JavaScript is required to for searching.
Omitir Vínculos de navegación
Salir de la Vista de impresión
Configuración y administración de Trusted Extensions     Oracle Solaris 11.1 Information Library (Español)
Red de tecnología de Oracle
Biblioteca
PDF
Vista de impresión
Comentarios
search filter icon
search icon

Información del documento

Prefacio

Parte I Configuración inicial de Trusted Extensions

1.  Planificación de la seguridad para Trusted Extensions

2.  Guía básica de configuración de Trusted Extensions

3.  Agregación de la función Trusted Extensions a Oracle Solaris (tareas)

4.  Configuración de Trusted Extensions (tareas)

5.  Configuración de LDAP para Trusted Extensions (tareas)

Parte II Administración de Trusted Extensions

6.  Conceptos de la administración de Trusted Extensions

7.  Herramientas de administración de Trusted Extensions

8.  Requisitos de seguridad del sistema Trusted Extensions (descripción general)

9.  Realización de tareas comunes en Trusted Extensions

10.  Usuarios, derechos y roles en Trusted Extensions (descripción general)

11.  Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)

12.  Administración remota en Trusted Extensions (tareas)

13.  Gestión de zonas en Trusted Extensions

14.  Gestión y montaje de archivos en Trusted Extensions

15.  Redes de confianza (descripción general)

16.  Gestión de redes en Trusted Extensions (tareas)

Etiquetado de hosts y redes (mapa de tareas)

Visualización de plantillas de seguridad existentes (tareas)

Cómo ver plantillas de seguridad

Cómo determinar si necesita plantillas de seguridad específicas del sitio

Cómo agregar hosts a la red conocida del sistema

Creación de plantillas de seguridad (tareas)

Cómo crear plantillas de seguridad

Agregación de hosts a plantillas de seguridad (tareas)

Cómo agregar un host a una plantilla de seguridad

Cómo agregar un rango de hosts a una plantilla de seguridad

Limitación de los hosts que pueden acceder a la red de confianza (tareas)

Cómo limitar los hosts que se pueden contactar en la red de confianza

Configuración de rutas y puertos de varios niveles (tareas)

Cómo agregar rutas predeterminadas

Cómo crear un puerto de varios niveles para una zona

Configuración de IPsec con etiquetas (mapa de tareas)

Cómo aplicar las protecciones IPsec en una red de Trusted Extensions de varios niveles

Cómo configurar un túnel en una red que no es de confianza

Resolución de problemas de la red de confianza (mapa de tareas)

Cómo verificar que las interfaces de un sistema estén activas

Cómo depurar la red de Trusted Extensions

Cómo depurar la conexión de un cliente con el servidor LDAP

17.  Trusted Extensions y LDAP (descripción general)

18.  Correo de varios niveles en Trusted Extensions (descripción general)

19.  Gestión de impresión con etiquetas (tareas)

20.  Dispositivos en Trusted Extensions (descripción general)

21.  Gestión de dispositivos para Trusted Extensions (tareas)

22.  Auditoría de Trusted Extensions (descripción general)

23.  Gestión de software en Trusted Extensions

A.  Política de seguridad del sitio

Creación y gestión de una política de seguridad

Política de seguridad del sitio y Trusted Extensions

Recomendaciones de seguridad informática

Recomendaciones de seguridad física

Recomendaciones de seguridad del personal

Infracciones de seguridad comunes

Referencias de seguridad adicionales

B.  Lista de comprobación de configuración de Trusted Extensions

Lista de comprobación para la configuración de Trusted Extensions

C.  Referencia rápida a la administración de Trusted Extensions

Interfaces administrativas en Trusted Extensions

Interfaces de Oracle Solaris ampliadas por Trusted Extensions

Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions

Opciones limitadas en Trusted Extensions

D.  Lista de las páginas del comando man de Trusted Extensions

Páginas del comando man de Trusted Extensions en orden alfabético

Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions

Glosario

Índice

Resolución de problemas de la red de confianza (mapa de tareas)

El siguiente mapa de tareas describe las tareas que ayudan a depurar la red de Trusted Extensions.

