任务列表:配置 Trusted Extensions
为实现安全的配置过程,请及早创建角色。通过角色来配置系统的任务顺序显示在下面的任务列表中。
|
|
|
|
|
要求需要输入口令才能更改硬件设置,籍此来保护计算机硬件。 |
|
配置标签。必须为您的站点配置标签。如果您打算使用缺省的 label_encodings 文件,则可以跳过此任务。 |
|
如果您运行的是 IPv6 网络,请修改 /etc/system 文件以便使 IP 能够识别有标签的数据包。 |
|
如果网络节点的 CIPSO 系统解释域
(Domain of Interpretation, DOI) 与 1 不同,请在 /etc/system 文件中指定 DOI。 |
|
如果您计划使用 Solaris ZFS
快照来克隆区域,则请创建 ZFS 池。 |
|
引导以激活有标签环境。登录时,您处于全局区域中。系统的 label_encodings 文件将实施强制访问控制 (mandatory access control, MAC)。 |
|
初始化 Solaris Management Console。此
GUI 用来为区域添加标签及执行其他任务。 |
|
|
|
|
如果使用本地文件来管理系统,请跳过接下来的一组任务。
|
|
|
|
|
如果计划使用文件来管理 Trusted Extensions,则可跳过以下任务。 |
不需要对文件命名服务进行配置。 |
如果您具有现有的 Sun Java System Directory Server(LDAP 服务器),请将 Trusted Extensions
数据库添加到该服务器。然后,使您的第一个 Trusted Extensions 系统成为 LDAP 服务器的代理。 如果没有 LDAP 服务器,则将第一个系统配置为服务器。 |
|
手动为 Solaris Management Console 设置
LDAP 工具箱。工具箱可用于在网络对象中修改 Trusted Extensions 属性。 |
|
对于不是 LDAP 服务器或代理服务器的系统,请使其成为 LDAP 客户机。 |
|
|
|
|
|
|
|
|
|
运行
txzonemgr 命令。 遵循菜单来配置网络接口,然后创建并定制第一个有标签区域。然后,复制或克隆其余的区域。 |
|
或者,使用 Trusted CDE 操作。 |
|
(可选的)在成功定制所有区域后,为各个有标签区域添加特定于区域的网络地址和缺省路由。 |
|
|
在您的环境中,以下任务可能是必需的。
|
|
|
|
|
确定其他需要标签、一个或多个多级别端口或不同控制消息策略的远程主机。 |
|
创建一个多级别起始目录服务器,然后自动挂载所安装的区域。 |
|
请先配置审计、挂载文件系统并执行其他任务,然后再允许用户登录到系统。 |
|
将 NIS 环境中的用户添加到 LDAP 服务器。 |
|
将主机及其有标签区域添加到 LDAP 服务器。 |
|
|