在 Trusted Extensions 中设置全局区域

要定制 Trusted Extensions 配置，请执行以下任务列表中的过程。要安装缺省配置，请转至创建有标签区域。

如何检查并安装标签编码文件

您的编码文件必须与正在通信的任何 Trusted Extensions 主机兼容。

• 如果您熟悉编码文件，可以使用以下过程。

• 如果您不熟悉编码文件，请参考《Trusted Extensions Label Administration》以了解相关的要求、过程和示例。

---

注意 - 在继续之前，必须成功安装标签，否则配置将失败。

---

开始之前

您是安全管理员。security administrator（安全管理员）负责编辑、检查和维护 label_encodings 文件。如果打算编辑 label_encodings 文件，请确保该文件本身可写入。有关更多信息，请参见 label_encodings(4) 手册页。

要编辑 label_encodings 文件，您必须承担 root 角色。

1. 将 label_encodings 文件复制到磁盘上。

   要从便携介质复制，请参见如何在 Trusted Extensions 中从便携介质复制文件。

2. 在终端窗口中，检查文件的语法。
   1. 运行 chk_encodings 命令。

      # /usr/sbin/chk_encodings /full-pathname-of-label-encodings-file

   2. 读取输出结果并执行以下操作之一：
      • 解决错误。

        如果命令报告了错误，必须先解决错误才能继续。有关帮助，请参见《Trusted Extensions Label Administration》中的第 3  章 "Creating a Label Encodings File (Tasks)"

      • 使该文件成为活动的 label_encodings 文件。

        # cp /full-pathname-of-label-encodings-file \ /etc/security/tsol/label.encodings.site
        # cd /etc/security/tsol
        # cp label_encodings label_encodings.tx.orig
        # cp label.encodings.site label_encodings

   ---

   注意 - 您的 label_encodings 文件必须通过 "Check Encodings"（检查编码）测试，然后才能继续。

   ---

示例 4-1 检查命令行上的 label_encodings 语法

在此示例中，管理员使用命令行来测试多个 label_encodings 文件。

# /usr/sbin/chk_encodings /var/encodings/label_encodings1
No errors found in /var/encodings/label_encodings1
# /usr/sbin/chk_encodings /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

如果管理层决定使用 label_encodings2 文件，管理员将对该文件运行语义分析。

# /usr/sbin/chk_encodings -a /var/encodings/label_encodings2
No errors found in /var/encodings/label_encodings2

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2010

---> CLASSIFICATIONS <---

   Classification 1: PUBLIC
   Initial Compartment bits: 10
   Initial Markings bits: NONE

---> COMPARTMENTS AND MARKINGS USAGE ANALYSIS <---
...
---> SENSITIVITY LABEL to COLOR MAPPING <---
...

管理员打印其记录的语义分析副本，然后将文件移到 /etc/security/tsol 目录。

# cp /var/encodings/label_encodings2 /etc/security/tsol/label.encodings.10.10.10
# cd /etc/security/tsol
# cp label_encodings label_encodings.tx.orig
# cp label.encodings.10.10.10 label_encodings

最后，管理员检验 label_encodings 文件是否为公司文件。

# /usr/sbin/chk_encodings -a /etc/security/tsol/label_encodings | head -4
No errors found in /etc/security/tsol/label_encodings

---> VERSION = MYCOMPANY LABEL ENCODINGS  2.0 10/10/2010

接下来的步骤

必须重新引导系统，才可创建有标签区域。

如何在 Trusted Extensions 中启用 IPv6 网络

---

注意 - txzonemgr 脚本不支持 IPv6 地址语法。因此，请使用 tncfg 命令，将 IPv6 主机添加到 Trusted Extensions 网络中。有关示例，请参见可信网络回退机制和示例 16-11。

---

CIPSO 选项没有 Internet 号码分配机构 (Internet Assigned Numbers Authority, IANA) 编号可供在包的 "IPv6 Option Type"（IPv6 选项类型）字段中使用。在此过程中设置的项会提供一个编号，以在本地网络上使用，直到 IANA 为此选项指定一个编号。如果未定义此编号，Trusted Extensions 将禁用 IPv6 网络。

要在 Trusted Extensions 中启用 IPv6 网络，必须在 /etc/system 文件中添加一个项。

开始之前

您是全局区域中的 root 角色。

• 将以下项键入到 /etc/system 文件中：

  set ip:ip6opt_ls = 0x0a

故障排除

• 如果在引导过程中出现错误消息，指出 IPv6 配置不正确，请更正该项：

  • 检验该项的拼写是否正确。

  • 检验将正确的项添加到 /etc/system 文件后是否重新引导了系统。

• 如果将 Trusted Extensions 添加到当前已启用 IPv6 的 Oracle Solaris 系统，但无法在 /etc/system 中添加 IP 项，将显示以下错误消息：t_optmgmt: System error: Cannot assign requested address time-stamp（t_optmgmt: 系统错误: 不能指定所要求的地址 time-stamp）

接下来的步骤

必须重新引导系统，才可创建有标签区域。

如何配置系统解释域

与配置有 Trusted Extensions 的系统的所有往来通信都必须遵循单个 CIPSO 系统解释域 (Domain of Interpretation, DOI) 的标记规则。每条消息中使用的 DOI 由 "CIPSO IP Option"（CIPSO IP 选项）头中的整数进行标识。缺省情况下，Trusted Extensions 中的 DOI 为 1。

如果您的站点未使用值为 1 的 DOI，必须修改每个security template（安全模板）中的 doi 值。

开始之前

您是全局区域中的 root 角色。

• 在缺省安全模板中指定 DOI 值。

  # tncfg -t cipso set doi=n
  # tncfg -t admin_low set doi=n

  ---

  注 - 每个安全模板都必须指定 DOI 值。

  ---

另请参见

• Trusted Extensions 中的网络安全属性

• 如何创建安全模板

接下来的步骤

如果打算使用 LDAP，请转至第 5 章。必须配置 LDAP，才可创建有标签区域。

否则，继续执行创建有标签区域中的相关操作。