Tarea
Descripción
Para obtener instrucciones
Determinar por qué un sistema y un host remoto no se pueden comunicar.
Se comprueba que las interfaces de un solo sistema estén activas.
Cómo verificar que las interfaces de un sistema estén activas
Se utilizan herramientas de depuración cuando un sistema y un host remoto no se pueden comunicar entre sí.
Cómo depurar la red de Trusted Extensions
Determinar por qué un cliente LDAP no puede acceder al servidor LDAP.
Se resuelven los problemas de pérdida de conexión entre un servidor LDAP y un cliente.
Cómo depurar la conexión de un cliente con el servidor LDAP

Cómo verificar que las interfaces de un sistema estén activas

Utilice este procedimiento si el sistema no se comunica con otros hosts según lo esperado.

Antes de empezar

Debe estar en la zona global en un rol que pueda verificar los valores de atributos de la red. El rol de administrador de la seguridad y el rol de administrador del sistema pueden verificar estos valores.

  1. Verifique que la interfaz de la red del sistema esté activa.

    Puede utilizar la interfaz gráfica de usuario Labeled Zone Manager o el comando ipadm para visualizar las interfaces del sistema.

    • Abra Labeled Zone Manager y, a continuación, haga doble clic en la zona de interés.
      # txzonemgr &

      Seleccione Configure Network Interfaces y verifique que el valor de la columna Status para la zona sea Up.

    • O bien, utilice el comando ipadm show-addr.
      # ipadm show-addr
...
ADDROBJ          TYPE      STATE        ADDR
lo0/v4           static    ok           127.0.0.1/8
net0/_a          dhcp      down         10.131.132.133/23
net0:0/_a        dhcp      down         10.131.132.175/23

      Las interfaces net0 deben tener el valor ok. Para obtener más información sobre el comando ipadm, consulte la página del comando man ipadm(1M).

  2. Si la interfaz no está activa, actívela.
    1. En interfaz gráfica de usuario Labeled Zone Manager, haga doble clic en la zona cuya interfaz está inactiva.
    2. Seleccione Configure Network Interfaces.
    3. Haga doble clic en la interfaz cuyo estado es Down.
    4. Seleccione Bring Up y luego OK.
    5. Haga clic en Cancel o en OK.

Cómo depurar la red de Trusted Extensions

Para depurar dos hosts que deben comunicarse, pero no lo hacen, puede utilizar las herramientas de depuración de Trusted Extensions y Oracle Solaris. Por ejemplo, los comandos de depuración de redes de Oracle Solaris, como snoop y netstat, se encuentran disponibles. Para obtener detalles, consulte las páginas del comando man snoop(1M) y netstat(1M). Para los comandos que son específicos de Trusted Extensions, consulte el Apéndice DLista de las páginas del comando man de Trusted Extensions.

Antes de empezar

Debe estar en la zona global en un rol que pueda verificar los valores de atributos de la red. El rol de administrador de la seguridad y el rol de administrador del sistema pueden verificar estos valores. Sólo el rol de usuario root puede editar archivos.

  1. Compruebe que los hosts que no pueden comunicarse estén utilizando el mismo servicio de nombres.
    1. En cada sistema, compruebe los valores de las bases de datos de Trusted Extensions en el servicio SMF name-service/switch.
      # svccfg -s name-service/switch listprop config
config/value_authorization  astring  solaris.smf.value.name-service.switch
config/default              astring  ldap
...
config/tnrhtp               astring  "files ldap"
config/tnrhdb               astring  "files ldap"
    2. Si los valores son diferentes en los distintos hosts, corrija los valores de los hosts en conflicto.
      # svccfg -s name-service/switch setprop config/tnrhtp="files ldap"
# svccfg -s name-service/switch setprop config/tnrhdb="files ldap"
    3. A continuación, reinicie el daemon de servicio de nombres en esos hosts.
      # svcadm restart name-service/switch
  2. Verifique que cada host esté definido correctamente. Para ello, visualice los atributos de seguridad de los hosts de origen, de destino y de puerta de enlace en la transmisión.

    Utilice la línea de comandos para comprobar que la información de la red es correcta. Verifique que la asignación en cada host coincide con la asignación en los otros hosts de la red. En función de la vista deseada, utilice el comando tncfg, el comando tninfoo la interfaz gráfica de usuario txzonemgr.

    • Visualice una definición de la plantilla.

      El comando tninfo -t muestra las etiquetas en formato de cadena o hexadecimal.

      $ tninfo -t template-name
template: template-name
host_type: one of cipso or UNLABELED
doi: 1
min_sl: minimum-label
hex: minimum-hex-label
max_sl: maximum-label
hex: maximum-hex-label
    • Visualice una plantilla y los hosts asignados a ella.

