Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Configuración y administración de Trusted Extensions Oracle Solaris 11.1 Information Library (Español) |
Parte I Configuración inicial de Trusted Extensions
1. Planificación de la seguridad para Trusted Extensions
2. Guía básica de configuración de Trusted Extensions
3. Agregación de la función Trusted Extensions a Oracle Solaris (tareas)
4. Configuración de Trusted Extensions (tareas)
5. Configuración de LDAP para Trusted Extensions (tareas)
Configuración de LDAP en una red de Trusted Extensions (mapa de tareas)
Configuración de un servidor proxy LDAP en un sistema Trusted Extensions (mapa de tareas)
Configuración de Oracle Directory Server Enterprise Edition en un sistema Trusted Extensions
Recopilación de información para el servidor de directorios para LDAP
Instalación de Oracle Directory Server Enterprise Edition
Creación de un cliente LDAP para el servidor de directorios
Configuración de los registros para Oracle Directory Server Enterprise Edition
Configuración de puerto de varios niveles para Oracle Directory Server Enterprise Edition
Creación de un servidor proxy LDAP
Creación de un cliente LDAP de Trusted Extensions
Conversión de la zona global en un cliente LDAP en Trusted Extensions
Parte II Administración de Trusted Extensions
6. Conceptos de la administración de Trusted Extensions
7. Herramientas de administración de Trusted Extensions
8. Requisitos de seguridad del sistema Trusted Extensions (descripción general)
9. Realización de tareas comunes en Trusted Extensions
10. Usuarios, derechos y roles en Trusted Extensions (descripción general)
11. Gestión de usuarios, derechos y roles en Trusted Extensions (tareas)
12. Administración remota en Trusted Extensions (tareas)
13. Gestión de zonas en Trusted Extensions
14. Gestión y montaje de archivos en Trusted Extensions
15. Redes de confianza (descripción general)
16. Gestión de redes en Trusted Extensions (tareas)
17. Trusted Extensions y LDAP (descripción general)
18. Correo de varios niveles en Trusted Extensions (descripción general)
19. Gestión de impresión con etiquetas (tareas)
20. Dispositivos en Trusted Extensions (descripción general)
21. Gestión de dispositivos para Trusted Extensions (tareas)
22. Auditoría de Trusted Extensions (descripción general)
23. Gestión de software en Trusted Extensions
A. Política de seguridad del sitio
Creación y gestión de una política de seguridad
Política de seguridad del sitio y Trusted Extensions
Recomendaciones de seguridad informática
Recomendaciones de seguridad física
Recomendaciones de seguridad del personal
Infracciones de seguridad comunes
Referencias de seguridad adicionales
B. Lista de comprobación de configuración de Trusted Extensions
Lista de comprobación para la configuración de Trusted Extensions
C. Referencia rápida a la administración de Trusted Extensions
Interfaces administrativas en Trusted Extensions
Interfaces de Oracle Solaris ampliadas por Trusted Extensions
Valores predeterminados de seguridad que brindan mayor protección en Trusted Extensions
Opciones limitadas en Trusted Extensions
D. Lista de las páginas del comando man de Trusted Extensions
Páginas del comando man de Trusted Extensions en orden alfabético
Páginas del comando man de Oracle Solaris modificadas por Trusted Extensions
El servicio de nombres LDAP es el servicio de nombres admitido para Trusted Extensions. Si en su sitio aún no se ejecuta el servicio de nombres LDAP, configure Oracle Directory Server Enterprise Edition (servidor de directorios) en un sistema en el que esté configurado Trusted Extensions.
Si en su sitio ya se está ejecuta un servidor de directorios, debe agregar las bases de datos de Trusted Extensions al servidor. Para acceder al servidor de directorios, debe configurar un proxy LDAP en un sistema Trusted Extensions.
Nota - Si no utiliza este servidor LDAP como un servidor NFS o como un servidor para clientes Sun Ray, no es necesario que instale zonas etiquetadas en este servidor.
Los elementos se muestran en el orden en que aparecen en el asistente de instalación del sistema.
|
Los paquetes del servidor de directorios están disponibles en el sitio web de Oracle para productos de software de Sun.
Antes de empezar
Debe estar en un sistema Trusted Extensions con una zona global. El sistema no debe tener zonas con etiquetas. Debe estar con el rol de usuario root en la zona global.
Los servidores LDAP de Trusted Extensions están configurados para los clientes que usan pam_unix para autenticarse en el repositorio LDAP. Con pam_unix, las operaciones de contraseña y, por consiguiente, las directivas de contraseña son determinadas por el cliente. En concreto, la política establecida por el servidor LDAP no se utiliza. Para conocer los parámetros de contraseña que puede establecer en el cliente, consulte Gestión de información de contraseñas de Administración de Oracle Solaris 11.1: servicios de seguridad. Para obtener información sobre pam_unix, consulte la página del comando man pam.conf(4).
