Configuración de Oracle Directory Server Enterprise Edition en un sistema Trusted Extensions

El servicio de nombres LDAP es el servicio de nombres admitido para Trusted Extensions. Si en su sitio aún no se ejecuta el servicio de nombres LDAP, configure Oracle Directory Server Enterprise Edition (servidor de directorios) en un sistema en el que esté configurado Trusted Extensions.

Si en su sitio ya se está ejecuta un servidor de directorios, debe agregar las bases de datos de Trusted Extensions al servidor. Para acceder al servidor de directorios, debe configurar un proxy LDAP en un sistema Trusted Extensions.

Nota - Si no utiliza este servidor LDAP como servidor NFS, no necesita instalar ninguna zona con etiquetas en este servidor.

Recopilación de información para el servidor de directorios para LDAP

Determine los valores para los siguientes elementos.

Los elementos se muestran en el orden en el que aparecen en el asistente de instalación de Sun Java Enterprise System.

Petición de datos del asistente de instalación	Acción o información
Oracle Directory Server Enterprise Edition `versión`
ID de usuario de administrador	El valor predeterminado es `admin`.
Contraseña de administrador	Cree una contraseña, como `admin123`.
DN del gestor de directorios	El valor predeterminado es `cn=Directory Manager`.
Contraseña del gestor de directorios	Cree una contraseña, como `dirmgr89`.
Root de servidor de directorios	El valor predeterminado es `/var/Sun/mps`. Esta ruta también se utiliza posteriormente si se instala el software de proxy.
Identificador del servidor	El valor predeterminado es el sistema local.
Puerto del servidor	Si tiene previsto usar el servidor de directorios para proporcionar servicios de nombres LDAP estándar a sistemas cliente, utilice el valor predeterminado, `389`. Si tiene previsto utilizar el servidor de directorios para admitir una instalación posterior de un servidor proxy, introduzca un puerto no estándar, como `10389`.
Sufijo	Incluya el componente de dominio, como en `dc=example-domain,dc=com`.
Dominio de administración	Cree un dominio que corresponda al sufijo, como en `example-domain.com`.
Usuario del sistema	El valor predeterminado es `root`.
Grupo del sistema	El valor predeterminado es `root`.
Ubicación del almacenamiento de datos	El valor predeterminado es `Store configuration data on this server`.
Ubicación del almacenamiento de datos	El valor predeterminado es `Store user data and group data on this server`.
Puerto de administración	El valor predeterminado es el puerto del servidor. La convención sugerida para cambiar el valor predeterminado es multiplicar `versión_software` por `1000`. Para la versión de software `5.2`, esta convención da como resultado el puerto `5200`.

Instalación de Oracle Directory Server Enterprise Edition

Los paquetes del servidor de directorios están disponibles en el sitio web de Oracle para productos de software de Sun.

Antes de empezar

Debe estar en un sistema Trusted Extensions con una zona global. El sistema no debe tener zonas con etiquetas. Debe estar con el rol de usuario root en la zona global.

Los servidores LDAP de Trusted Extensions están configurados para los clientes que usan pam_unix para autenticarse en el depósito LDAP. Con pam_unix, las operaciones de contraseña y, por consiguiente, las directivas de contraseña son determinadas por el cliente. En concreto, la política establecida por el servidor LDAP no se utiliza. Para conocer los parámetros de contraseña que puede establecer en el cliente, consulte Gestión de información de contraseñas de Administración de Oracle Solaris: servicios de seguridad. Para obtener información sobre pam_unix, consulte la página del comando man pam.conf(4).

Nota - El uso de pam_ldap en un cliente LDAP no es una configuración evaluada para Trusted Extensions.

