free-disk-space:500M

Configurez les journaux d'audit.

# dsconf set-log-prop AUDIT max-age:3M
# dsconf set-log-prop AUDIT max-disk-space-size:20000M
# dsconf set-log-prop AUDIT max-file-count:100
# dsconf set-log-prop AUDIT max-size:500M
# dsconf set-log-prop AUDIT min-free-disk-space:500M
# dsconf set-log-prop AUDIT rotation-interval:1d

Par défaut, l'intervalle de permutation des journaux d'audit est une semaine.

Configurez les journaux des erreurs.

Dans cette configuration, vous pouvez spécifier d'autres données à collecter dans le journal des erreurs.

# dsconf set-log-prop ERROR max-age:3M
# dsconf set-log-prop ERROR max-disk-space-size:20000M
# dsconf set-log-prop ERROR max-file-count:30
# dsconf set-log-prop ERROR max-size:500M
# dsconf set-log-prop ERROR min-free-disk-space:500M
# dsconf set-log-prop ERROR verbose-enabled:on

(Facultatif) Effectuez une configuration avancée des journaux.
Vous pouvez également configurer les paramètres suivants pour chaque journal :
```
# dsconf set-log-prop LOG_TYPE rotation-min-file-size:undefined
# dsconf set-log-prop LOG_TYPE rotation-time:undefined
```
Pour plus d'informations sur la commande dsconf, reportez-vous à la page de manuel dsconf(1M).

Configuration d'un port multiniveau pour le Sun Java System Directory Server

Pour fonctionner dans Trusted Extensions, le port du serveur d'annuaire doit être configuré en tant que port multiniveau (MLP) dans la zone globale.

Démarrez la Console de gestion Solaris.
```
# /usr/sbin/smc &
```
Sélectionnez la boîte à outils Cet ordinateur (this-host : Scope=Files, Policy=TSOL).
Cliquez sur Configuration, puis cliquez Computers and Networks (Ordinateurs et réseaux).
Vous êtes invité à saisir votre mot de passe.
Saisissez le mot de passe approprié.
Double-cliquez sur Trusted Network Zones (Zones de réseau de confiance).
Double-cliquez sur la zone globale.
Ajoutez un port multiniveau pour le protocole TCP :
1. Cliquez sur Add for the Multilevel Ports for Zone's IP Addresses (Ajouter pour les ports multiniveau pour les adresses IP de la zone).
2. Saisissez le numéro de port 389, puis cliquez sur OK.
Ajoutez un port multiniveau pour le protocole UDP :
1. Cliquez sur Add for the Multilevel Ports for Zone's IP Addresses (Ajouter pour les ports multiniveau pour les adresses IP de la zone).
2. Saisissez le numéro de port 389.
3. Choisissez le protocole UDP et cliquez sur OK.
Cliquez sur OK pour enregistrer les paramètres.

Mettez à jour le noyau.

# tnctl -fz /etc/security/tsol/tnzonecfg

Remplissage du Sun Java System Directory Server

Plusieurs bases de données LDAP ont été créées ou modifiées afin de contenir les données Trusted Extensions relatives à la configuration de l'étiquette, aux utilisateurs et aux systèmes distants. Dans cette procédure, vous remplissez les bases de données du serveur d'annuaire avec des informations Trusted Extensions.

Avant de commencer

Vous devez remplir la base de données à partir d'un client LDAP sur lequel la mise à jour en double est activée. Pour connaître les conditions requises, reportez-vous à la section Création d'un client LDAP pour le serveur d'annuaire.

Si la sécurité du site requiert la séparation des tâches, exécutez les procédures suivantes avant de remplir le serveur d'annuaire :

Créez une zone de préparation pour les fichiers que vous prévoyez d'utiliser pour remplir les bases de données du service de nommage.
```
# mkdir -p /setup/files
```

Copiez l'échantillon de fichiers /etc dans la zone de préparation.