Nota - El uso de pam_ldap en un cliente LDAP no es una configuración evaluada para Trusted Extensions.
El FQDN es el nombre de dominio completo. Este nombre es una combinación del nombre de host y el dominio de administración, como en el siguiente ejemplo:
## /etc/hosts ... 192.168.5.5 myhost myhost.example-domain.com
Seleccione el software más reciente adecuado para su plataforma.
Responda a las preguntas utilizando la información de Recopilación de información para el servidor de directorios para LDAP. Para obtener una lista completa de las preguntas, los valores predeterminados y las respuestas sugeridas, consulte el Capítulo 11, Setting Up Oracle Directory Server Enterprise Edition With LDAP Clients (Tasks) de Oracle Solaris Administration: Naming and Directory Services y el Capítulo 12, Setting Up LDAP Clients (Tasks) de Oracle Solaris Administration: Naming and Directory Services.
# $PATH /usr/sbin:.../opt/SUNWdsee/dsee6/bin:/opt/SUNWdsee/dscc6/bin:/opt/SUNWdsee/ds6/bin: /opt/SUNWdsee/dps6/bin
/opt/SUNWdsee/dsee6/man
# /usr/sbin/cacaoadm enable # /usr/sbin/cacaoadm start start: server (pid n) already running
Las plantillas de los servicios SMF para el servidor de directorios están en los paquetes de Oracle Directory Server Enterprise Edition.
# dsadm stop /export/home/ds/instances/your-instance # dsadm enable-service -T SMF /export/home/ds/instances/your-instance # dsadm start /export/home/ds/instances/your-instance
Para obtener información sobre el comando dsadm, consulte la página del comando man dsadm(1M).
# dpadm stop /export/home/ds/instances/your-instance # dpadm enable-service -T SMF /export/home/ds/instances/your-instance # dpadm start /export/home/ds/instances/your-instance
Para obtener información sobre el comando dpadm, consulte la página del comando man dpadm(1M).
# dsadm info /export/home/ds/instances/your-instance Instance Path: /export/home/ds/instances/your-instance Owner: root(root) Non-secure port: 389 Secure port: 636 Bit format: 32-bit State: Running Server PID: 298 DSCC url: - SMF application name: ds--export-home-ds-instances-your-instance Instance version: D-A00
Errores más frecuentes
Para conocer las estrategias para resolver problemas de configuración de LDAP, consulte el Capítulo 13, Resolución de problemas de LDAP (referencia) de Trabajo con servicios de nombres y directorios en Oracle Solaris 11.1.
Puede utilizar este cliente para rellenar su servidor de directorios para LDAP. Debe realizar esta tarea antes rellenar el servidor de directorios.
Puede crear el cliente temporalmente en el servidor de directorios de Trusted Extensions y, a continuación, eliminar el cliente del servidor, o bien puede crear un cliente independiente.
Antes de empezar
Debe estar con el rol de usuario root en la zona global.
Puede utilizar el servidor de directorios de Trusted Extensions o agregar Trusted Extensions en un sistema diferente.
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring "files ldap" config/host astring "files dns" config/netgroup astring ldap config/printer astring "user files ldap"
# svccfg -s name-service/switch setprop config/host = astring: "files ldap dns"
En este ejemplo, el cliente LDAP está en el dominio example-domain.com. La dirección IP del servidor es 192.168.5.5.
# ldapclient init -a domainName=example-domain.com -a profileName=default \ > -a proxyDN=cn=proxyagent,ou=profile,dc=example-domain,dc=com \ > -a proxyDN=cn=proxyPassword={NS1}ecc423aad0 192.168.5.5 System successfully configured
# ldapclient -v mod -a enableShadowUpdate=TRUE \ > -a adminDN=cn=admin,ou=profile,dc=example-domain,dc=com System successfully configured
Para obtener información sobre el parámetro enableShadowUpdate, consulte enableShadowUpdate Switch de Oracle Solaris Administration: Naming and Directory Services y la página del comando man ldapclient(1M).
Mediante este procedimiento se configuran tres tipos de registros: registros de acceso, registros de auditoría y registros de errores. Los siguientes valores predeterminados no se modifican:
Todos los registros se activan y almacenan en la memoria intermedia.
Los registros se colocan en el directorio /export/home/ds/instances/your-instance/logs/LOG_TYPE adecuado.
Los eventos se registran en el nivel de registro 256.
Los registros están protegidos por 600 permisos de archivo.
Los registros de acceso rotan diariamente.
Los registros de errores rotan semanalmente.
La configuración de este procedimiento cumple con los siguientes requisitos:
Los registros de auditoría rotan diariamente.
Los archivos de registro anteriores a 3 meses caducan.
Todos los archivos de registro utilizan un máximo de 20.000 MB de espacio de disco.
Se conserva un máximo de 100 archivos de registro, y cada archivo tiene como máximo 500 MB.
Los registros más antiguos se suprimen si hay menos de 500 MB de espacio libre en el disco.