      El comando tncfg -t muestra las etiquetas en formato de cadena y enumera los hosts asignados.

      $ tncfg -t template info
   name=<template-name>
   host_type=<one of cipso or unlabeled>
   doi=1
   min_label=<minimum-label>
   max_label=<maximum-label>
   host=127.0.0.1/32       /** Localhost **/
   host=192.168.1.2/32     /** LDAP server **/
   host=192.168.1.22/32    /** Gateway to LDAP server **/
   host=192.168.113.0/24   /** Additional network **/
   host=192.168.113.100/25      /** Additional network **/
   host=2001:a08:3903:200::0/56/** Additional network **/
    • Visualice la dirección IP y la plantilla de seguridad asignada para un host específico.

      El comando tninfo -h muestra la dirección IP del host especificado y el nombre de la plantilla de seguridad asignada.

      $ tninfo -h hostname
IP Address: IP-address
Template: template-name

      El comando tncfg get host= muestra el nombre de la plantilla de seguridad que define el host especificado.

      $ tncfg get host=hostname|IP-address[/prefix]
template-name
    • Visualice los puertos de varios niveles (MLP) de una zona.

      El comando tncfg -z muestra un MLP por línea.

      $ tncfg -z zone-name info [mlp_private | mlp_shared]
mlp_private=<port/protocol-that-is-specific-to-this-zone-only>
mlp_shared=<port/protocol-that-the-zone-shares-with-other-zones>

      El comando tninfo -m muestra los MLP privados en una línea y los MLP compartidos en una segunda línea. Los MLP se separan con punto y coma.

      $ tninfo -m zone-name
private: ports-that-are-specific-to-this-zone-only
shared: ports-that-the-zone-shares-with-other-zones

      Para obtener una visualización gráfica de los MLP, utilice el comando txzonemgr. Haga doble clic en la zona y, a continuación, seleccione Configure Multilevel Ports.

  3. Corrija cualquier información incorrecta.
    1. Para cambiar o comprobar la información de seguridad de la red, utilice los comandos administrativos de la red de confianza, tncfg y txzonemgr. Para verificar la sintaxis de las bases de datos, utilice el comando tnchkdb.

      Por ejemplo, la siguiente salida muestra que el nombre de una plantilla, internal_cipso, no está definido:

      # tnchkdb
     checking /etc/security/tsol/tnrhtp ...
     checking /etc/security/tsol/tnrhdb ...
tnchkdb: unknown template name: internal_cipso at line 49
tnchkdb: unknown template name: internal_cipso at line 50
tnchkdb: unknown template name: internal_cipso at line 51
     checking /etc/security/tsol/tnzonecfg ...

      El error indica que los comandos tncfg y txzonemgr no se utilizaron para crear y asignar la plantilla de seguridad internal_cipso.

      Para reparar esto, sustituya el archivo tnrhdb con el archivo original y luego utilice el comando tncfg para crear y asignar plantillas de seguridad.

    2. Para borrar la caché del núcleo, reinicie el sistema.

      Durante el inicio, la caché se rellena con información de la base de datos. El servicio SMF, name-service/switch, determina si se utilizan bases de datos locales o LDAP para rellenar el núcleo.

  4. Recopile información de la transmisión para usarla como ayuda en la depuración.
    1. Verifique la configuración de enrutamiento.
      $ route get [ip] -secattr sl=label,doi=integer

      Para obtener detalles, consulte la página del comando man route(1M).

    2. Vea la información de la etiqueta en los paquetes.
      $ snoop -v

      La opción -v muestra los detalles de los encabezados de los paquetes, incluida la información de la etiqueta. Dado que este comando proporciona información muy detallada, quizás desee restringir los paquetes que el comando examina. Para obtener detalles, consulte la página del comando man snoop(1M).

    3. Vea las entradas de la tabla de enrutamiento y los atributos de seguridad en sockets.
      $ netstat -aR

      La opción -aR muestra los atributos de seguridad ampliados para sockets. 

      $ netstat -rR

      La opción -rR muestra las entradas de la tabla de enrutamiento. Para obtener detalles, consulte la página del comando man netstat(1M).

Cómo depurar la conexión de un cliente con el servidor LDAP

Un error en la configuración de una entrada del cliente en el servidor LDAP puede impedir la comunicación del cliente con el servidor. Un error en la configuración de los archivos del cliente también puede impedir la comunicación. Compruebe las entradas y los archivos siguientes cuando intente depurar un problema de comunicación entre el cliente y el servidor.