# cd /etc
# cp aliases group networks netmasks protocols /setup/files
# cp rpc services auto_master /setup/files

# cd /etc/security
# cp auth_attr prof_attr exec_attr /setup/files/
#
# cd /etc/security/tsol
# cp tnrhdb tnrhtp /setup/files

Si vous exécutez la version Solaris 10 11/06 sans patch, copiez le fichier ipnodes.

# cd /etc/inet
# cp ipnodes /setup/files

Supprimez l'entrée +auto_master du fichier /setup/files/auto_master.
Supprimez l'entrée ?:::::? du fichier /setup/files/auth_attr.
Supprimez l'entrée :::: du fichier /setup/files/prof_attr.
Créez les mappages automatiques de zone dans la zone de préparation.
Dans la liste de mappages automatiques suivante, la première ligne de chaque paire indique le nom du fichier. La deuxième ligne de chaque paire montre le contenu du fichier. Les noms de zones identifient les étiquettes sur la base du fichier label_encodings par défaut fourni avec le logiciel Trusted Extensions.
- Remplacez vos noms de zones par ceux qui apparaissent dans ces lignes.
- myNFSserver identifie le serveur NFS pour les répertoires personnels.
```
/setup/files/auto_home_public
 * myNFSserver_FQDN:/zone/public/root/export/home/&

/setup/files/auto_home_internal
 * myNFSserver_FQDN:/zone/internal/root/export/home/&

/setup/files/auto_home_needtoknow
 * myNFSserver_FQDN:/zone/needtoknow/root/export/home/&

/setup/files/auto_home_restricted
 * myNFSserver_FQDN:/zone/restricted/root/export/home/&
```
Ajoutez tous les systèmes sur le réseau au fichier /setup/files/tnrhdb.
Aucun mécanisme de caractère générique ne peut être utilisé ici. L'adresse IP de chaque système qui doit être contacté, y compris les adresses IP des zones étiquetées, doit se trouver dans ce fichier.
1. Ouvrez l'éditeur de confiance et modifiez le fichier /setup/files/tnrhdb.
2. Ajoutez toutes les adresses IP présentes sur un système étiqueté dans le domaine Trusted Extensions.
  Les systèmes étiquetés sont de type cipso. En outre, le nom du modèle de sécurité pour les systèmes étiquetés est cipso. Par conséquent, dans la configuration par défaut, une entrée cipso est similaire à l'exemple suivant :
```
192.168.25.2:cipso
```
  Remarque - Cette liste inclut les adresses IP des zones globales et étiquetées.
3. Ajoutez tous les systèmes non étiquetés avec lesquels le domaine peut communiquer.
  Les systèmes sans étiquette sont de type unlabeled. Le nom du modèle de sécurité pour les systèmes sans étiquette est admin_low. Par conséquent, dans la configuration par défaut, une entrée correspondant à un système sans étiquette est similaire à l'exemple suivant :
```
192.168.35.2:admin_low
```
4. Enregistrez le fichier et quittez l'éditeur.
5. Vérifiez la syntaxe du fichier.
```
# tnchkdb -h /setup/files/tnrhdb
```
6. Corrigez les erreurs éventuelles avant de poursuivre.
Copiez le fichier /setup/files/tnrhdb dans le fichier /etc/security/tsol/tnrhdb.
Utilisez la commande ldapaddent pour remplir le serveur d'annuaire avec chaque fichier de la zone de préparation.
Par exemple, la commande suivante permet de remplir le serveur à partir du fichier hosts de la zone de préparation.
```
# /usr/sbin/ldapaddent -D "cn=directory manager" \ -w dirmgr123 -a simple -f /setup/files/hosts hosts
```
Si vous avez exécuté la commande ldapclient sur le serveur d'annuaire Trusted Extensions, désactivez le client sur ce système.
Dans la zone globale, exécutez la commande ldapclient l. Utilisez la sortie détaillée pour vérifier que le système n'est plus un client LDAP.
```
# ldapclient -v uninit
```
Pour plus d'informations, reportez-vous à la page de manuel ldapclient(1M).

Ignorer les liens de navigation
Quitter l'aperu
	Guide de configuration d’Oracle Solaris Trusted Extensions