跳过导航链接 | |
退出打印视图 | |
Trusted Extensions 配置和管理 Oracle Solaris 11 Information Library (简体中文) |
第 1 部分Trusted Extensions 的初始配置
3. 将 Trusted Extensions 功能添加到 Oracle Solaris(任务)
5. 为 Trusted Extensions 配置 LDAP(任务)
8. Trusted Extensions 系统上的安全要求(概述)
9. 执行 Trusted Extensions 中的常见任务(任务)
10. Trusted Extensions 中的用户、权限和角色(概述)
11. 在 Trusted Extensions 中管理用户、权限和角色(任务)
12. Trusted Extensions 中的远程管理(任务)
13. 在 Trusted Extensions 中管理区域(任务)
14. 在 Trusted Extensions 中管理和挂载文件(任务)
16. 在 Trusted Extensions 中管理网络(任务)
如何在多级别 Trusted Extensions 网络中应用 IPsec 保护
17. Trusted Extensions 和 LDAP(概述)
18. Trusted Extensions 中的多级别邮件(概述)
20. Trusted Extensions 中的设备(概述)
21. 管理 Trusted Extensions 的设备(任务)
23. Trusted Extensions 中的软件管理(参考)
由 Trusted Extensions 扩展的 Oracle Solaris 接口
Trusted Extensions 中更为严厉的安全缺省值
按字母顺序排列的 Trusted Extensions 手册页
通过静态路由,有标签包可以通过有标签网关和无标签网关到达其目的地。通过 MLP,应用程序可以使用一个入口点访问所有区域。
开始之前
您必须具有全局区域中的 "Security Administrator"(安全管理员)角色。
已将每个目标主机、网络和网关添加到安全模板。有关详细信息,请参见如何将主机添加到安全模板和如何将一系列主机添加到安全模板。
# txzonemgr &
如果此区域有多个 IP 地址,请选择具有所需接口的项。
注 - 要删除或修改缺省路由器,请删除该项,然后重新创建 IP 项并添加路由器。如果此区域只有一个 IP 地址,必须删除 IP 实例才能删除该项。
示例 16-17 使用 route 命令为全局区域设置缺省路由
在此示例中,管理员使用 route 命令为全局区域创建缺省路由。
# route add default 192.168.113.1 -static
可以将专用和共享 MLP 添加到有标签区域和全局区域。
如果在有标签区域中运行的某应用程序需要使用多级别端口 (multilevel port, MLP) 与区域进行通信,将使用此过程。在此过程中,一个 Web 代理与区域进行通信。
开始之前
您必须在全局区域中承担 root 角色。系统必须至少具有两个 IP 地址,并且有标签区域已停止。
## /etc/hosts file ... proxy-host-name IP-address web-service-host-name IP-address
例如,将 public 区域配置为识别标签显式设置为 PUBLIC 的包。对于此配置,安全模板命名为 webprox。
# tncfg -t webprox tncfg:public> set name=webprox tncfg:public> set host_type=cipso tncfg:public> set min_label=public tncfg:public> set max_label=public tncfg:public> add host=mywebproxy.oracle.comhost name associated with public zone tncfg:public> add host=10.1.2.3/16IP address of public zone tncfg:public> exit
例如,Web 代理服务可能会通过 8080/tcp 接口与 PUBLIC 区域进行通信。
# tncfg -z public add mlp_shared=8080/tcp # tncfg -z public add mlp_private=8080/tcp
# zoneadm -z zone-name boot
要添加路由,请执行如何添加缺省路由中的相关操作。
示例 16-18 使用 txzonemgr GUI 配置 MLP
管理员打开 "Labeled Zone Manager"(有标签区域管理器)来配置 Web 代理服务。
# txzonemgr &
管理员双击 PUBLIC(公共)区域,然后双击 Configure Multilevel Ports(配置多级别端口)。然后,管理员选择并双击 Private interfaces(专用接口)行。选择更改为类似于以下内容的项字段:
Private interfaces:111/tcp;111/udp
管理员通过分号分隔符开始 Web 代理项输入
Private interfaces:111/tcp;111/udp;8080/tcp
完成专用项后,管理员在 Shared interfaces(共享接口)字段中键入 Web 代理。
Shared interfaces:111/tcp;111/udp;8080/tcp
弹出消息指示 public(公共)区域的多级别端口将在下次引导区域时处于活动状态。
示例 16-19 通过 udp 为 NFSv3 配置专用多级别端口
在此示例中,管理员通过 udp 启用 NFSv3 向下读取挂载。管理员可以选择使用 tncfg 命令。
# tncfg -z global add mlp_private=2049/udp
txzonemgr GUI 提供了定义 MLP 的另一种方式。
在 "Labeled Zone Manager"(有标签区域管理器)中,管理员双击 global(全局)区域,然后双击 Configure Multilevel Ports(配置多级别接口)。在 MLP 菜单中,管理员选择并双击 Private interfaces(专用接口)行,然后添加端口/协议。
Private interfaces:111/tcp;111/udp;8080/tcp
弹出消息指示 global(全局)区域的多级别端口将在下次引导时处于活动状态。
示例 16-20 显示系统的多级别端口
在本示例中,系统配置有多个有标签区域。所有区域共用同一 IP 地址。某些区域还配置有特定于区域的地址。在此配置中,用于 Web 浏览的 TCP 端口(端口 8080)是公共区域中共享接口上的一个 MLP。管理员还将 telnet TCP 端口 23 设置为公共区域中的一个 MLP。由于这两个 MLP 位于共享接口上,所以其他区域(包括全局区域)都不能在端口 8080 和 23 的共享接口上接收包。
此外,ssh TCP 端口(端口 22)是公共区域中的每区域 MLP。公共区域的 ssh 服务可以在地址标签范围内特定于区域的地址接收任何包。
以下命令显示公共区域的 MLP:
$ tninfo -m public private: 22/tcp shared: 23/tcp;8080/tcp
以下命令显示全局区域的 MLP。请注意,端口 23 和 8080 不能为全局区域中的 MLP,因为全局区域与公共区域共用同一地址。
$ tninfo -m global private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp; shared: 6000-6003/tcp