Antes de instalar los paquetes del servidor de directorios, agregue el nombre de dominio completo (FQDN) a la entrada del nombre de host del sistema.
El FQDN es el nombre de dominio completo. Este nombre es una combinación del nombre de host y el dominio de administración, como en el siguiente ejemplo:
```
## /etc/hosts
...
192.168.5.5 myhost myhost.example-domain.com
```
Descargue los paquetes de Oracle Directory Server Enterprise Edition del sitio web de Oracle para productos de software de Sun.
Seleccione el software más reciente adecuado para su plataforma.
Instale los paquetes del servidor de directorios.
Responda a las preguntas utilizando la información de Recopilación de información para el servidor de directorios para LDAP. Para obtener una lista completa de las preguntas, los valores predeterminados y las respuestas sugeridas, consulte el Capítulo 11, Setting Up Oracle Directory Server Enterprise Edition With LDAP Clients (Tasks) de Oracle Solaris Administration: Naming and Directory Services y el Capítulo 12, Setting Up LDAP Clients (Tasks) de Oracle Solaris Administration: Naming and Directory Services.

(Opcional) Agregue las variables de entorno para el servidor de directorios a la ruta.

# $PATH
/usr/sbin:.../opt/SUNWdsee/dsee6/bin:/opt/SUNWdsee/dscc6/bin:/opt/SUNWdsee/ds6/bin:
/opt/SUNWdsee/dps6/bin

(Opcional) Agregue las páginas del comando man del servidor de directorios a su MANPATH.
```
/opt/SUNWdsee/dsee6/man
```

Habilite el programa cacaoadm y verifique que el programa esté habilitado.

# /usr/sbin/cacaoadm enable
# /usr/sbin/cacaoadm start
start: server (pid n) already running

Asegúrese de que el servidor de directorios se inicie en cada inicio.
Las plantillas de los servicios SMF para el servidor de directorios están en los paquetes de Oracle Directory Server Enterprise Edition.
- Para un servidor de directorios de Trusted Extensions, habilite el servicio.
```
# dsadm stop /export/home/ds/instances/your-instance
# dsadm enable-service -T SMF /export/home/ds/instances/your-instance
# dsadm start /export/home/ds/instances/your-instance
```
  Para obtener información sobre el comando dsadm, consulte la página del comando man dsadm(1M).
- Para un servidor de directorios proxy, habilite el servicio.
```
# dpadm stop /export/home/ds/instances/your-instance
# dpadm enable-service -T SMF /export/home/ds/instances/your-instance
# dpadm start /export/home/ds/instances/your-instance
```
  Para obtener información sobre el comando dpadm, consulte la página del comando man dpadm(1M).

Verifique la instalación.

# dsadm info /export/home/ds/instances/your-instance
Instance Path:         /export/home/ds/instances/your-instance
Owner:                 root(root)
Non-secure port:       389
Secure port:           636
Bit format:            32-bit
State:                 Running
Server PID:            298
DSCC url:              -
SMF application name:  ds--export-home-ds-instances-your-instance
Instance version:      D-A00

Errores más frecuentes

Para conocer las estrategias para resolver problemas de configuración de LDAP, consulte el Capítulo 13, LDAP Troubleshooting (Reference) de Oracle Solaris Administration: Naming and Directory Services.

Creación de un cliente LDAP para el servidor de directorios

Puede utilizar este cliente para rellenar su servidor de directorios para LDAP. Debe realizar esta tarea antes rellenar el servidor de directorios.

Puede crear el cliente temporalmente en el servidor de directorios de Trusted Extensions y, a continuación, eliminar el cliente del servidor, o bien puede crear un cliente independiente.

Antes de empezar

Tiene el rol de usuario root en la zona global.

Agregue el software Trusted Extensions a un sistema.
Puede utilizar el servidor de directorios de Trusted Extensions o agregar Trusted Extensions en un sistema diferente.

En el cliente, configurar LDAP en el servicio name-service/switch.

Visualice la configuración actual.

# svccfg -s name-service/switch listprop config
config                       application
config/value_authorization   astring       solaris.smf.value.name-service.switch
config/default               astring       "files ldap"
config/host                  astring       "files dns"
config/netgroup              astring       ldap
config/printer               astring       "user files ldap"

Cambie el valor predeterminado de la siguiente propiedad:

# svccfg -s name-service/switch setprop config/host = astring: "files ldap dns"

En la zona global, ejecute el comando ldapclient init.