Antes de empezar

Debe estar con el rol de administrador de la seguridad en la zona global del cliente LDAP.

  1. Compruebe que la plantilla de host remoto para el servidor LDAP y para la puerta de enlace con el servidor LDAP sea correcta.
    1. Utilice el comando tncfg o tninfo para ver información.
      # tncfg get host=LDAP-server
# tncfg get host=gateway-to-LDAP-server
      # tninfo -h LDAP-server
# tninfo -h gateway-to-LDAP-server
    2. Determine la ruta del servidor.
      # route get LDAP-server

    Si existe una asignación de plantilla incorrecta, agregue el host a la plantilla correcta.

  2. Revise y corrija el archivo /etc/hosts si es necesario.

    El sistema, las interfaces para las zonas con etiquetas del sistema, la puerta de enlace con el servidor LDAP y el servidor LDAP deben figurar en el archivo. Puede que tenga más entradas.

    Busque las entradas duplicadas. Elimine cualquier entrada que sea una zona con etiquetas en otros sistemas. Por ejemplo, si el nombre de su servidor LDAP es Lserver, y LServer-zones es la interfaz compartida para las zonas con etiquetas, elimine LServer-zones del archivo /etc/hosts.

  3. Si utiliza DNS, compruebe la configuración del servicio svc:/network/dns/client.
    # svccfg -s dns/client listprop config
config                       application
config/value_authorization   astring       solaris.smf.value.name-service.dns.switch
config/nameserver            astring       192.168.8.25 192.168.122.7
  4. Para cambiar los valores, utilice el comando svccfg.
    # svccfg -s dns/client setprop config/search = astring: example1.domain.com
# svccfg -s dns/client setprop config/nameserver = net_address: 192.168.8.35
# svccfg -s dns/client:default refresh
# svccfg -s dns/client:default validate
# svcadm enable dns/client
# svcadm refresh name-service/switch
# nslookup some-system
Server:         192.168.135.35
Address:        192.168.135.35#53

Name:   some-system.example1.domain.com
Address: 10.138.8.22
Name:   some-system.example1.domain.com
Address: 10.138.8.23
  5. Verifique que las entradas tnrhdb y tnrhtp del servicio name-service/switch son exactas.

    En la siguiente salida, no se muestran las entradas tnrhdb y tnrhtp. Por lo tanto, estas bases de datos utilizan los servicios de nombres predeterminados files ldap, en ese orden.

    # svccfg -s name-service/switch listprop config
config                       application
config/value_authorization   astring       solaris.smf.value.name-service.switch
config/default               astring       "files ldap"
config/host                  astring       "files dns"
config/netgroup              astring       ldap
  6. Compruebe que el cliente esté configurado correctamente en el servidor.
    # ldaplist -l tnrhdb client-IP-address
  7. Compruebe que las interfaces para sus zonas con etiquetas estén configuradas correctamente en el servidor LDAP.
    # ldaplist -l tnrhdb client-zone-IP-address
  8. Verifique que puede establecer contacto con el servidor LDAP desde todas las zonas que se encuentran en ejecución.
    # ldapclient list
...
NS_LDAP_SERVERS= LDAP-server-address
# zlogin zone-name1 ping LDAP-server-address
LDAP-server-address is alive
# zlogin zone-name2 ping LDAP-server-address
LDAP-server-address is alive
...
  9. Configure LDAP y reinicie el sistema.
    1. Para conocer el procedimiento, consulte Conversión de la zona global en un cliente LDAP en Trusted Extensions.
    2. En cada zona con etiquetas, vuelva a establecer la zona como cliente del servidor LDAP.
      # zlogin zone-name1
# ldapclient init \
-a profileName=profileName \
-a domainName=domain \
-a proxyDN=proxyDN \
-a proxyPassword=password LDAP-Server-IP-Address
# exit
# zlogin zone-name2 ...
    3. Detenga todas las zonas y reinicie el sistema.
      # zoneadm list
zone1
zone2
,
,
,
# zoneadm -z zone1 halt
# zoneadm -z zone2 halt
.
.
.
# reboot

      También puede usar la interfaz gráfica de usuario txzonemgr para detener las zonas con etiquetas.

Copyright © 1992, 2012, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior Siguiente