Se recopila información adicional en los registros de errores.
Antes de empezar
Debe estar con el rol de usuario root en la zona global.
El LOG_TYPE para el acceso es ACCESS. La sintaxis para la configuración de registros es la siguiente:
dsconf set-log-prop LOG_TYPE property:value
# dsconf set-log-prop ACCESS max-age:3M # dsconf set-log-prop ACCESS max-disk-space-size:20000M # dsconf set-log-prop ACCESS max-file-count:100 # dsconf set-log-prop ACCESS max-size:500M # dsconf set-log-prop ACCESS min-free-disk-space:500M
# dsconf set-log-prop AUDIT max-age:3M # dsconf set-log-prop AUDIT max-disk-space-size:20000M # dsconf set-log-prop AUDIT max-file-count:100 # dsconf set-log-prop AUDIT max-size:500M # dsconf set-log-prop AUDIT min-free-disk-space:500M # dsconf set-log-prop AUDIT rotation-interval:1d
De manera predeterminada, el intervalo de rotación de registros de auditoría es de una semana.
En esta configuración, puede especificar los datos adicionales que se van a recopilar en el registro de errores.
# dsconf set-log-prop ERROR max-age:3M # dsconf set-log-prop ERROR max-disk-space-size:20000M # dsconf set-log-prop ERROR max-file-count:30 # dsconf set-log-prop ERROR max-size:500M # dsconf set-log-prop ERROR min-free-disk-space:500M # dsconf set-log-prop ERROR verbose-enabled:on
También puede configurar los siguientes valores de configuración para cada registro:
# dsconf set-log-prop LOG_TYPE rotation-min-file-size:undefined # dsconf set-log-prop LOG_TYPE rotation-time:undefined
Para obtener información sobre el comando dsconf, consulte la página del comando man dsconf(1M).
Para trabajar en Trusted Extensions, el puerto de servidor del servidor de directorios debe estar configurado como un puerto de varios niveles (MLP) en la zona global.
Antes de empezar
Debe estar con el rol de usuario root en la zona global.
# /usr/sbin/txzonemgr &
El número de puerto es 389.
El número de puerto es 389.
Se han creado o modificado varias bases de datos LDAP para contener los datos de Trusted Extensions sobre la configuración de etiquetas, los usuarios y los sistemas remotos. Mediante este procedimiento, se rellenan las bases de datos del servidor de directorios con la información de Trusted Extensions.
Antes de empezar
Debe estar con el rol de usuario root en la zona global. Se encuentra en un cliente LDAP en el que está activada la actualización de shadow. Para conocer los requisitos previos, consulte Creación de un cliente LDAP para el servidor de directorios.
# mkdir -p /setup/files
# cd /etc # cp aliases group networks netmasks protocols /setup/files # cp rpc services auto_master /setup/files # cd /etc/security/tsol # cp tnrhdb tnrhtp /setup/files
Precaución - No copie los archivos *attr. En su lugar, utilice la opción -S ldap para los comandos que agregan usuarios, roles y perfiles de derechos en el repositorio LDAP. Estos comandos agregan entradas para las bases de datos user_attr, auth_attr, exec_attr y prof_attr. Para obtener más información, consulte las páginas del comando man user_attr(4) y useradd(1M). |
# cp /zone/public/root/etc/auto_home_public /setup/files # cp /zone/internal/root/etc/auto_home_internal /setup/files # cp /zone/needtoknow/root/etc/auto_home_needtoknow /setup/files # cp /zone/restricted/root/etc/auto_home_restricted /setup/files
En la siguiente lista de mapas automáticos, el primero de cada par de líneas muestra el nombre del archivo. La segunda línea de cada par muestra el contenido del archivo. Los nombres de zona identifican etiquetas del archivo label_encodings predeterminado que se incluye con el software Trusted Extensions.
Sustituya los nombres de zona por los nombres de zona de estas líneas.
myNFSserver identifica el servidor NFS para los directorios principales.
/setup/files/auto_home_public * myNFSserver_FQDN:/zone/public/root/export/home/& /setup/files/auto_home_internal * myNFSserver_FQDN:/zone/internal/root/export/home/& /setup/files/auto_home_needtoknow * myNFSserver_FQDN:/zone/needtoknow/root/export/home/& /setup/files/auto_home_restricted * myNFSserver_FQDN:/zone/restricted/root/export/home/&
Por ejemplo, el siguiente comando rellena el servidor del archivo hosts del área temporal.
# /usr/sbin/ldapaddent -D "cn=directory manager" \ -w dirmgr123 -a simple -f /setup/files/hosts hosts
En la zona global, ejecute el comando ldapclient uninit. Utilice el resultado detallado para verificar que el sistema ya no sea un cliente LDAP.
# ldapclient -v uninit
Para obtener más información, consulte la página del comando man ldapclient(1M).
Para obtener instrucciones, consulte Etiquetado de hosts y redes (mapa de tareas).