En este ejemplo, el cliente LDAP está en el dominio example-domain.com. La dirección IP del servidor es 192.168.5.5.

# ldapclient init -a domainName=example-domain.com -a profileName=default \
> -a proxyDN=cn=proxyagent,ou=profile,dc=example-domain,dc=com \
> -a proxyDN=cn=proxyPassword={NS1}ecc423aad0 192.168.5.5
System successfully configured

Establezca el parámetro enableShadowUpdate del servidor en TRUE.
```
# ldapclient -v mod -a enableShadowUpdate=TRUE \
> -a adminDN=cn=admin,ou=profile,dc=example-domain,dc=com
System successfully configured
```
Para obtener información sobre el parámetro enableShadowUpdate, consulte enableShadowUpdate Switch de Oracle Solaris Administration: Naming and Directory Services y la página del comando man ldapclient(1M).

Configuración de los registros para Oracle Directory Server Enterprise Edition

Mediante este procedimiento se configuran tres tipos de registros: registros de acceso, registros de auditoría y registros de errores. Los siguientes valores predeterminados no se modifican:

Todos los registros se habilitan y almacenan en la memoria intermedia.
Los registros se colocan en el directorio /export/home/ds/instances/your-instance/logs/LOG_TYPE adecuado.
Los eventos se registran en el nivel de registro 256.
Los registros están protegidos por 600 permisos de archivo.
Los registros de acceso rotan diariamente.
Los registros de errores rotan semanalmente.

La configuración de este procedimiento cumple con los siguientes requisitos:

Los registros de auditoría rotan diariamente.
Los archivos de registro anteriores a 3 meses caducan.
Todos los archivos de registro utilizan un máximo de 20.000 MB de espacio de disco.
Se conserva un máximo de 100 archivos de registro, y cada archivo tiene como máximo 500 MB.
Los registros más antiguos se suprimen si hay menos de 500 MB de espacio libre en el disco.
Se recopila información adicional en los registros de errores.

Antes de empezar

Debe estar con el rol de usuario root en la zona global.

Configure los registros de acceso.

El LOG_TYPE para el acceso es ACCESS. La sintaxis para la configuración de registros es la siguiente:

dsconf set-log-prop LOG_TYPE property:value

# dsconf set-log-prop ACCESS max-age:3M
# dsconf set-log-prop ACCESS max-disk-space-size:20000M
# dsconf set-log-prop ACCESS max-file-count:100
# dsconf set-log-prop ACCESS max-size:500M
# dsconf set-log-prop ACCESS min-free-disk-space:500M

Configure los registros de auditoría.

# dsconf set-log-prop AUDIT max-age:3M
# dsconf set-log-prop AUDIT max-disk-space-size:20000M
# dsconf set-log-prop AUDIT max-file-count:100
# dsconf set-log-prop AUDIT max-size:500M
# dsconf set-log-prop AUDIT min-free-disk-space:500M
# dsconf set-log-prop AUDIT rotation-interval:1d

De manera predeterminada, el intervalo de rotación de registros de auditoría es de una semana.

Configure los registros de errores.

En esta configuración, puede especificar los datos adicionales que se van a recopilar en el registro de errores.

# dsconf set-log-prop ERROR max-age:3M
# dsconf set-log-prop ERROR max-disk-space-size:20000M
# dsconf set-log-prop ERROR max-file-count:30
# dsconf set-log-prop ERROR max-size:500M
# dsconf set-log-prop ERROR min-free-disk-space:500M
# dsconf set-log-prop ERROR verbose-enabled:on

(Opcional) Configure más valores para los registros.
También puede configurar los siguientes valores de configuración para cada registro:
```
# dsconf set-log-prop LOG_TYPE rotation-min-file-size:undefined
# dsconf set-log-prop LOG_TYPE rotation-time:undefined
```
Para obtener información sobre el comando dsconf, consulte la página del comando man dsconf(1M).

Configuración de puerto de varios niveles para Oracle Directory Server Enterprise Edition

Para trabajar en Trusted Extensions, el puerto de servidor del servidor de directorios debe estar configurado como un puerto de varios niveles (MLP) en la zona global.

Antes de empezar

Debe estar con el rol de usuario root en la zona global.

Inicie txzonemgr.
```
# /usr/sbin/txzonemgr &
```
Agregue un puerto de varios niveles para el protocolo TCP en la zona global.
El número de puerto es 389.
Agregue un puerto de varios niveles para el protocolo UDP en la zona global.
El número de puerto es 389.

Rellenado de Oracle Directory Server Enterprise Edition

Se han creado o modificado varias bases de datos LDAP para contener los datos de Trusted Extensions sobre la configuración de etiquetas, los usuarios y los sistemas remotos. Mediante este procedimiento, se rellenan las bases de datos del servidor de directorios con la información de Trusted Extensions.

Antes de empezar

Debe estar con el rol de usuario root en la zona global. Se encuentra en un cliente LDAP en el que está habilitada la actualización de shadow. Para conocer los requisitos previos, consulte Creación de un cliente LDAP para el servidor de directorios.

Cree un área temporal para los archivos que piensa utilizar para rellenar las bases de datos del servicio de nombres.
```
# mkdir -p /setup/files
```

Copie los archivos /etc de ejemplo en el área temporal.

# cd /etc
# cp aliases group networks netmasks protocols /setup/files
# cp rpc services auto_master /setup/files

# cd /etc/security/tsol
# cp tnrhdb tnrhtp /setup/files

Precaución - No copie los archivos *attr. En su lugar, utilice la opción -S ldap para los comandos que agregan usuarios, roles y perfiles de derechos en el depósito LDAP. Estos comandos agregan entradas para las bases de datos user_attr, auth_attr, exec_attr y prof_attr. Para obtener más información, consulte las páginas del comando man user_attr(4) y useradd(1M).

Elimine la entrada +auto_master del archivo /setup/files/auto_master.

Cree los mapas automáticos de zona en el área temporal.

# cp /zone/public/root/etc/auto_home_public /setup/files
# cp /zone/internal/root/etc/auto_home_internal /setup/files
# cp /zone/needtoknow/root/etc/auto_home_needtoknow /setup/files
# cp /zone/restricted/root/etc/auto_home_restricted /setup/files

En la siguiente lista de mapas automáticos, el primero de cada par de líneas muestra el nombre del archivo. La segunda línea de cada par muestra el contenido del archivo. Los nombres de zona identifican etiquetas del archivo label_encodings predeterminado que se incluye con el software Trusted Extensions.

Sustituya los nombres de zona por los nombres de zona de estas líneas.
myNFSserver identifica el servidor NFS para los directorios principales.

/setup/files/auto_home_public
 * myNFSserver_FQDN:/zone/public/root/export/home/&

/setup/files/auto_home_internal
 * myNFSserver_FQDN:/zone/internal/root/export/home/&

/setup/files/auto_home_needtoknow
 * myNFSserver_FQDN:/zone/needtoknow/root/export/home/&

/setup/files/auto_home_restricted
 * myNFSserver_FQDN:/zone/restricted/root/export/home/&

Utilice el comando ldapaddent para rellenar el servidor de directorios con cada archivo del área temporal.
Por ejemplo, el siguiente comando rellena el servidor del archivo hosts del área temporal.
```
# /usr/sbin/ldapaddent -D "cn=directory manager" \ -w dirmgr123 -a simple -f /setup/files/hosts hosts
```
Si ejecutó el comando ldapclient en el servidor de directorios Trusted Extensions, deshabilite el cliente en ese sistema.
En la zona global, ejecute el comando ldapclient uninit. Utilice el resultado detallado para verificar que el sistema ya no sea un cliente LDAP.
```
# ldapclient -v uninit
```
Para obtener más información, consulte la página del comando man ldapclient(1M).
Para rellenar las bases de datos de red de Trusted Extensions en LDAP, utilice el comando tncfg con la opción -S ldap.
Para obtener instrucciones, consulte Etiquetado de hosts y redes (mapa de tareas).

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Configuración y administración de Trusted Extensions Oracle Solaris 11 Information Library (Español)